Configura los Controles del servicio de VPC para las transferencias de almacenamiento de objetos en la nube

El Servicio de transferencia de almacenamiento admite transferencias a buckets de Cloud Storage protegidos por los Controles del servicio de VPC.

El Servicio de transferencia de almacenamiento necesita acceder a los buckets de Cloud Storage para transferir los datos hacia ellos o entre ellos. Si tienes bucket dentro de un perímetro de servicio de Controles del servicio de VPC, se requiere una configuración adicional para usar el Servicio de transferencia de almacenamiento a fin de transferir datos a Cloud Storage.

Para proteger las solicitudes TransferJob y TransferOperation, puedes agregar la API del Servicio de transferencia de almacenamiento como un servicio protegido a los perímetros de servicio. Para proteger los depósitos y los objetos subyacentes de Cloud Storage, también debes agregar la API de Cloud Storage como un servicio protegido al perímetro de servicio.

Consulta Descripción general de los Controles del servicio de VPC para obtener más información sobre estos.

Para obtener información sobre el uso de los controles del servicio VPC con transferencias del sistema de archivos, consulte Configurar controles del servicio de VPC para transferencias del sistema de archivos.

Configuraciones admitidas

Puedes configurar el Servicio de transferencia de almacenamiento para que funcione con depósitos de Cloud Storage que están protegidos por los Controles del servicio de VPC mediante los siguientes métodos:

  • Puedes agregar tu proyecto del Servicio de transferencia de almacenamiento al perímetro de servicio de tus bucket de Cloud Storage si se cumple alguna de las siguientes condiciones:

    • Puedes configurar tus buckets de Cloud Storage con un perímetro de servicio único.
    • Todos tus buckets de Cloud Storage se encuentran dentro del mismo perímetro de servicio.

    Esta es la opción más sencilla para realizar la configuración y administración.

  • Crea un puente perimetral para todos los proyectos que contengan los buckets de Cloud Storage que usas en una transferencia si se cumple alguna de las siguientes condiciones:

    • No puedes cambiar los perímetros de servicio de tus buckets de Cloud Storage.
    • Tienes buckets de Cloud Storage en diferentes perímetros de servicio.

    Esta opción permite que el proyecto del Servicio de transferencia de almacenamiento transfiera datos entre los proyectos de Cloud Storage, incluso si ambos proyectos se encuentran en diferentes perímetros de servicio. Esta opción también garantiza que el acceso a tus perímetros de bucket de Cloud Storage provenga de un conjunto restringido de servicios y recursos.

  • Agrega la cuenta de servicio del Servicio de transferencia de almacenamiento a un nivel de acceso si se aplica alguna de las siguientes opciones:

    • El proyecto del Servicio de transferencia de almacenamiento se encuentra fuera del perímetro de servicio del bucket de Cloud Storage.

    • La cuenta de servicio no se ajusta al formato project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com, incluso si pertenece a un proyecto que se encuentra dentro de un perímetro.

      Para encontrar el formato de tu cuenta de servicio, usa la llamada a la API de googleServiceAccounts.get.

    Esta opción no requiere que coloques el proyecto del Servicio de transferencia de almacenamiento dentro de un perímetro de servicio. Además, te permite configurar el nivel de acceso para aceptar solo las solicitudes de la cuenta de servicio del Servicio de transferencia de almacenamiento.

Perímetro de servicio

Si quieres usar un perímetro de servicio, sigue las instrucciones que se indican en Crea un perímetro de servicio para incluir los siguientes proyectos y servicios:

  • El proyecto TransferJob
  • Los proyectos del bucket de Cloud Storage
  • La API de Cloud Storage (storage.googleapis.com)
  • La API del Servicio de transferencia de almacenamiento (storagetransfer.googleapis.com)

Puente perimetral

Para usar un puente perimetral, haz lo siguiente:

  1. Crea un perímetro de servicio para el Servicio de transferencia de almacenamiento.

  2. Crea un puente perimetral para conectar los siguientes elementos:

    • El proyecto TransferJob
    • Los proyectos del bucket de Cloud Storage

Nivel de acceso

Si deseas usar un nivel de acceso, sigue las instrucciones que se encuentran en Crea un nivel de acceso para otorgar acceso a la cuenta de servicio TransferJob.

Después de crear el nivel de acceso, agrégalo al perímetro de servicio que restringe el acceso a los proyectos de Google Cloud que contienen los depósitos de Cloud Storage.

Soluciona problemas

Si deseas obtener ayuda para la solución de problemas, consulta Solución de problemas de los Controles del servicio de VPC.