Utiliser le service de transfert de stockage avec VPC Service Controls

Le service de transfert de stockage propose une version bêta des transferts vers les buckets Cloud Storage protégés par VPC Service Controls.

Le service de transfert de stockage nécessite l'accès aux buckets Cloud Storage afin de déplacer des données dans ou entre ces buckets. Si vous avez des buckets dans un périmètre de service VPC Service Controls, vous devez effectuer une configuration supplémentaire pour utiliser le service de transfert de stockage afin de transférer des données vers Cloud Storage.

Pour protéger vos requêtes TransferJob et TransferOperation, vous pouvez ajouter l'API du service de transfert de stockage à vos périmètres de service en tant que service protégé. Pour protéger les objets et les buckets Cloud Storage sous-jacents, vous devez également ajouter l'API Cloud Storage à votre périmètre de service en tant que service protégé.

Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.

Pour plus d'informations sur l'utilisation de VPC Service Controls avec le service de transfert des données sur site, consultez la page Utiliser le transfert sur site avec VPC Service Controls.

Configurations compatibles

Vous pouvez configurer le service de transfert de stockage pour qu'il fonctionne avec les buckets Cloud Storage protégés par VPC Service Controls à l'aide des méthodes suivantes :

  • Si vous pouvez modifier vos buckets Cloud Storage de sorte qu'ils se trouvent au sein d'un seul périmètre de service, ou si tous vos buckets Cloud Storage se trouvent au sein du même périmètre de service, vous pouvez ajouter votre projet de service de transfert de stockage au périmètre de service de vos buckets Cloud Storage.

    Cette méthode concerne uniquement les transferts entre buckets Cloud Storage. Il s'agit de la méthode la plus simple à configurer et à gérer.

  • Si vous ne pouvez pas modifier les périmètres de service de vos buckets Cloud Storage, ou si vous avez des buckets Cloud Storage dans des périmètres de service différents, créez une liaison de périmètre pour tous les projets contenant les buckets Cloud Storage vers lesquels vous souhaitez transférer des données.

    Cette méthode permet à votre projet de service de transfert de stockage de transférer des données entre vos projets Cloud Storage, même si les deux projets se trouvent dans des périmètres de service différents. Cette méthode garantit également que l'accès à vos périmètres de bucket Cloud Storage s'effectue à partir d'un ensemble restreint de services et de ressources.

  • Si vous vous trouvez dans l'une des situations suivantes :

    • Vous souhaitez transférer les données d'un fournisseur cloud externe vers un bucket Cloud Storage dans un périmètre de service.
    • Votre projet de service de transfert de stockage ne fait pas partie du périmètre de service de votre bucket Cloud Storage.
    • Votre compte de service ne respecte pas le format project-project_number@storage-transfer-service.iam.gserviceaccount.com, même s'il appartient à un projet à l'intérieur d'un périmètre.

    En ce cas, ajoutez le compte de service du service de transfert de stockage à un niveau d'accès.

    Cette méthode ne nécessite pas de placer le projet de service de transfert de stockage dans un périmètre de service, et vous permet de configurer le niveau d'accès pour autoriser uniquement les requêtes du compte de service du service de transfert de stockage.

Périmètre de service

Pour utiliser un périmètre de service, suivez les instructions de la page Créer un périmètre de service pour inclure les projets suivants :

  • Projet TransferJob
  • Projets de bucket Cloud Storage

Et pour protéger les services suivants :

  • API Cloud Storage (storage.googleapis.com)
  • API du service de transfert de stockage (storagetransfer.googleapis.com)

Liaison de périmètre

Pour utiliser une liaison de périmètre :

  1. Créez un périmètre de service pour le service de transfert de stockage.

  2. Créez une liaison de périmètre pour connecter :

  • Projet TransferJob
  • Projets de bucket Cloud Storage

Niveau d'accès

Pour utiliser un niveau d'accès, suivez les instructions de la page Créer un niveau d'accès afin d'accorder l'accès au compte de service TransferJob.

Après avoir créé votre niveau d'accès, ajoutez le niveau d'accès à votre périmètre de service qui limite l'accès aux projets Google Cloud contenant vos buckets Cloud Storage.

Dépannage

Pour obtenir de l'aide sur la résolution des problèmes, consultez la page Dépannage de VPC Service Controls.