Storage Transfer Service supporta i trasferimenti ai bucket Cloud Storage protetti da Controlli di servizio VPC.
Storage Transfer Service richiede l'accesso ai bucket Cloud Storage per spostare i dati all'interno o tra i bucket Cloud Storage. Se hai bucket all'interno di un perimetro di servizio dei Controlli di servizio VPC, è necessaria una configurazione aggiuntiva per utilizzare Storage Transfer Service per trasferire i dati a Cloud Storage.
Per proteggere le tue richieste TransferJob e TransferOperation, puoi aggiungere l'API Storage Transfer Service come servizio protetto ai perimetri di servizio.
Per proteggere i bucket e gli oggetti Cloud Storage sottostanti, devi anche aggiungere l'API Cloud Storage come servizio protetto al perimetro del servizio.
Per saperne di più sui Controlli di servizio VPC, vedi Panoramica dei Controlli di servizio VPC.
Per informazioni sull'utilizzo di Controlli di servizio VPC con trasferimenti di file system, vedi Configurare i Controlli di servizio VPC per i trasferimenti di file system.
Configurazioni supportate
Puoi configurare Storage Transfer Service in modo che funzioni con i bucket Cloud Storage protetti da Controlli di servizio VPC con i seguenti metodi:
Puoi aggiungere il progetto Storage Transfer Service al perimetro di servizio dei bucket Cloud Storage se si verifica una delle seguenti condizioni:
- Puoi configurare i bucket Cloud Storage all'interno di un singolo perimetro di servizio.
- Tutti i bucket Cloud Storage si trovano all'interno dello stesso perimetro di servizio.
Questa è l'opzione più semplice da configurare e gestire.
Crea un bridge del perimetro a tutti i progetti che contengono i bucket Cloud Storage che stai utilizzando in un trasferimento se una delle seguenti condizioni è vera:
- Non puoi modificare i perimetri di servizio dei bucket Cloud Storage.
- Hai bucket Cloud Storage in diversi perimetri di servizio.
Questa opzione consente al progetto Storage Transfer Service di trasferire i dati tra i progetti Cloud Storage, anche se entrambi i progetti si trovano in perimetri di servizio diversi. Questa opzione garantisce anche che l'accesso ai perimetri di bucket Cloud Storage provenga da un insieme limitato di servizi e risorse.
Aggiungi l'account di servizio Storage Transfer Service a un livello di accesso se si verifica una delle seguenti condizioni:
- Il tuo progetto Storage Transfer Service è esterno al perimetro di servizio del bucket Cloud Storage.
Il tuo account di servizio non si adatta al modulo
project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com, anche se appartiene a un progetto all'interno di un perimetro.Per trovare il formato dell'account di servizio, utilizza la chiamata API
googleServiceAccounts.get.
Questa opzione non richiede il posizionamento del progetto Storage Transfer Service all'interno di un perimetro di servizio. Consente inoltre di configurare il livello di accesso per consentire solo le richieste dall'account di servizio Storage Transfer Service.
Perimetro di servizio
Per utilizzare un perimetro di servizio, segui le istruzioni nella sezione Creare un perimetro di servizio per includere i seguenti progetti:
- Il progetto
TransferJob - Progetti dei bucket Cloud Storage
Per proteggere i seguenti servizi:
- API Cloud Storage (storage.googleapis.com)
- API Storage Transfer Service (storagetransfer.googleapis.com)
Bridge del perimetro
Per utilizzare un bridge del perimetro:
Crea un perimetro di servizio per Storage Transfer Service.
Crea un bridge del perimetro per connetterti:
- Il progetto
TransferJob - Progetti dei bucket Cloud Storage
- Il progetto
Livello di accesso
Per utilizzare un livello di accesso, segui le istruzioni nella sezione Creare un livello di accesso per concedere l'accesso all'account di servizio TransferJob.
Dopo aver creato il livello di accesso, aggiungilo al perimetro di servizio in modo da limitare l'accesso ai progetti Google Cloud contenenti i bucket Cloud Storage.
Risolvere i problemi
Per assistenza, consulta la sezione Risoluzione dei problemi dei controlli di servizio VPC.