クラウド オブジェクト ストレージ転送用に VPC Service Controls を構成する

Storage Transfer Service は、VPC Service Controls で保護されている Cloud Storage バケットへの転送をサポートします。

Storage Transfer Service が Cloud Storage バケットとの間でデータを移動するには、Cloud Storage バケットにアクセスする必要があります。VPC Service Controls のサービス境界内にバケットがある場合は、Storage Transfer Service を使用して Cloud Storage にデータを転送するために追加設定を行う必要があります。

TransferJobTransferOperation のリクエストを保護するために、Storage Transfer Service API を保護されたサービスとしてサービス境界に追加できます。基盤となる Cloud Storage バケットとオブジェクトを保護するには、Cloud Storage API も保護されたサービスとしてサービス境界に追加する必要があります。

VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。

ファイル システム転送で VPC Service Controls を使用する方法については、ファイル システム転送用に VPC Service Controls を構成するをご覧ください。

サポートされている構成

次の方法で、Storage Transfer Service を VPC Service Controls で保護されている Cloud Storage バケットと連携するように構成できます。

  • 次のいずれかに該当する場合は、Cloud Storage バケットのサービス境界に Storage Transfer Service プロジェクトを追加できます。

    • Cloud Storage バケットを単一のサービス境界内に構成できます。
    • すべての Cloud Storage バケットが同じサービス境界内に存在します。

    これは、設定と管理が最も簡単なオプションです。

  • 次のいずれかに該当する場合、転送で使用する Cloud Storage バケットを含むすべてのプロジェクトに境界ブリッジを作成します。

    • Cloud Storage バケットのサービス境界を変更できません。
    • 異なるサービス境界に Cloud Storage バケットがあります。

    このオプションにより、両方のプロジェクトが異なるサービス境界にある場合でも、Storage Transfer Service プロジェクトで Cloud Storage プロジェクト間のデータ転送が可能になります。また、Cloud Storage バケットの境界へのアクセスが、制限されたサービスとリソースのセットからのものであることが保証されます。

  • 次のいずれかに該当する場合は、Storage Transfer Service サービス アカウントをアクセスレベルに追加します。

    • Storage Transfer Service プロジェクトが Cloud Storage バケットのサービス境界外にある。

    • サービス アカウントが境界内にあるプロジェクトに属している場合でも、そのアカウントがフォーム project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com に適合しない。

      サービス アカウントの形式を確認するには、googleServiceAccounts.get API 呼び出しを使用します。

    このオプションでは、Storage Transfer Service プロジェクトをサービス境界内に配置する必要はありません。また、Storage Transfer Service サービス アカウントからのリクエストのみを許可するようにアクセスレベルを構成できます。

サービス境界

サービス境界を使用するには、サービス境界を作成するの手順で次のプロジェクトやサービスを追加します。

  • TransferJob プロジェクト
  • Cloud Storage バケット プロジェクト
  • Cloud Storage API(storage.googleapis.com)
  • Storage Transfer Service API(storagetransfer.googleapis.com)

境界ブリッジ

境界ブリッジを使用するには:

  1. Storage Transfer Service のサービス境界を作成します

  2. 接続する境界ブリッジを作成します

    • TransferJob プロジェクト
    • Cloud Storage バケット プロジェクト

アクセスレベル

アクセスレベルを使用するには、アクセスレベルの作成の手順に沿って TransferJob サービス アカウントへのアクセスを許可します。

アクセスレベルを作成したら、Cloud Storage バケットを含む Google Cloud プロジェクトへのアクセスを制限するサービス境界にアクセスレベルを追加します

トラブルシューティング

トラブルシューティングのヘルプについては、VPC Service Controls のトラブルシューティングをご覧ください。