Como usar o serviço de transferências do Cloud Storage com o VPC Service Controls

O serviço de transferência de dados locais tem suporte Beta para operações com destino a buckets do Cloud Storage protegidos pelo VPC Service Controls.

Além disso, ele requer acesso a esses buckets para transferir dados. Se você tiver buckets dentro de um perímetro de serviço do VPC Service Controls, precisará fazer mais algumas configurações para transferir dados com o serviço de transferência do Cloud Storage.

Para proteger as solicitações TransferJob e TransferOperation, adicione a API Storage Transfer Service aos seus parâmetros de serviço como um item protegido. Também é necessário fazer isso com a API Cloud Storage no caso de buckets e objetos subjacentes do Cloud Storage.

Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.

Para informações sobre como usar o VPC Service Controls com o serviço de transferência de dados locais, consulte Como usar a transferência local com VPC Service Controls.

Configurações aceitas

É possível configurar o funcionamento do serviço de transferência do Cloud Storage com buckets do Cloud Storage protegidos pelo VPC Service Controls por meio dos seguintes métodos:

  • Se você quiser colocar todos os buckets do Cloud Storage em um único perímetro de serviço ou se eles já estiverem organizados dessa forma, adicione o projeto do serviço de transferência ao perímetro de serviço dos buckets do Cloud Storage.

    Esse método serve apenas para transferências entre buckets do Cloud Storage e é o mais fácil de configurar e gerenciar.

  • Se não for possível alterar os perímetros de serviço dos buckets do Cloud Storage ou se eles estiverem em diferentes perímetros de serviço, crie uma ponte do perímetro para todos os projetos com buckets do Cloud Storage para onde você quer transferir dados.

    Esse método permite que o projeto do serviço de transferência do Cloud Storage transfira dados entre os projetos, mesmo que ambos estejam em perímetros de serviço diferentes. Esse método também garante que o acesso aos perímetros do bucket do Cloud Storage seja de um conjunto restrito de serviços e recursos.

  • Verifique se você se enquadra em uma destas descrições:

    • você quer transferir dados de um provedor de nuvem externo para um bucket do Cloud Storage dentro de um perímetro de serviço;
    • seu projeto do serviço de transferência está fora do perímetro de serviço do bucket do Cloud Storage;
    • sua conta de serviço não se encaixa no formulário project-project_number@storage-transfer-service.iam.gserviceaccount.com, mesmo que ela pertença a um projeto dentro de um perímetro.

    Em caso afirmativo, adicione a conta do serviço de transferência do Cloud Storage a um nível de acesso.

    Esse método não exige que você coloque o projeto do serviço de transferência do Cloud Storage em um perímetro de serviço. Além disso, com ele você pode configurar o nível de acesso para permitir apenas solicitações da conta desse serviço.

Perímetro de serviço

Se quiser usar um perímetro de serviço, siga as instruções em Criar um perímetro de serviço para incluir os projetos a seguir:

  • O projeto TransferJob
  • Projetos de buckets do Cloud Storage

Além disso, nessa página também há instruções sobre como proteger estes serviços:

  • API Cloud Storage (storage.googleapis.com)
  • API Storage Transfer Service (storagetransfer.googleapis.com)

Ponte do perímetro

Siga estas etapas para usar uma ponte do perímetro:

  1. Crie um perímetro de serviço para o serviço de transferência do Cloud Storage.

  2. Crie uma ponte do perímetro para conectar:

  • o projeto TransferJob;
  • projetos de buckets do Cloud Storage.

Nível de acesso

Para usar um nível de acesso, siga as instruções em Como criar um nível de acesso para conceder acesso à conta de serviço TransferJob.

Depois de criar seu nível de acesso, adicione-o ao perímetro de serviço que restringe o acesso aos projetos do Google Cloud que contêm os buckets do Cloud Storage.

Solução de problemas

Se precisar de ajuda na solução de problemas, consulte Solução de problemas do VPC Service Controls.