O serviço de transferência do Cloud Storage é compatível com transferências para buckets do Cloud Storage protegidos pelo VPC Service Controls.
Além disso, ele requer acesso a esses buckets para transferir dados. Se você tiver buckets dentro de um perímetro de serviço do VPC Service Controls, precisará fazer mais algumas configurações para transferir dados com o serviço de transferência do Cloud Storage.
Para proteger as solicitações TransferJob e
TransferOperation, adicione
a API Storage Transfer Service aos seus parâmetros de serviço como um item protegido.
Também é necessário fazer isso com a API Cloud Storage no caso de
buckets e objetos subjacentes
do Cloud Storage.
Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.
Para informações sobre como usar o VPC Service Controls com o serviço de transferência de dados locais, consulte Como usar a transferência local com VPC Service Controls.
Configurações aceitas
É possível configurar o funcionamento do serviço de transferência do Cloud Storage com buckets do Cloud Storage protegidos pelo VPC Service Controls por meio dos seguintes métodos:
Se você quiser colocar todos os buckets do Cloud Storage em um único perímetro de serviço ou se eles já estiverem organizados dessa forma, adicione o projeto do serviço de transferência ao perímetro de serviço dos buckets do Cloud Storage.
Esse método serve apenas para transferências entre buckets do Cloud Storage e é o mais fácil de configurar e gerenciar.
Se não for possível alterar os perímetros de serviço dos buckets do Cloud Storage ou se eles estiverem em diferentes perímetros de serviço, crie uma ponte do perímetro para todos os projetos com buckets do Cloud Storage para onde você quer transferir dados.
Esse método permite que o projeto do serviço de transferência do Cloud Storage transfira dados entre os projetos, mesmo que ambos estejam em perímetros de serviço diferentes. Esse método também garante que o acesso aos perímetros do bucket do Cloud Storage seja de um conjunto restrito de serviços e recursos.
Verifique se você se enquadra em uma destas descrições:
- você quer transferir dados de um provedor de nuvem externo para um bucket do Cloud Storage dentro de um perímetro de serviço;
- seu projeto do serviço de transferência está fora do perímetro de serviço do bucket do Cloud Storage;
- sua conta de serviço não se encaixa no formulário
project-project_number@storage-transfer-service.iam.gserviceaccount.com, mesmo que ela pertença a um projeto dentro de um perímetro.
Em caso afirmativo, adicione a conta do serviço de transferência do Cloud Storage a um nível de acesso.
Esse método não exige que você coloque o projeto do serviço de transferência do Cloud Storage em um perímetro de serviço. Além disso, com ele você pode configurar o nível de acesso para permitir apenas solicitações da conta desse serviço.
Perímetro de serviço
Se quiser usar um perímetro de serviço, siga as instruções em Criar um perímetro de serviço para incluir os projetos a seguir:
- O projeto
TransferJob - Projetos de buckets do Cloud Storage
Além disso, nessa página também há instruções sobre como proteger estes serviços:
- API Cloud Storage (storage.googleapis.com)
- API Storage Transfer Service (storagetransfer.googleapis.com)
Ponte do perímetro
Siga estas etapas para usar uma ponte do perímetro:
Crie um perímetro de serviço para o serviço de transferência do Cloud Storage.
Crie uma ponte do perímetro para conectar:
- o projeto
TransferJob; - projetos de buckets do Cloud Storage.
Nível de acesso
Para usar um nível de acesso, siga as instruções em
Como criar um nível de acesso para
conceder acesso à conta
de serviço TransferJob.
Depois de criar seu nível de acesso, adicione-o ao perímetro de serviço que restringe o acesso aos projetos do Google Cloud que contêm os buckets do Cloud Storage.
Solução de problemas
Se precisar de ajuda na solução de problemas, consulte Solução de problemas do VPC Service Controls.