O serviço de transferência do Cloud Storage é compatível com transferências para buckets do Cloud Storage protegidos pelo VPC Service Controls.
Além disso, ele requer acesso a esses buckets para transferir dados. Se você tiver buckets dentro de um perímetro de serviço do VPC Service Controls, será necessária uma configuração extra para usar o Serviço de transferência do Cloud Storage para transferir dados para o Cloud Storage.
Para proteger as solicitações TransferJob e
TransferOperation, adicione
a API Storage Transfer Service aos seus parâmetros de serviço como um item protegido.
Também é necessário fazer isso com a API Cloud Storage no caso de
buckets e objetos subjacentes
do Cloud Storage.
Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.
Veja informações sobre como usar o VPC Service Controls com transferências de sistemas de arquivos em Configurar o VPC Service Controls para transferências de sistemas de arquivos.
Configurações aceitas
É possível configurar o funcionamento do serviço de transferência do Cloud Storage com buckets do Cloud Storage protegidos pelo VPC Service Controls por meio dos seguintes métodos:
Você pode adicionar o projeto do Storage Transfer Service ao perímetro de serviço dos buckets do Cloud Storage se uma das seguintes condições for verdadeira:
- É possível configurar os buckets do Cloud Storage em um único perímetro de serviço.
- Todos os buckets do Cloud Storage estão no mesmo perímetro de serviço.
Essa opção é a mais fácil de configurar e gerenciar.
Caso uma das condições a seguir for verdadeira, crie uma ponte do perímetro para todos os projetos que contêm os buckets do Cloud Storage que você está usando em uma transferência.
- Não é possível alterar os perímetros de serviço dos buckets do Cloud Storage.
- Você tem buckets do Cloud Storage em diferentes perímetros de serviço.
Essa opção permite que o projeto do serviço de transferência do Cloud Storage transfira dados entre os projetos, mesmo que ambos estejam em perímetros de serviço diferentes. Ela também garante que o acesso aos perímetros do bucket do Cloud Storage seja de um conjunto restrito de serviços e recursos.
Adicione a conta de serviço do Serviço de transferência do Cloud Storage a um nível de acesso se uma das seguintes situações se aplicar a você:
- seu projeto do serviço de transferência está fora do perímetro de serviço do bucket do Cloud Storage;
sua conta de serviço não se encaixa no formulário
project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com, mesmo que ela pertença a um projeto dentro de um perímetro.Para encontrar o formato da sua conta de serviço, use a chamada de API
googleServiceAccounts.get.
Essa opção não exige que você coloque o projeto do Serviço de transferência do Cloud Storage em um perímetro de serviço. Ele também permite que você configure o nível de acesso para permitir apenas solicitações da conta de serviço do Serviço de transferência do Cloud Storage.
Perímetro de serviço
Se quiser usar um perímetro de serviço, siga as instruções em Criar um perímetro de serviço para incluir os projetos a seguir:
- O projeto
TransferJob - Projetos de buckets do Cloud Storage
Além disso, nessa página também há instruções sobre como proteger estes serviços:
- API Cloud Storage (storage.googleapis.com)
- API Storage Transfer Service (storagetransfer.googleapis.com)
Ponte do perímetro
Siga estas etapas para usar uma ponte do perímetro:
Crie um perímetro de serviço para o serviço de transferência do Cloud Storage.
Crie uma ponte do perímetro para conectar:
- o projeto
TransferJob; - projetos de buckets do Cloud Storage.
- o projeto
Nível de acesso
Para usar um nível de acesso, siga as instruções em
Como criar um nível de acesso para
conceder acesso à conta
de serviço TransferJob.
Depois de criar seu nível de acesso, adicione-o ao perímetro de serviço que restringe o acesso aos projetos do Google Cloud que contêm os buckets do Cloud Storage.
Solução de problemas
Se precisar de ajuda na solução de problemas, consulte Solução de problemas do VPC Service Controls.