Como usar o serviço de transferências do Cloud Storage com VPC Service Controls

O serviço de transferência do Cloud Storage é compatível com transferências para buckets do Cloud Storage protegidos pelo VPC Service Controls.

Além disso, ele requer acesso a esses buckets para transferir dados. Se você tiver buckets dentro de um perímetro de serviço do VPC Service Controls, será necessária uma configuração extra para usar o Serviço de transferência do Cloud Storage para transferir dados para o Cloud Storage.

Para proteger as solicitações TransferJob e TransferOperation, adicione a API Storage Transfer Service aos seus parâmetros de serviço como um item protegido. Também é necessário fazer isso com a API Cloud Storage no caso de buckets e objetos subjacentes do Cloud Storage.

Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.

Para informações sobre como usar o VPC Service Controls com o serviço de transferência de dados locais, consulte Como usar a transferência local com VPC Service Controls.

Configurações aceitas

É possível configurar o funcionamento do serviço de transferência do Cloud Storage com buckets do Cloud Storage protegidos pelo VPC Service Controls por meio dos seguintes métodos:

  • Você pode adicionar o projeto do Storage Transfer Service ao perímetro de serviço dos buckets do Cloud Storage se uma das seguintes condições for verdadeira:

    • É possível configurar os buckets do Cloud Storage em um único perímetro de serviço.
    • Todos os buckets do Cloud Storage estão no mesmo perímetro de serviço.

    Essa opção serve apenas para transferências entre buckets do Cloud Storage e é a mais fácil de configurar e gerenciar.

  • Caso uma das condições a seguir for verdadeira, crie uma ponte do perímetro para todos os projetos que contêm os buckets do Cloud Storage que você está usando em uma transferência.

    • Não é possível alterar os perímetros de serviço dos buckets do Cloud Storage.
    • Você tem buckets do Cloud Storage em diferentes perímetros de serviço.

    Essa opção permite que o projeto do serviço de transferência do Cloud Storage transfira dados entre os projetos, mesmo que ambos estejam em perímetros de serviço diferentes. Ela também garante que o acesso aos perímetros do bucket do Cloud Storage seja de um conjunto restrito de serviços e recursos.

  • Adicione a conta de serviço do Serviço de transferência do Cloud Storage a um nível de acesso se uma das seguintes situações se aplicar a você:

    • você quer transferir dados de um provedor de nuvem externo para um bucket do Cloud Storage dentro de um perímetro de serviço;
    • seu projeto do serviço de transferência está fora do perímetro de serviço do bucket do Cloud Storage;
    • sua conta de serviço não se encaixa no formulário project-project_number@storage-transfer-service.iam.gserviceaccount.com, mesmo que ela pertença a um projeto dentro de um perímetro.

    Essa opção não exige que você coloque o projeto do Serviço de transferência do Cloud Storage em um perímetro de serviço. Ele também permite que você configure o nível de acesso para permitir apenas solicitações da conta de serviço do Serviço de transferência do Cloud Storage.

Perímetro de serviço

Se quiser usar um perímetro de serviço, siga as instruções em Criar um perímetro de serviço para incluir os projetos a seguir:

  • O projeto TransferJob
  • Projetos de buckets do Cloud Storage

Além disso, nessa página também há instruções sobre como proteger estes serviços:

  • API Cloud Storage (storage.googleapis.com)
  • API Storage Transfer Service (storagetransfer.googleapis.com)

Ponte do perímetro

Siga estas etapas para usar uma ponte do perímetro:

  1. Crie um perímetro de serviço para o serviço de transferência do Cloud Storage.

  2. Crie uma ponte do perímetro para conectar:

    • o projeto TransferJob;
    • projetos de buckets do Cloud Storage.

Nível de acesso

Para usar um nível de acesso, siga as instruções em Como criar um nível de acesso para conceder acesso à conta de serviço TransferJob.

Depois de criar seu nível de acesso, adicione-o ao perímetro de serviço que restringe o acesso aos projetos do Google Cloud que contêm os buckets do Cloud Storage.

Solução de problemas

Se precisar de ajuda na solução de problemas, consulte Solução de problemas do VPC Service Controls.