为云对象存储转移配置 VPC Service Controls

Storage Transfer Service 支持转移到受 VPC Service Controls 保护的 Cloud Storage 存储桶。

Storage Transfer Service 需要 Cloud Storage 存储分区的访问权限才能将数据移入,或在 Cloud Storage 存储分区之间转移数据。如果您在 VPC Service Controls 服务边界中有存储分区,则需要进行额外设置,才能使用 Storage Transfer Service 将数据转移到 Cloud Storage。

为了保护您的 TransferJobTransferOperation 请求,您可以将 Storage Transfer Service API 作为受保护的服务添加到您的服务边界内。如需保护底层的 Cloud Storage 存储分区和对象,您还需要将 Cloud Storage API 作为受保护的服务添加到服务边界内。

如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览

如需了解如何将 VPC Service Controls 与文件系统转移结合使用,请参阅为文件系统转移配置 VPC Service Controls

受支持的配置

通过以下方法,可以配置 Storage Transfer Service 来使用受 VPC Service Controls 保护的 Cloud Storage 存储分区:

  • 如果满足以下任一条件,您可以将 Storage Transfer Service 项目添加到 Cloud Storage 存储分区的服务边界内:

    • 您可以在单个服务边界内配置 Cloud Storage 存储分区。
    • 所有 Cloud Storage 存储分区都位于同一服务边界内。

    此选项是最简单的设置和管理选项。

  • 如果满足以下任一条件,请为包含要在转移中使用的 Cloud Storage 存储分区的所有项目创建边界网桥

    • 您无法更改 Cloud Storage 存储分区的服务边界。
    • Cloud Storage 存储分区在不同的服务边界内。

    此选项允许您的 Storage Transfer Service 项目在 Cloud Storage 项目之间转移数据,即使这两个项目位于不同的服务边界内。此选项还可确保从一组受限的服务和资源访问 Cloud Storage 存储分区边界。

  • 如果满足以下任一条件,请将 Storage Transfer Service 服务账号添加到某个访问权限级别

    • 您的 Storage Transfer Service 项目不在 Cloud Storage 存储分区的服务边界内。
    • 您的服务账号不符合 project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com 的格式,即使该服务账号属于边界内的某个项目。

      如需查找您的服务账号的格式,请使用 googleServiceAccounts.get API 调用。

    此选项不要求您将 Storage Transfer Service 项目置于服务边界内。它还允许您将访问权限级别配置为仅允许来自 Storage Transfer Service 服务账号的请求。

服务边界

如需使用服务边界,请按照创建服务边界中的说明添加以下项目和服务:

  • 项目 TransferJob
  • Cloud Storage 存储分区项目
  • Cloud Storage API (storage.googleapis.com)
  • Storage Transfer Service API (storagetransfer.googleapis.com)

边界网桥

如需使用边界网桥,请执行以下操作:

  1. 为 Storage Transfer Service 创建服务边界

  2. 创建边界网桥以进行连接:

    • 项目 TransferJob
    • Cloud Storage 存储分区项目

访问权限级别

如需使用访问权限级别,请按照创建访问权限级别中的说明向TransferJob服务账号授予访问权限。

创建访问权限级别后,请将访问权限级别添加到服务边界,后者限制对包含 Cloud Storage 存储分区的 Google Cloud 项目的访问。

问题排查

如需问题排查帮助,请参阅 VPC Service Controls 问题排查