Storage Transfer Service supporta i trasferimenti ai bucket Cloud Storage protetti dai Controlli di servizio VPC.
Storage Transfer Service richiede l'accesso ai bucket Cloud Storage per spostare i dati in o tra i bucket Cloud Storage. Se hai bucket all'interno di un perimetro di servizio Controlli di servizio VPC, è necessaria una configurazione aggiuntiva per utilizzare Storage Transfer Service per trasferire dati a Cloud Storage.
Per proteggere le richieste TransferJob e TransferOperation, puoi aggiungere l'API Storage Transfer Service come servizio protetto ai tuoi perimetri di servizio.
Per proteggere i bucket e gli oggetti Cloud Storage sottostanti, devi anche
aggiungere l'API Cloud Storage come servizio protetto al perimetro
di servizio.
Per saperne di più sui Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC.
Per informazioni sull'utilizzo dei Controlli di servizio VPC con i trasferimenti del file system, consulta Configurare i Controlli di servizio VPC per i trasferimenti del file system.
Configurazioni supportate
Puoi configurare Storage Transfer Service in modo che funzioni con i bucket Cloud Storage protetti dai Controlli di servizio VPC con i seguenti metodi:
Puoi aggiungere il tuo progetto Storage Transfer Service al perimetro di servizio dei tuoi bucket Cloud Storage se è vera una delle seguenti condizioni:
- Puoi configurare i bucket Cloud Storage all'interno di un singolo perimetro di servizio.
- Tutti i tuoi bucket Cloud Storage si trovano all'interno dello stesso perimetro di servizio.
Questa opzione è la più semplice da configurare e gestire.
Crea un bridge perimetrale per tutti i progetti che contengono i bucket Cloud Storage che utilizzi in un trasferimento se è vera una delle seguenti condizioni:
- Non puoi modificare i service perimeter dei tuoi bucket Cloud Storage.
- Hai bucket Cloud Storage in perimetri di servizio diversi.
Questa opzione consente al progetto Storage Transfer Service di trasferire dati tra i progetti Cloud Storage, anche se entrambi i progetti si trovano in perimetri di servizio diversi. Questa opzione garantisce inoltre che l'accesso ai perimetri del bucket Cloud Storage provenga da un insieme limitato di servizi e risorse.
Aggiungi il account di servizio Storage Transfer Service a un livello di accesso se si verifica una delle seguenti condizioni:
- Il progetto Storage Transfer Service si trova al di fuori del perimetro di servizio del bucket Cloud Storage.
Il tuo account di servizio non rientra nel modulo
project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com, anche se appartiene a un progetto all'interno di un perimetro.Per trovare il formato del account di servizio, utilizza la chiamata API
googleServiceAccounts.get.
Questa opzione non richiede di inserire il progetto Storage Transfer Service all'interno di un perimetro di servizio. Consente inoltre di configurare il livello di accesso in modo da consentire solo le richieste dall'account di servizio Storage Transfer Service.
Perimetro di servizio
Per utilizzare un perimetro di servizio, segui le istruzioni riportate in Creare un perimetro di servizio per includere i seguenti progetti e servizi:
- Il progetto
TransferJob - Progetti del bucket Cloud Storage
- API Cloud Storage (storage.googleapis.com)
- API Storage Transfer Service (storagetransfer.googleapis.com)
Bridge del perimetro
Per utilizzare un bridge del perimetro:
Crea un perimetro di servizio per Storage Transfer Service.
Crea un bridge del perimetro per connettere:
- Il progetto
TransferJob - Progetti del bucket Cloud Storage
- Il progetto
Livello di accesso
Per utilizzare un livello di accesso, segui le istruzioni riportate in Creazione di un livello di accesso per concedere l'accesso all'account di servizio TransferJob.
Dopo aver creato il livello di accesso, aggiungilo al perimetro di servizio che limita l'accesso ai progetti Google Cloud contenenti i bucket Cloud Storage.
Risoluzione dei problemi
Per assistenza nella risoluzione dei problemi, consulta Risoluzione dei problemi relativi ai Controlli di servizio VPC.