Storage 移轉服務支援將資料移轉至受 VPC Service Controls 保護的 Cloud Storage 值區。
Storage 移轉服務必須存取 Cloud Storage bucket,才能將資料移入 Cloud Storage bucket,或是在 bucket 之間移動資料。如果 bucket 位於 VPC Service Controls 服務範圍內,您必須進行額外設定,才能使用 Storage 移轉服務將資料移轉至 Cloud Storage。
如要保護 TransferJob 和 TransferOperation 要求,您可以將 Storage 移轉服務 API 新增為服務範圍的受保護服務。如要保護底層的 Cloud Storage bucket 和物件,您也必須將 Cloud Storage API 新增為服務 perimeter 的受保護服務。
如要進一步瞭解 VPC Service Controls,請參閱「VPC Service Controls 總覽」。
如要瞭解如何搭配使用 VPC Service Controls 與檔案系統轉移作業,請參閱「為檔案系統轉移作業設定 VPC Service Controls」。
支援的設定
您可以透過下列方法,設定 Storage 移轉服務,以便使用受 VPC Service Controls 保護的 Cloud Storage 儲存空間:
如果符合下列任一條件,您可以將 Storage Transfer Service 專案新增至 Cloud Storage bucket 的服務周邊:
- 您可以在單一服務範圍內設定 Cloud Storage 值區。
- 所有 Cloud Storage 值區都位於同一服務邊界內。
這個選項最容易設定及管理。
如果符合下列任一條件,請為所有包含您在轉移作業中使用的 Cloud Storage 值區的專案建立周邊橋接器:
- 您無法變更 Cloud Storage bucket 的服務安全防護範圍。
- 您在不同的服務安全防護範圍內有 Cloud Storage 值區。
這個選項可讓 Storage 移轉服務專案在 Cloud Storage 專案之間移轉資料,即使兩個專案位於不同的服務範圍也沒問題。這個選項也能確保 Cloud Storage 值區周邊的存取權來自一組受限的服務和資源。
如果符合下列任一情況,請將 Storage 移轉服務服務帳戶新增至存取層級:
- 您的 Storage 移轉服務專案不在 Cloud Storage 值區的服務範圍內。
服務帳戶不符合
project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com格式,即使服務帳戶屬於安全防護範圍內的專案,也不例外。如要找出服務帳戶的格式,請使用
googleServiceAccounts.getAPI 呼叫。
這個選項不需要將 Storage 移轉服務專案放在服務範圍內。您也可以設定存取層級,只允許來自 Storage 移轉服務服務帳戶的要求。
service perimeter
如要使用服務範圍,請按照「建立服務範圍」中的操作說明,加入下列專案和服務:
TransferJob專案- Cloud Storage bucket 專案
- Cloud Storage API (storage.googleapis.com)
- Storage Transfer Service API (storagetransfer.googleapis.com)
重疊範圍
如何使用重疊範圍:
存取層級
如要使用存取層級,請按照「建立存取層級」中的操作說明,授予 TransferJob 服務帳戶存取權。
建立存取層級後,請將存取層級新增至服務範圍,限制對含有 Cloud Storage bucket 的 Google Cloud 專案的存取權。
疑難排解
如需疑難排解方面的協助,請參閱「VPC Service Controls 疑難排解」。