Neste tutorial, descrevemos como aumentar a proteção das transferências de dados do Amazon Simple Storage Service (Amazon S3) para o Cloud Storage usando o Serviço de transferência do Cloud Storage com um perímetro de VPC Service Controls. Este tutorial é voltado a proprietários de dados armazenados no Amazon S3 e àqueles que querem processar ou migrar esses dados com segurança para o Google Cloud.
Neste tutorial, pressupomos que você tenha familiaridade com a Amazon Web Services (AWS) e os princípios fundamentais de trabalhar com dados em armazenamentos de objetos. Neste tutorial, aplicamos um método baseado em conta de serviço que controla o acesso usando o Access Context Manager. Para mais níveis de acesso avançado além do método baseado em conta de serviço, consulte Como criar um nível de acesso.
Arquitetura
No diagrama a seguir, descrevemos a arquitetura do VPC Service Controls.
No diagrama anterior, o VPC Service Controls nega explicitamente a comunicação entre os serviços do Google Cloud a menos que ambos os projetos estejam no perímetro controlado.
Objetivos
- Configure o acesso da AWS.
- Crie o perímetro do VPC Service Controls.
- Criar uma política e um nível de acesso usando o Access Context Manager.
- Usar o Serviço de transferência do Cloud Storage para mover dados entre o Amazon S3 e o Cloud Storage.
- Programar o Serviço de transferência do Cloud Storage para recuperar dados em uma programação.
Custos
Neste documento, você usará os seguintes componentes faturáveis do Google Cloud:
Não há outros custos para usar o Serviço de transferência do Cloud Storage. Entretanto, os preços do Cloud Storage e os custos de fornecedores externos se aplicam ao usar o Serviço de transferência do Cloud Storage.
Para gerar uma estimativa de custo baseada na projeção de uso deste tutorial, use a calculadora de preços.
Ao concluir as tarefas descritas neste documento, é possível evitar o faturamento contínuo excluindo os recursos criados. Saiba mais em Limpeza.
Além dos recursos do Google Cloud, neste tutorial usamos os seguintes recursos da Amazon Web Services (AWS), que podem ter custos:
Antes de começar
- Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
-
No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
-
Ative as APIs Access Context Manager, Cloud Storage, and Storage Transfer Service.
-
No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
-
Ative as APIs Access Context Manager, Cloud Storage, and Storage Transfer Service.
-
No Console do Google Cloud, ative o Cloud Shell.
Na parte inferior do Console do Google Cloud, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a CLI do Google Cloud já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.
- No console do Google Cloud, acesse a página IAM e administrador para atribuir à sua conta os papéis de administrador do Storage e do Access Context Manager.
Acesse a página "IAM e administrador" firebase.projects.getresourcemanager.projects.getresourcemanager.projects.liststorage.buckets.*storage.objects.*accesscontextmanager.accessLevels.*accesscontextmanager.accessPolicies.*accesscontextmanager.accessPolicies.setIamPolicyaccesscontextmanager.accessPolicies.updateaccesscontextmanager.accessZones.*accesscontextmanager.policies.*accesscontextmanager.servicePerimeters.*resourcemanager.organizations.get
O papel de Administrador do Storage tem as seguintes permissões:
O papel de Administrador do Access Context Manager tem as seguintes permissões:
Como configurar o acesso da AWS
Neste tutorial, você trabalha com os usuários atuais do AWS Identity and Access Management (AWS IAM) para criar uma política AWS IAM que faça interface com o Serviço de transferência do Cloud Storage. Essas políticas e usuários são necessários para autenticar sua conexão com o Google Cloud e ajudar a proteger os dados em trânsito. Neste tutorial, é necessário que você tenha um bucket do Amazon S3 do qual fará a transferência dos dados. É possível usar um bucket existente do Amazon S3 ou criar um novo bucket. Use uma conta de teste ou sandbox da AWS para evitar afetar os recursos de produção na mesma conta.
Criar uma política de AWS IAM para o Serviço de transferência do Cloud Storage e aplicá-la ao bucket
- No AWS Management Console, acesse a página IAM.
- Clique em Policies e clique em Create Policy.
- No editor visual, clique em IAM Policy.
- Clique em S3.
Marque as seguintes caixas de seleção Access Level:
- List
- Read
- Write
No painel Resources, clique em Specific.
No painel Bucket, clique em Add ARN.
No campo Bucket Name, insira o nome do bucket de que você está transferindo dados.
Clique em Review Policy e insira um nome, como
transfer-user-policy.Clique em Create policy.
Adicionar usuários do AWS IAM à sua política de AWS IAM
- No AWS Management Console, acesse a página IAM.
- Clique em Users, depois em Add User.
- No campo Nome, use
transfer-user. - Para Access Type, clique em Programmatic Access e anexe o
transfer-user-policyque você criou para esse usuário. - Depois de criar o usuário, anote seu par de ID de acesso e de chave secreta, porque ele será usado posteriormente no tutorial.
- Clique em Save.
Como criar um bucket do Cloud Storage
Antes de ativar o perímetro de VPC Service Controls, você precisa criar um bucket do Cloud Storage.
No console do Google Cloud, acesse o navegador do Cloud Storage.
Clique em Create bucket.
No campo Name, digite um nome, como
project-id-destination-bucket, em queproject-idrepresenta seu ID de projeto do Google Cloud.Para a classe de armazenamento padrão do bucket, clique em Regional storage.
Na lista suspensa Location, clique em uma região em que os dados do bucket são armazenados.
Clique em Create.
Como encontrar o nome da conta de serviço de operações de transferência
O serviço de transferência do Cloud Storage usa uma conta de serviço gerenciada pelo Google para se comunicar com os recursos do Cloud Storage e do Pub/Sub no projeto. Você precisa determinar o nome da sua conta de serviço, porque ela será usada posteriormente neste tutorial. Se você nunca usou o serviço de transferência do Cloud Storage, a opção a seguir cria a conta do serviço de transferência para você. Para mais informações sobre contas de serviço gerenciadas pelo Google, consulte Contas de serviço.
- Para determinar o nome da sua conta de serviço, acesse a página API Storage Transfer Service.
No campo String, insira seu ID de projeto do Google Cloud.
O nome da conta de serviço geralmente está no seguinte formato:
project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com
Como criar a política de acesso no Access Context Manager
Uma política de acesso coleta os perímetros de serviço e os níveis de acesso que você cria para a organização. Uma organização pode ter apenas uma política de acesso.
No console do Google Cloud, abra a página Configurações.
Anote o ID do projeto do Google Cloud e o nome da organização.
No Cloud Shell, crie uma política:
gcloud access-context-manager policies create \ --organization organization-id --title policy-titleorganization-idé o ID da organização que você encontrou anteriormente.policy-titleé o título do perímetro. Por exemplo,Example-Company-Access-Policy.
A resposta é a seguinte:
Create request issued Waiting for operation [accessPolicies/policy-title/create/policy-number] to complete...done. Created.
policy-numberrepresenta um ID exclusivo atribuído ao título da política.
Como criar o perímetro do VPC Service Controls
Ao criar o perímetro do VPC Service Controls, você começa sem tráfego permitido. Em seguida, você cria um nível de acesso explícito para permitir que a operação de transferência envie dados para o perímetro controlado.
No console do Google Cloud, acesse a página VPC Service Controls.
Clique em Novo perímetro.
No campo Nome, insira um nome para o perímetro, como
data-transfer-perimeter.Deixe Perímetro regular selecionado.
Clique em Adicionar projeto e adicione o projeto criado por meio deste tutorial à lista de projetos a serem protegidos.
Clique em API Cloud Storage.
Deixe Níveis de acesso com o valor padrão.
Clique em Salvar.
Como criar o nível de acesso na política de acesso
Nesta seção, você limita o acesso ao VPC por meio da conta de serviço.
No Cloud Shell, crie um arquivo YAML chamado
conditions.yamlque lista os principais aos quais você quer conceder acesso:- members: - serviceAccount:project-project-number@storage-transfer-service.iam.gserviceaccount.com - user:sysadmin@example.comCrie o nível de acesso:
gcloud access-context-manager levels create name \ --title title \ --basic-level-spec ~./conditions.yaml \ --combine-function=OR \ --policy=policy-idnameé o nome exclusivo do nível de acesso. Ele precisa começar com uma letra e incluir apenas letras, números e sublinhados.titleé um título exclusivo da política, comotrusted-identity-ingest.policy-idé o ID da política de acesso da organização.combine-function, definida comoOR. O valor padrãoANDexige que todas as condições sejam atendidas antes de um nível de acesso ser concedido. O valorORconcede acesso aos principais mesmo se outras condições como endereço IP ou herdadas de outros níveis de acesso necessários, não sejam atendidas.
A saída será assim:
Create request issued for: name Waiting for operation [accessPolicies/policy-id/accessLevels/name/create/access-level-number] to complete...done. Created level name.
access-level-number representa um ID exclusivo atribuído ao nível de acesso.
Como vincular o nível de acesso ao VPC Service Controls
No console do Google Cloud, acesse VPC Service Controls.
Clique em Editar para VPC Service Controls.
Clique em Nível de acesso e selecione o nível de acesso
trusted-identity-ingest.Clique em Salvar.
Agora as únicas operações permitidas no perímetro controlado são aquelas da conta de serviço que você definiu.
Como iniciar a transferência
No console do Google Cloud, abra a página Transferir.
Clique em Criar transferência.
Clique em Bucket do Amazon S3.
No campo Bucket do Amazon S3, insira o nome do bucket do Amazon S3 conforme aparece no AWS Management Console.
Insira o ID da chave de acesso e a Chave secreta associados ao bucket do Amazon S3. Você copiou esses valores no início deste tutorial.
Em Selecionar destino, insira o nome do bucket que você criou no perímetro, como
project-id-destination-bucket.Para Configurar transferência, programe o job de transferência para Executar agora.
Opcional: edite o nome do job de transferência.
Para Descrição, use um nome exclusivo e descritivo para ajudar na identificação do job de transferência posteriormente.
Clique em Criar.
Limpeza
Para evitar cobranças na sua conta do Google Cloud pelos recursos usados no tutorial, exclua o projeto que os contém ou mantenha o projeto e exclua os recursos individuais.
Exclua o projeto
- No Console do Google Cloud, acesse a página Gerenciar recursos.
- Na lista de projetos, selecione o projeto que você quer excluir e clique em Excluir .
- Na caixa de diálogo, digite o ID do projeto e clique em Encerrar para excluí-lo.
A seguir
- Confira arquiteturas de referência, diagramas, tutoriais e práticas recomendadas do Google Cloud. Confira o Centro de arquitetura do Cloud.
- Veja maneiras mais avançadas de permitir níveis de acesso usando o Access Context Manager.