Configurer le transfert sur site

La première fois que vous créez une tâche de service de transfert des données sur site, vous devez activer les API requises et vous assurer que les autorisations appropriées sont accordées.

Si vous recevez des messages d'erreur lors de la configuration initiale, vérifiez que l'utilisateur avec lequel vous vous êtes connecté dispose des autorisations nécessaires pour effectuer la configuration. Dans de nombreux cas, ces autorisations ne sont pas disponibles pour tous les utilisateurs et vous devrez peut-être contacter un administrateur de projet pour obtenir de l'aide.

Pour effectuer la configuration initiale, procédez comme suit :

  1. Activez l'API Pub/Sub :

    1. Accédez à la page Bibliothèque d'API de Google Cloud Console.

    Accéder à la page Bibliothèque d'API

    1. Dans le champ de recherche, saisissez Pub/Sub API.

    2. Sélectionnez API Pub/Sub.

      La page "API Pub/Sub" s'affiche.

    3. Cliquez sur Activer.

      La présentation de l'API Pub/Sub s'affiche.

  2. Utilisez l'administrateur de projet Google Cloud, qui est un utilisateur disposant des droits resourcemanager.projects.setIamPolicy, pour attribuer des autorisations ou des rôles Identity and Access Management aux ressources suivantes :
    • Comptes administrateur (admin) de transfert sur site : comptes super-utilisateur apportant une assistance aux collaborateurs qui effectuent les transferts. Les administrateurs gèrent les agents de transfert sur site et définissent les limites d'utilisation de la bande passante.
    • Comptes utilisateur de transfert sur site : comptes permettant de créer et d'effectuer des transferts. Ces comptes ne sont généralement pas autorisés à supprimer des tâches de transfert.
    • Compte de service de transfert sur site : compte de service permettant d'effectuer des transferts sur site.
    • Identité d'agent de transfert sur site : identité permettant d'exécuter l'agent de transfert sur site. Il peut s'agir d'un compte de service ou d'un compte utilisateur qui configure les agents sur site.

    Le compte administrateur du projet Google Cloud n'est nécessaire que pour configurer les utilisateurs du transfert et accorder les autorisations requises au compte de service de transfert sur site. Il n'est pas nécessaire pour démarrer des tâches de transfert.

    Pour en savoir plus sur l'octroi d'autorisations Identity and Access Management, consultez la page Accorder, modifier et révoquer les accès à des ressources.

    1. Pour configurer un compte administrateur de transfert sur site, attribuez à ce compte les autorisations et les rôles IAM suivants :
      Rôle/Autorisation Utilisation Notes
      resourcemanager.projects.getIamPolicy Cette autorisation permet de vérifier que le compte de service de transfert sur site dispose des autorisations requises pour effectuer un transfert.
      roles/storagetransfer.admin Permet d'effectuer des actions d'administration dans le projet de transfert, telles que la configuration du projet et la surveillance de l'agent. Pour obtenir la liste détaillée des autorisations accordées, consultez la section Rôles prédéfinis.
    2. Pour configurer un compte utilisateur de transfert sur site, attribuez à ce compte les autorisations et les rôles suivants :
      Rôle/Autorisation Utilisation Notes
      resourcemanager.projects.getIamPolicy Permet de vérifier que le compte de service de transfert sur site dispose des autorisations Pub/Sub requises pour effectuer un transfert.
      roles/storagetransfer.user Permet à l'utilisateur de créer, d'obtenir, de mettre à jour et de répertorier des transferts. Pour obtenir la liste détaillée des autorisations accordées, consultez la section Rôles prédéfinis.
      roles/storage.objectAdmin Permet à l'utilisateur de créer, de mettre à jour et de supprimer des objets Cloud Storage dans le cadre d'un transfert. Ce rôle doit être accordé à chaque bucket Cloud Storage que le compte utilisera lors des transferts.

      Pour obtenir la liste détaillée des autorisations accordées, consultez la section Rôles prédéfinis.
    3. Pour autoriser le compte de service de transfert sur site à accéder aux ressources nécessaires pour effectuer des transferts, attribuez les rôles suivants ou des autorisations équivalentes au compte de service de transfert sur site cloud-ingest-dcp@cloud-ingest-prod.iam.gserviceaccount.com :
      Rôle/Autorisation Utilisation Remarques
      roles/storage.objectCreator Permet au transfert sur site de créer des journaux de transfert dans le bucket Cloud Storage de destination. Ce rôle doit être accordé à tous les buckets Cloud Storage utilisés lors d'un transfert. Le cas échéant, vous pouvez l'accorder au projet à partir duquel le transfert sur site est exécuté.

      Pour obtenir la liste détaillée des autorisations attribuées par ces rôles, consultez la section Rôles prédéfinis.
      roles/storage.objectViewer Permet au transfert sur site de déterminer si un fichier a déjà été importé dans Cloud Storage.
      roles/pubsub.editor Permet au transfert sur site de créer et de modifier automatiquement des sujets Pub/Sub pour la communication entre Google Cloud et les agents de transfert sur site. Ce rôle doit être appliqué au projet à partir duquel le transfert sur site est exécuté.

      Pour obtenir la liste détaillée des autorisations accordées par ce rôle, consultez la section Rôles.
      storage.buckets.get Cette autorisation permet de lire les métadonnées des buckets Cloud Storage.
    4. Pour configurer un compte de service ou un compte utilisateur d'agent de transfert sur site qui exécutera les agents de transfert sur site, attribuez-lui les autorisations et les rôles suivants :
      Rôle/Autorisation Utilisation Notes
      roles/storage.objectAdmin Permet aux agents de transfert sur site de créer, de mettre à jour et de supprimer des objets Cloud Storage dans le cadre d'un transfert. Ce rôle doit être accordé à tous les buckets Cloud Storage utilisés lors d'un transfert. Le cas échéant, vous pouvez l'accorder au projet à partir duquel le transfert sur site est exécuté.

      Pour obtenir la liste détaillée des autorisations accordées par ce rôle, consultez la section Rôles.
      roles/pubsub.publisher Permet aux agents de transfert sur site de partager des informations avec Google Cloud à l'aide de sujets Pub/Sub. Pour obtenir la liste détaillée des autorisations accordées par ce rôle, consultez la section Rôles.
      roles/pubsub.subscriber Permet à Google Cloud de partager des informations avec les agents de transfert sur site à l'aide de sujets Pub/Sub. Pour obtenir la liste détaillée des autorisations accordées par ce rôle, consultez la section Rôles.
      pubsub.subscriptions.create Cette autorisation permet aux agents de transfert sur site de créer des abonnements Pub/Sub dans le sujet Pub/Sub utilisé pour la communication entre Google Cloud et les agents de transfert sur site.
      pubsub.subscriptions.delete Cette autorisation permet aux agents de transfert sur site qui se ferment correctement de nettoyer les abonnements Pub/Sub qu'ils créent.
  3. Installez et exécutez des agents sur site sur chacune de vos machines.

Étape suivante

Créez une tâche de transfert.