オンプレミス用 Transfer の設定

Transfer Service for On Premises Data ジョブを初めて作成するときに、必要な API を有効にして、適切な権限が付与されるようにする必要があります。

初回設定中にエラーが発生した場合は、設定手順に必要な権限がログイン ユーザーに付与されていることを確認してください。多くの場合、これらの権限はすべてのユーザーに付与されているわけではありません。プロジェクト管理者のサポートが必要になることがあります。

初回設定を行うには:

  1. Pub/Sub API を有効にします。

    1. Google Cloud Console で [API ライブラリ] ページに移動します。

    [API ライブラリ] ページに移動

    1. [検索] ボックスに「Pub/Sub API」と入力します。

    2. Pub/Sub API を選択します。

      Pub/Sub API ページが表示されます。

    3. [有効にする] をクリックします。

      Pub/Sub API の概要が表示されます。

  2. Google Cloud プロジェクト管理者(resourcemanager.projects.setIamPolicy 権限を持つユーザー)を使用して、次の対象に Identity and Access Management の権限またはロールを付与します。
    • オンプレミス用 Transfer 管理者アカウント - 転送を実行するユーザーをサポートするスーパー ユーザー アカウント。この管理者は、オンプレミス用 Transfer エージェントを管理し、帯域幅の使用量上限を設定します。
    • オンプレミス用 Transfer ユーザー アカウント - 転送の作成と実行に使用するアカウント。通常、これらのアカウントには転送ジョブの削除権限はありません。
    • オンプレミス用 Transfer サービス アカウント - オンプレミス用 Transfer で転送を行うために使用するサービス アカウント。
    • オンプレミス用 Transfer エージェント ID - オンプレミス用 Transfer エージェントの実行に使用する ID。これは、サービス アカウントか、オンプレミス エージェントを設定するユーザー アカウントのいずれかになります。

    Google Cloud プロジェクトの管理者アカウントは、転送ユーザーを設定し、必要な権限をオンプレミス用 Transfer サービス アカウントに付与する必要がありますが、転送ジョブを開始する必要はありません。

    Identity and Access Management の権限の付与については、リソースへのアクセス権の付与、変更、取り消しをご覧ください。

    1. オンプレミス用 Transfer 管理者アカウントを設定するには、アカウントに次の IAM の権限とロールを割り当てます。
      ロール / 権限 機能
      resourcemanager.projects.getIamPolicy この権限は、転送に必要な権限がオンプレミス用 Transfer サービス アカウントにあることを確認するために使用します。
      roles/storagetransfer.admin プロジェクト設定やエージェントのモニタリングなど、転送プロジェクトでの管理アクションを有効にします。 付与される権限の詳細については、事前定義ロールをご覧ください。
    2. オンプレミス用 Transfer ユーザー アカウントを設定するには、アカウントに次の権限とロールを割り当てます。
      ロール / 権限 機能
      resourcemanager.projects.getIamPolicy 転送に必要な Pub/Sub 権限がオンプレミス用 Transfer サービス アカウントにあることを確認するために使用されます。
      roles/storagetransfer.user ユーザーが、転送の作成、取得、更新、一覧表示をできるようになります。 付与される権限の詳細については、事前定義ロールをご覧ください。
      roles/storage.objectAdmin ユーザーが、転送の一部として Cloud Storage オブジェクトを作成、更新、削除できるようになります。 このアカウントが転送で使用するすべての Cloud Storage バケットに付与する必要があります。

      付与される権限の詳細については、事前定義ロールをご覧ください。
    3. 転送を完了するために必要なリソースにオンプレミス用 Transfer サービス アカウントがアクセスできるようにするには、次のロールまたは同等の権限をオンプレミス用 Transfer サービス アカウント cloud-ingest-dcp@cloud-ingest-prod.iam.gserviceaccount.com に割り当てます。
      ロール / 権限 機能
      roles/storage.objectCreator オンプレミス用 Transfer が、転送先の Cloud Storage バケットに転送ログを作成できるようになります。 転送で使用されるすべての Cloud Storage バケットに付与します。状況に応じて、オンプレミス用 Transfer の実行元プロジェクトにプロジェクト レベルでロールを付与できます。

      これらのロールで付与される権限の詳細については、事前定義ロールをご覧ください。
      roles/storage.objectViewer オンプレミス用 Transfer が、Cloud Storage にファイルがアップロードされているか確認できるようになります。
      roles/pubsub.editor オンプレミス用 Transfer が、Google Cloud からオンプレミス用 Transfer エージェントへの通信に使用される Pub/Sub トピックを自動的に作成し、変更できるようになります。 オンプレミス用 Transfer の実行元のプロジェクトにプロジェクト レベルでロールを適用します。

      このロールで付与される権限の詳細については、ロールをご覧ください。
      storage.buckets.get Cloud Storage バケットのメタデータの読み取りが可能になります。
    4. オンプレミス用 Transfer エージェント サービス アカウント、またはオンプレミス用 Transfer エージェントを実行するユーザー アカウントを設定するには、次の権限とロールを割り当てます。
      ロール / 権限 機能
      roles/storage.objectAdmin オンプレミス用 Transfer エージェントが、転送の一部として Cloud Storage オブジェクトを作成、更新、削除できるようになります。 転送で使用されるすべての Cloud Storage バケットに付与します。状況に応じて、オンプレミス用 Transfer の実行元プロジェクトにプロジェクト レベルでロールを付与できます。

      このロールで付与される権限の詳細については、ロールをご覧ください。
      roles/pubsub.publisher オンプレミス用 Transfer エージェントが、Pub/Sub トピックを使用して Google Cloud と情報を共有できるようになります。 このロールで付与される権限の詳細については、ロールをご覧ください。
      roles/pubsub.subscriber Google Cloud が、Pub/Sub トピックを使用してオンプレミス用 Transfer エージェントと情報を共有できるようになります。 このロールで付与される権限の詳細については、ロールをご覧ください。
      pubsub.subscriptions.create オンプレミス用 Transfer エージェントが、Google Cloud とオンプレミス用 Transfer エージェント間の通信に使用される Pub/Sub トピックに Pub/Sub サブスクリプションを作成できるようになります。
      pubsub.subscriptions.delete 正常に終了したオンプレミス用 Transfer エージェントが、作成した Pub/Sub サブスクリプションをクリーンアップできるようになります。
  3. それぞれのマシンにオンプレミス エージェントをインストールして実行します。

次のステップ

転送ジョブを作成します