Zugriff auf eine Quelle konfigurieren: Microsoft Azure Storage

Sie können den Zugriff auf Quelldaten in Microsoft Azure Storage über den gemeinsamen Zugriff konfigurieren Signaturen (SAS).

Unterstützte Regionen

Storage Transfer Service kann Daten aus den folgenden Microsoft Azure Storage-Regionen übertragen: <ph type="x-smartling-placeholder">
    </ph>
  • Amerika:East US, East US 2, West US, West US 2, West US 3, Zentral-USA, Nord-Zentral-USA, Süd-Zentral-USA, West-Zentral-USA, Canada Central, Canada East, Brasilien South
  • Asiatisch-pazifischer Raum: Australien Zentral, Australien Ost, Australien Südost, Zentral-Indien, Süd-Indien, West-Indien, Südostasien, Ostasien, Japan Ost, Japan West, Korea Süd, Korea Zentral
  • Europa, Naher Osten, Afrika (EMEA): Zentral Frankreich, Deutschland West Mitte, Norwegen Ost, Schweden Mitte, Schweiz Nord, Nordeuropa, Westeuropa, UK Süd, UK West, Katar Central, VAE Nord, Südafrika Nord

Zugriff konfigurieren

So konfigurieren Sie den Zugriff auf einen Microsoft Azure Storage-Container:

  1. Erstellen oder verwenden Sie einen vorhandenen Microsoft Azure Storage-Nutzer, um auf das Speicherkonto für Ihren Microsoft Azure Storage Blob-Container zuzugreifen.

  2. Erstellen Sie ein SAS-Token auf Containerebene. Weitere Informationen finden Sie unter Eingeschränkten Zugriff auf Azure Storage-Ressourcen mit freigegebenen Zugriffssignaturen gewähren .

    1. Die Zulässigen Dienste müssen Blob enthalten.

    2. Wählen Sie unter Zulässige Ressourcentypen sowohl Container als auch Objekt aus.

    3. Die Zulässigen Berechtigungen müssen Lesen und Liste umfassen. Wenn die ist die Übertragung zum Löschen von Objekten aus der Quelle konfiguriert, müssen Sie auch enthalten die Berechtigung Löschen.

    4. Die Standardablaufzeit für SAS-Tokens beträgt 8 Stunden. Legen Sie eine angemessene die es Ihnen ermöglicht, die Übertragung erfolgreich abzuschließen.

    5. Geben Sie im Feld Zulässige IP-Adressen keine IP-Adressen an. Storage Transfer Service verwendet verschiedene IP-Adressen und unterstützt keine IP-Adressen Adressbeschränkung.

    6. Die zulässigen Protokolle sollten nur HTTPS sein.

  3. Notieren Sie sich nach der Erstellung des Tokens den SAS-Tokenwert, der zurückgegeben wird. Sie benötigen diesen Wert, wenn Sie Ihre Übertragung mit Storage Transfer Service konfigurieren.

<ph type="x-smartling-placeholder">

Microsoft-Anmeldedaten in Secret Manager speichern

Secret Manager ist ein sicherer Dienst zum Speichern und Verwalten sensible Daten wie Passwörter. Starke Verschlüsselung, rollenbasierter Zugriff Kontrolle und Audit-Logging zum Schutz Ihrer Secrets.

Storage Transfer Service kann Secret Manager zum Schutz Ihrer Azure-Umgebung nutzen Anmeldedaten. Storage Transfer Service unterstützt sowohl Shared Access Signature (SAS)-Tokens und Freigegebene Azure-Schlüssel in Secret Manager an.

Wenn Sie einen freigegebenen Schlüssel angeben, verwendet Storage Transfer Service diesen Schlüssel, um einen Service SAS dessen Bereich auf den in der Übertragung angegebenen Azure-Container beschränkt ist Job.

API aktivieren

Enable the Secret Manager API.

Enable the API

Zusätzliche Berechtigungen konfigurieren

Nutzerberechtigungen

Der Nutzer, der das Secret erstellt, benötigt die folgende Rolle:

  • Secret Manager-Administrator (roles/secretmanager.admin)

Hier erfahren Sie, wie Sie eine Rolle zuweisen.

Berechtigungen des Dienst-Agents

Für den Storage Transfer Service-Dienst-Agent ist die folgende IAM-Rolle erforderlich:

  • Auf Secret Manager-Secret zugreifende Person (roles/secretmanager.secretAccessor)

So weisen Sie Ihrem Dienst-Agent die Rolle zu:

Cloud Console

  1. Folgen Sie der Anleitung, um die E-Mail-Adresse Ihres Dienst-Agents abzurufen,

  2. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Textfeld Neue Hauptkonten die E-Mail-Adresse des Dienst-Agents ein.

  5. Suchen Sie im Drop-down-Menü Rolle auswählen nach Secret Manager und wählen Sie es aus. Geheime Zugriffsfunktion.

  6. Klicken Sie auf Speichern.

gcloud

IAM mit dem Befehl gcloud projects add-iam-policy-binding hinzufügen Rolle zu Ihrem Dienst-Agent zuweisen.

  1. Folgen Sie der Anleitung, um die E-Mail-Adresse Ihres Dienst-Agents abzurufen,

  2. Geben Sie in der Befehlszeile den folgenden Befehl ein:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member='serviceAccount:SERVICE_AGENT_EMAIL' \
  --role='roles/secretmanager.secretAccessor'

Secret erstellen

Erstellen Sie ein Secret mit Secret Manager:

Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

    Zu Secret Manager

  2. Klicken Sie auf Secret erstellen.

  3. Geben Sie einen Namen ein.

  4. Geben Sie Ihre Anmeldedaten im Textfeld Secret-Wert in eine der folgenden Formaten.

    {
  "sas_token" : "SAS_TOKEN_VALUE"
}

    oder:

    {
  "access_key" : "ACCESS_KEY"
}

  5. Klicken Sie auf Secret erstellen.

  6. Nachdem das Secret erstellt wurde, notieren Sie sich den vollständigen Ressourcennamen des Secrets:

    1. Wähle den Tab Übersicht aus.

    2. Kopieren Sie den Wert von Ressourcen-ID. Sie verwendet das folgende Format:

      projects/1234567890/secrets/SECRET_NAME

gcloud

Um mit dem gcloud-Befehlszeilentool ein neues Secret zu erstellen, übergeben Sie den Anmeldedaten im JSON-Format für den Befehl gcloud secrets create:

printf '{
  "sas_token" : "SAS_TOKEN_VALUE"
}' | gcloud secrets create SECRET_NAME --data-file=-

oder:

printf '{
  "access_key" : "ACCESS_KEY"
}' | gcloud secrets create SECRET_NAME --data-file=-

Rufen Sie den vollständigen Ressourcennamen des Secrets ab:

gcloud secrets describe SECRET_NAME

Notieren Sie sich den Wert von name in der Antwort. Sie verwendet das folgende Format:

projects/1234567890/secrets/SECRET_NAME

Weitere Informationen zum Erstellen und Verwalten von Secrets finden Sie in der Dokumentation zu Secret Manager

Secret an den Befehl zur Joberstellung übergeben

Secret Manager mit Storage Transfer Service erfordert die Verwendung der REST API, um einen Übertragungsjob zu erstellen.

Übergeben Sie den Secret Manager-Ressourcennamen als Wert des transferSpec.azureBlobStorageDataSource.credentialsSecret-Feld:

POST https://storagetransfer.googleapis.com/v1/transferJobs

{
  "description": "Transfer with Secret Manager",
  "status": "ENABLED",
  "projectId": "PROJECT_ID",
  "transferSpec": {
    "azureBlobStorageDataSource": {
      "storageAccount": "AZURE_SOURCE_NAME",
      "container": "AZURE_CONTAINER",
      "credentialsSecret": "SECRET_RESOURCE_ID",
    },
    "gcsDataSink": {
      "bucketName": "CLOUD_STORAGE_BUCKET_NAME"
    }
  }
}

IP-Einschränkungen

Wenn Sie den Zugriff auf Ihre Azure-Ressourcen mithilfe einer Azure Storage-Firewall einschränken, müssen Sie die von Storage Transfer Service-Worker verwendeten IP-Bereiche zur Liste der zulässige IP-Adressen.

Da sich diese IP-Bereiche ändern können, veröffentlichen wir die aktuellen Werte im JSON-Format permanente Adresse:

https://www.gstatic.com/storage-transfer-service/ipranges.json

Wenn der Datei ein neuer Bereich hinzugefügt wird, warten wir mindestens sieben Tage, und verwenden diesen Bereich für Anfragen vom Storage Transfer Service.

Wir empfehlen, Daten mindestens einmal pro Woche abzurufen, Ihre Sicherheitskonfiguration auf dem neuesten Stand zu halten. Für ein Python-Beispielskript, das IP-Bereiche aus einer JSON-Datei, siehe diesen Artikel der Virtual Private Cloud Dokumentation.

Um diese Bereiche als zulässige IP-Adressen hinzuzufügen, befolgen Sie die Anweisungen in der Microsoft Azure-Artikel: Azure Storage-Firewalls und virtuelle Netzwerke konfigurieren