このドキュメントでは、Appliance Cloud 設定アプリケーションを使用して、Google Cloud の権限と Cloud Storage を構成する方法について説明します。
Appliance Cloud 設定アプリケーションからは、転送セッション ID、Cloud Storage バケット、Cloud Key Management Service(Cloud KMS)の設定などの情報の入力が求められます。Appliance Cloud 設定アプリケーションは、入力された情報を使用して、転送の Google Cloud 権限、優先 Cloud Storage バケット、Cloud KMS 鍵を構成します。
準備
以下があることを確認してください。
アプライアンスの注文に使用したプロジェクトの名前とビジネス拠点。
アプライアンスの注文時に指定した Appliance ID、セッション ID、バケット名、暗号鍵。これらの権限は、Google Transfer Appliance の権限というタイトルのメールに記載されています。
「Google Transfer Appliance の権限」というタイトルのメールの Storage Transfer Service サービス エージェント。次のような形式です。
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comこの例で、
TENANT_IDENTIFIERは、この特定のプロジェクトに固有の生成された番号です。Storage Transfer Service を使用して、Cloud Storage バケットとアプライアンスの間でデータを転送します。
IAM ロールを割り当てる
プロジェクトと Cloud Storage バケットには、適切な IAM ロールが付与されている必要があります。
プロジェクト オーナーの場合は、roles/owner で十分です。次のセクション(Appliance Cloud 設定アプリケーションをダウンロードする)に進みます。
roles/owner がない場合は、次のロールが必要です。
roles/storagetransfer.admin: Storage Transfer Service サービス アカウントを作成します。roles/transferappliance.viewer: Cloud Storage バケットと Cloud Key Management Service 鍵の詳細を取得します。roles/storage.admin: Cloud Storage バケットを作成していない場合は、プロジェクト レベルで付与できます。既存の Cloud Storage バケットを使用している場合は、バケットレベルで付与できます。roles/cloudkms.admin: Cloud KMS 鍵を作成していない場合は、プロジェクト レベルで付与するか、既存の Cloud KMS 鍵を使用している場合は鍵レベルで付与できます。
ロールの表示
プロジェクトとそのリソースについてプリンシパルが持つ IAM ロールを表示するには、次の手順を行います。
Google Cloud コンソールの [IAM] ページに移動します。
このページには、プロジェクトで IAM ロールを持つすべてのプリンシパルが表示されます。
Appliance Cloud 設定アプリケーションをダウンロードする
Appliance Cloud 設定アプリケーションをダウンロードするには:
Google Cloud コンソールの [スタート] ページを開きます。
転送に使用したプロジェクトの名前がプロジェクト セレクタに表示されていることを確認します。プロジェクト セレクタには、現在作業中のプロジェクトが表示されます。
転送に使用しているプロジェクトの名前が表示されない場合は、プロジェクト セレクタをクリックして正しいプロジェクトを選択します。
「Cloud Shell をアクティブにする」をクリックします。
Cloud Shell で、
wgetコマンドを使用して Appliance Cloud 設定アプリケーションをダウンロードします。wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Appliance Cloud 設定アプリケーションを実行する
Cloud Shell で次のコマンドを実行して、Appliance Cloud 設定アプリケーションを起動します。
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
プロジェクトの構成に必要な手順を順を追って説明します。
アプリケーションの出力
Appliance Cloud 設定アプリケーションは、次のアクションを実行します。
- Cloud Storage バケットからデータをエクスポートするために使用されるアプライアンス サービス アカウントに権限を付与します。
- Cloud Storage バケットからデータをエクスポートするには、顧客管理の暗号鍵のみがサポートされています。Appliance サービス アカウントに Cloud KMS 鍵データにアクセスする権限を付与します。
次の情報を表示します。
- Google Cloud 暗号鍵リソース名
- Google Cloud Cloud Storage の宛先バケット名。
表示される情報は、Cloud Shell のホーム ディレクトリ(SESSION_ID-output.txt)にも保存されます。ここで、SESSION_ID は、この転送に固有のセッション ID です。
この特定の転送の権限が付与されたサービス アカウントの名前は、Cloud Shell のホーム ディレクトリ(cloudsetup.log)に保存されます。
Google に CMEK 情報を送信する
「Google Transfer Appliance の権限」という件名のメールに記載されているリンク先のフォームに必要事項を入力して、鍵情報を送信します。
トラブルシューティング
エラー 400: サービス アカウントが存在しません
事象:
Appliance Cloud 設定アプリケーションに次のメッセージが表示されます。
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
ここで、SESSION_ID は、Appliance Cloud 設定アプリケーションに提供されるセッション ID です。
解決策:
転送のセッション ID を確認します。セッション ID は転送セッションごとに一意で、Transfer Appliance チームで共有されます。セッション ID が届かない場合は、data-support@google.com にお問い合わせください。
エラー: KMS のロケーションの一覧表示
事象:
Appliance Cloud 設定アプリケーションに次のメッセージが表示されます。
Error: listing kms locations
解決策:
Cloud Shell で次の操作を行います。
gcloud auth loginを実行して再認証します。Appliance Cloud 設定アプリケーションを再試行します。
エラーが解決しない場合は、Transfer Appliance チーム(data-support@google.com)にお問い合わせください。
エラー: Cloud KMS 鍵制約の作成エラー
事象:
Appliance Cloud 設定アプリケーションに次のようなメッセージが表示されます。
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
解決策:
Google Cloud プロジェクトには、特定のロケーションで Cloud Key Management Service 鍵を作成できない組織のポリシーがある場合があります。考えられる解決策は次のとおりです。
- Cloud Key Management Service 鍵を作成する別の場所を選択します。
- 目的のロケーションで Cloud Key Management Service 鍵の作成を許可するように組織のポリシーを更新します。
詳細については、リソース ロケーションの制限をご覧ください。