Ce document explique comment configurer des autorisations Google Cloud et Cloud Storage à l'aide de l'application de configuration cloud Appliance.
L'application de configuration cloud Appliance vous invite à saisir des informations, telles que votre ID de session de transfert, votre bucket Cloud Storage et vos préférences Cloud Key Management Service (Cloud KMS). Les informations que vous fournissez L'application de configuration cloud de l'appareil configure vos autorisations Google Cloud, de préférence bucket Cloud Storage et clé Cloud KMS pour le transfert.
Avant de commencer
Assurez-vous de disposer des éléments suivants :
Nom du projet et adresse de l'établissement utilisé pour commander l'appareil.
ID de l'appareil, ID de session, nom du bucket et clé de chiffrement spécifié lors de la commande de l'appareil. Vous les trouverez dans l'e-mail intitulé Autorisations Google Transfer Appliance.
L'agent de service du service de transfert de stockage indiqué dans l'e-mail intitulé Autorisations Google Transfer Appliance. Voici un exemple :
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com
Dans cet exemple,
TENANT_IDENTIFIER
est un numéro généré spécifique à ce projet.Nous utilisons le service de transfert de stockage pour transférer les données entre vos le bucket Cloud Storage et l'appareil.
Attribuer des rôles IAM
Vous devez disposer des des rôles IAM sur le projet et bucket Cloud Storage.
Si vous êtes le propriétaire du projet, roles/owner
est suffisant. Passer au suivant
Télécharger l'application de configuration cloud de l'appareil.
Si vous ne disposez pas de roles/owner
, vous devez disposer des rôles suivants:
roles/storagetransfer.admin
: pour créer le compte de service Storage Transfer Service.roles/transferappliance.viewer
: pour extraire le bucket Cloud Storage et Détails de la clé Cloud Key Management Service.roles/storage.admin
: peut être accordé au niveau du projet si vous ne l'avez pas fait créé un bucket Cloud Storage, ou cette autorisation peut être accordée au niveau du bucket vous utilisez un bucket Cloud Storage existant.roles/cloudkms.admin
: peut être accordé au niveau du projet si vous ne l'avez pas fait créé une clé Cloud KMS, ou cette autorisation au niveau de la clé vous utilisez une clé Cloud KMS existante.
Afficher les rôles
Pour afficher les rôles IAM dont vos comptes principaux disposent pour un projet et ses ressources, procédez comme suit :
Dans la console Google Cloud, accédez à la page IAM.
La page affiche tous les comptes principaux disposant des rôles IAM sur votre projet.
Télécharger l'application de configuration cloud de l'appareil
Pour télécharger l'application de configuration cloud Appliance Cloud :
Ouvrez la page d'accueil de la console Google Cloud.
Vérifiez que le nom du projet utilisé pour le transfert s'affiche dans le sélecteur de projet. Le sélecteur de projet vous indique le projet dans lequel vous travaillez actuellement.
Si vous ne voyez pas le nom du projet que vous utilisez pour le transfert, cliquez sur le sélecteur de projet, puis sélectionnez le bon projet.
Cliquez sur Activate Cloud Shell (Activer Cloud Shell).
Dans Cloud Shell, utilisez la commande
wget
pour télécharger l'application de configuration cloud Appliance Cloud :wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Exécuter l'application de configuration cloud de l'appareil
Dans Cloud Shell, exécutez la commande suivante pour démarrer l'application de configuration Cloud Appliance :
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
L'application vous guide tout au long des étapes requises pour configurer votre projet.
Sortie de l'application
L'application de configuration cloud Appliance effectue les actions suivantes :
- Accorde des autorisations aux comptes de service Appliance utilisés pour exporter des données depuis votre bucket Cloud Storage.
- Seules les clés de chiffrement gérées par le client sont compatibles avec l'exportation de données depuis votre bucket Cloud Storage. Accorder l'autorisation à les comptes de service de l'appareil pour accéder aux données de clé Cloud KMS.
Affiche les informations suivantes :
- Nom de ressource de la clé cryptographique Google Cloud
- Nom du bucket de destination Google Cloud Storage.
Les informations affichées sont également stockées dans le répertoire d'accueil de Cloud Shell, nommé SESSION_ID-output.txt
, où SESSION_ID
correspond à l'ID de session de ce transfert particulier.
Les noms des comptes de service autorisés à effectuer ce transfert sont stockés dans le répertoire d'accueil de Cloud Shell, nommé cloudsetup.log
.
Envoyer des informations CMEK à Google
Envoyez-nous les informations clés en remplissant le formulaire dont le lien figure dans l'e-mail intitulé Autorisations Google Transfer Appliance.
Dépannage
Erreur 400 : le compte de service n'existe pas
Problème :
L'application de configuration cloud de l'appareil affiche le message suivant:
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Où SESSION_ID
est l'ID de session fourni à
Application de configuration cloud de l'appareil.
Solution :
Vérifiez l'ID de session pour votre transfert. L'ID de session est unique à chaque session de transfert et partagé par l'équipe Transfer Appliance. Si vous n'avez pas reçu d'ID de session, contactez data-support@google.com.
Erreur : [context dependent] les emplacements KMS
Problème :
L'application de configuration cloud Appliance affiche le message suivant :
Error: listing kms locations
Solution :
Procédez comme suit dans Cloud Shell :
Ré-authentifiez-vous en exécutant la commande
gcloud auth login
.Application de configuration cloud Retry Appliance.
Si l'erreur persiste, contactez l'équipe Transfer Appliance à l'adresse data-support@google.com.
Erreur : erreur de création d'une contrainte de clé Cloud KMS
Problème :
L'application de configuration cloud Appliance affiche un message semblable à celui-ci :
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Solution :
Votre projet Google Cloud peut comporter des règles d'administration qui interdisent la création de clés Cloud Key Management Service dans certains emplacements. Voici les solutions possibles :
- Choisissez un autre emplacement pour créer la clé Cloud Key Management Service.
- Mettez à jour la règle d'administration pour autoriser la création de clés Cloud Key Management Service à l'emplacement souhaité.
Pour en savoir plus, consultez la section Restreindre les emplacements de ressources.