Questo documento descrive la configurazione delle autorizzazioni di Google Cloud e di Cloud Storage utilizzando l'applicazione di configurazione del cloud dell'appliance.
L'applicazione di configurazione dell'appliance cloud ti chiede informazioni, ad esempio l'ID sessione di trasferimento, il bucket Cloud Storage e le preferenze di Cloud Key Management Service (Cloud KMS). Utilizzando le informazioni fornite, l'Appliance Cloud Setup Application configura le autorizzazioni Google Cloud, il bucket Cloud Storage preferito e la chiave Cloud KMS per il trasferimento.
Prima di iniziare
Assicurati di disporre di quanto segue:
Il nome del progetto e la sede dell'attività utilizzati per ordinare l'appliance.
L'ID appliance, l'ID sessione, il nome del bucket e la chiave di crittografia specificati al momento dell'ordine dell'appliance. Puoi trovarlo nell'email dal titolo Autorizzazioni di Google Transfer Appliance.
L'agente di servizio Storage Transfer Service elencato nell'email intitolata Autorizzazioni di Google Transfer Appliance. Sembra simile all'esempio seguente:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com
In questo esempio,
TENANT_IDENTIFIER
è un numero generato specifico per questo progetto specifico.Utilizziamo Storage Transfer Service per trasferire i dati tra il tuo bucket Cloud Storage e l'appliance.
Assegna ruoli IAM
Devi disporre dei ruoli IAM corretti nel progetto e nel bucket Cloud Storage.
Se sei il proprietario del progetto, roles/owner
è sufficiente. Vai alla sezione successiva, Scaricare l'applicazione di configurazione Appliance Cloud.
Se non disponi del ruolo roles/owner
, devi disporre dei seguenti ruoli:
roles/storagetransfer.admin
: per creare l'account di servizio Storage Transfer Service.roles/transferappliance.viewer
: per recuperare il bucket Cloud Storage e Dettagli delle chiavi di Cloud Key Management Service.roles/storage.admin
: può essere concessa a livello di progetto se non hai creato un bucket Cloud Storage oppure a livello di bucket se utilizzi un bucket Cloud Storage esistente.roles/cloudkms.admin
: può essere concessa a livello di progetto se non lo hai già fatto ha creato una chiave Cloud KMS o può essere concessa a livello di chiave se stai utilizzando una chiave Cloud KMS esistente.
Visualizzazione dei ruoli
Per visualizzare i ruoli IAM di cui dispongono le entità per un progetto e le sue risorse, segui questi passaggi:
Nella console Google Cloud, vai alla pagina IAM.
La pagina mostra tutte le entità con ruoli IAM del progetto.
Scaricare l'applicazione Appliance Cloud Setup
Per scaricare l'applicazione Appliance Cloud Setup:
Apri la pagina di benvenuto della console Google Cloud.
Verifica che il nome del progetto utilizzato per il trasferimento sia visualizzato nel selettore dei progetti. Il selettore di progetti indica il progetto su cui stai lavorando.
Se non vedi il nome del progetto che stai utilizzando per il trasferimento, fai clic sul selettore del progetto e seleziona il progetto corretto.
Fai clic su Attiva Cloud Shell.
In Cloud Shell, utilizza il comando
wget
per scaricare l'applicazione di configurazione del cloud dell'appliance:wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Esegui l'applicazione Appliance Cloud Setup
In Cloud Shell, esegui questo comando per avviare l'applicazione di configurazione del cloud dell'appliance:
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
L'app ti guiderà attraverso i passaggi necessari per configurare il progetto.
Output applicazione
L'applicazione Appliance Cloud Setup completa le seguenti azioni:
- Concede le autorizzazioni agli account di servizio dell'appliance utilizzata per esportare i dati dal bucket Cloud Storage.
- Per esportare i dati dal tuo bucket Cloud Storage, sono supportate solo le chiavi di crittografia gestite dal cliente. Concedi l'autorizzazione ai service account dell'appliance per accedere ai dati delle chiavi Cloud KMS.
Mostra le seguenti informazioni:
- Il nome della risorsa chiave di crittografia Google Cloud
- Il nome del bucket di destinazione Google Cloud Storage.
Le informazioni visualizzate vengono archiviate anche nella home directory
Cloud Shell, denominato SESSION_ID-output.txt
,
dove SESSION_ID
è l'ID sessione
un determinato trasferimento.
I nomi degli account di servizio a cui è stata concessa l'autorizzazione per questo trasferimento specifico sono memorizzati nella home directory di Cloud Shell, denominata cloudsetup.log
.
Inviare le informazioni CMEK a Google
Inviaci le informazioni principali completando il modulo accessibile tramite un link nell'email intitolato Autorizzazioni di Google Transfer Appliance.
Risoluzione dei problemi
Errore 400: l'account di servizio non esiste
Problema:
Appliance Cloud Setup Application mostra il seguente messaggio:
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Dove SESSION_ID
è l'ID sessione fornito a
Applicazione di configurazione cloud dell'appliance.
Soluzione:
Verifica l'ID sessione per il trasferimento. L'ID sessione è univoco per ogni sessione di trasferimento e viene condiviso dal team di Transfer Appliance. Se non hai ricevuto un ID sessione, contatta data-support@google.com.
Errore: elenco delle località KMS
Problema:
Appliance Cloud Setup Application mostra il seguente messaggio:
Error: listing kms locations
Soluzione:
In Cloud Shell:
Esegui nuovamente l'autenticazione eseguendo
gcloud auth login
.Riprova l'applicazione di configurazione cloud dell'appliance.
Se l'errore persiste, contatta il team di Transfer Appliance all'indirizzo data-support@google.com.
Errore: errore di creazione del vincolo della chiave Cloud KMS
Problema:
L'applicazione di configurazione cloud dell'appliance visualizza un messaggio simile al seguente:
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Soluzione:
Il tuo progetto Google Cloud potrebbe avere criteri dell'organizzazione che impediscono la creazione Chiavi di Cloud Key Management Service in determinate località. Di seguito sono riportate alcune possibili soluzioni:
- Scegli una località diversa in cui creare la chiave Cloud Key Management Service.
- Aggiorna il criterio dell'organizzazione per consentire la creazione di chiavi di Cloud Key Management Service nella la posizione desiderata.
Per ulteriori informazioni, vedi Limitazione delle località delle risorse.