Dokumen ini menjelaskan cara mengonfigurasi izin Google Cloud dan Cloud Storage langkah demi langkah, termasuk:
- Menyiapkan bucket Cloud Storage Anda.
- Menyiapkan kunci Cloud Key Management Service untuk mengamankan data Anda.
- Memberikan data konfigurasi bucket Cloud Storage Anda kepada Tim Transfer Appliance.
Sebelum memulai
Pastikan Anda memiliki email dari Tim Transfer Appliance yang berjudul Izin Transfer Appliance Google. Email ini berisi:
Nama akun layanan yang diperlukan untuk transfer Anda.
ID sesi yang diperlukan untuk mengonfigurasi appliance.
Formulir yang akan Anda isi setelah mengonfigurasi akun.
Menyiapkan izin di bucket Cloud Storage
Kami menggunakan dua akun layanan untuk mentransfer data Anda. Akun layanan adalah akun khusus yang digunakan oleh aplikasi, bukan orang, untuk melakukan tugas. Dalam hal ini, akun layanan memungkinkan Transfer Appliance menggunakan resource Cloud Storage atas nama Anda untuk mentransfer data antara Cloud Storage dan appliance. Anda memberikan peran yang diperlukan ke akun ini untuk mentransfer data.
Untuk menyiapkan bucket Cloud Storage, ikuti langkah-langkah berikut:
Dalam email berjudul Izin Google Transfer Appliance, Tim Transfer Appliance akan memberikan akun layanan berikut kepada Anda:
Akun layanan sesi yang terikat dengan transfer tertentu ini. Tampilannya akan terlihat seperti contoh berikut:
ta-SESSION_ID@transfer-appliance-zimbru.
Dalam contoh ini,
SESSION_ID
adalah ID sesi untuk transfer khusus ini.Agen layanan yang terikat dengan Transfer Service for On Premises Data, yang kami gunakan untuk mentransfer data antara Cloud Storage dan appliance. Tampilannya akan terlihat seperti contoh berikut:
project-TENANT_IDENTIFIER@storage-transfer-service.
Dalam contoh ini,
TENANT_IDENTIFIER
adalah nomor yang dihasilkan khusus untuk project tertentu ini.
Perhatikan akun layanan untuk langkah berikutnya.
Akun layanan memungkinkan Transfer Appliance memanipulasi resource Google Cloud atas nama Anda, yaitu untuk mentransfer data antara Cloud Storage dan appliance. Anda memberikan peran yang diperlukan kepada akun ini untuk mentransfer data antara Cloud Storage dan appliance.
Bucket Cloud Storage terikat dengan project Google Cloud. Bucket yang Anda pilih harus berada dalam project yang sama dengan yang digunakan untuk memesan appliance.
Untuk memberikan izin kepada akun layanan Transfer Appliance agar dapat menggunakan bucket Cloud Storage Anda, lakukan tindakan berikut:
Konsol Google Cloud
- Di Konsol Google Cloud, buka halaman Bucket Cloud Storage.
Klik menu Bucket overflow () yang terkait dengan bucket tempat Anda memberikan peran kepada akun utama.
Pilih Edit izin bucket.
Klik tombol + Add principals.
Di kolom New principals, masukkan identitas berikut:
Akun layanan sesi. Tampilannya akan terlihat seperti contoh berikut:
ta-SESSION_ID@transfer-appliance-zimbru.
Dalam contoh ini,
SESSION_ID
adalah ID sesi untuk transfer khusus ini.Agen layanan Transfer Service for On Premises Data. Tampilannya terlihat mirip dengan contoh berikut:
project-TENANT_IDENTIFIER@storage-transfer-service.
Dalam contoh ini,
TENANT_IDENTIFIER
adalah nomor yang dihasilkan khusus untuk project tertentu ini.
Dari menu drop-down Pilih peran, pilih peran Storage Admin.
Peran yang Anda pilih akan muncul di panel dengan deskripsi singkat tentang izin yang diberikan.
Klik Simpan.
Command line
Gunakan perintah
gcloud storage buckets add-iam-policy-binding
:gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru. \ --role=roles/storage.admin
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service. \ --role=roles/storage.admin
Dalam contoh ini:
BUCKET_NAME
: Nama bucket yang Anda buat.SESSION_ID
: ID sesi untuk transfer tertentu ini.TENANT_IDENTIFIER
: Nomor yang dihasilkan khusus untuk project tertentu ini.
- Di Konsol Google Cloud, buka halaman Bucket Cloud Storage.
Menyiapkan kunci Cloud KMS
Transfer Appliance mengamankan data Anda di appliance dengan mengenkripsi data. Kunci publik Cloud Key Management Service (Cloud KMS) digunakan untuk mengenkripsi data Anda di Transfer Appliance, dan kunci pribadi digunakan untuk mendekripsi data Anda.
Kami menggunakan akun layanan sesi dari Menyiapkan izin di bucket Cloud Storage untuk mengupload data dari bucket Cloud Storage ke appliance.
Anda memiliki opsi berikut untuk mengelola kunci enkripsi:
- Buat dan kelola kunci enkripsi sendiri. Anda membuat dan mengelola kunci enkripsi yang digunakan untuk transfer, dengan mengikuti petunjuk di bawah. Anda menyiapkan kunci dekripsi asimetris Cloud KMS dan menambahkan akun layanan sesi ke kunci tersebut.
Untuk menyiapkan kunci Cloud KMS, lakukan hal berikut:
Jika Anda tidak memiliki key ring Cloud Key Management Service, lakukan hal berikut untuk membuatnya:
Konsol Google Cloud
Buka halaman Kunci Kriptografis di konsol Google Cloud.
Klik Create key ring.
Di kolom Key ring name, masukkan nama yang diinginkan untuk key ring Anda.
Dari dropdown Key ring location, pilih lokasi seperti
"us-east1"
.Klik Create.
Command line
gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
Dalam contoh ini:
LOCATION
: Lokasi Cloud Key Management Service untuk key ring. Contoh,global
.KEY_RING
: Nama key ring.PROJECT_ID
: Project ID Google Cloud yang menjadi bagian dari bucket penyimpanan Anda.
Buat kunci dekripsi asimetris dengan melakukan langkah berikut:
Konsol Google Cloud
Buka halaman Kunci Kriptografis di konsol Google Cloud.
Klik nama key ring yang ingin Anda buat kuncinya.
Klik Create key.
Di bagian Kunci jenis apa yang ingin Anda buat?, pilih Kunci yang dibuat.
Di kolom Key name, masukkan nama untuk kunci Anda.
Klik drop-down Tingkat perlindungan, lalu pilih Software.
Klik dropdown Tujuan, lalu pilih Dekripsi asimetris.
Klik dropdown Algorithm, lalu pilih 4096-bit RSA - OAEP Padding - SHA256 Digest
Klik Create.
Command line
Jalankan perintah berikut untuk membuat kunci dekripsi asimetris:
gcloud kms keys create KEY --keyring=KEY_RING \ --location=LOCATION --purpose=asymmetric-encryption \ --default-algorithm=rsa-decrypt-oaep-4096-sha256 \ --project=PROJECT_ID
Dalam contoh ini:
KEY
: Nama kunci Cloud Key Management Service. Contoh,ta-key
.KEY_RING
: Nama key ring.LOCATION
: Lokasi Cloud Key Management Service untuk key ring. Contoh,global
.PROJECT_ID
: Project ID Google Cloud yang menjadi bagian dari bucket penyimpanan Anda.
Tambahkan akun layanan sesi sebagai akun utama ke kunci asimetris dengan melakukan hal berikut:
Konsol Google Cloud
Buka halaman Kunci Kriptografis di konsol Google Cloud.
Klik key ring yang berisi kunci asimetris Anda.
Centang kotak untuk kunci asimetris.
Di Panel info, klik Tambahkan akun utama.
Add principals akan ditampilkan.
Di kolom New principals, masukkan akun layanan sesi yang disediakan oleh Tim Transfer Appliance. Tampilannya akan terlihat seperti contoh berikut:
ta-SESSION_ID@transfer-appliance-zimbru.
Dalam contoh ini,
SESSION_ID
adalah ID sesi untuk transfer khusus ini.Di kolom Select a role, tambahkan peran Cloud KMS CryptoKey Public Key Viewer.
Klik Simpan.
Command line
Jalankan perintah berikut untuk memberikan peran
roles/cloudkms.publicKeyViewer
kepada akun layanan sesi:gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru. \ --role=roles/cloudkms.publicKeyViewer
Dalam contoh ini:
KEY
: Nama kunci Cloud Key Management Service. Contoh,ta-key
.KEY_RING
: Nama key ring.LOCATION
: Lokasi Cloud Key Management Service untuk key ring. Contoh,global
.SESSION_ID
: ID sesi untuk transfer tertentu ini.
Dapatkan jalur kunci asimetris Anda dengan melakukan hal berikut:
Konsol Google Cloud
Buka halaman Kunci Kriptografis di konsol Google Cloud.
Klik key ring yang berisi kunci dekripsi asimetris Anda.
Klik nama kunci dekripsi asimetris.
Pilih versi kunci yang Anda inginkan, lalu klik Lainnya more_vert.
Klik Salin Nama Resource.
Contoh format kunci adalah:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
Dalam contoh ini:
PROJECT_ID
: Project ID Google Cloud yang menjadi bagian dari bucket penyimpanan Anda.LOCATION
: Lokasi Cloud Key Management Service untuk key ring.KEY_RING
: Nama key ring.KEY
: Nama kunci Cloud Key Management Service.VERSION_NUMBER
: Nomor versi kunci.
Tim Transfer Appliance memerlukan seluruh jalur kunci, termasuk nomor versi, sehingga mereka dapat menerapkan kunci yang benar ke data Anda.
Command line
Jalankan perintah berikut untuk menampilkan jalur lengkap kunci asimetris Anda, termasuk nomor versinya:
gcloud kms keys versions list --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
Dalam contoh ini:
KEY_RING
: Nama key ring Anda.KEY
: Nama kunci asimetris Anda.LOCATION
: Lokasi Google Cloud dari ring kunci.PROJECT_ID
: Project ID Google Cloud yang menjadi tempat bucket penyimpanan Anda.
Contoh respons berikut menyerupai output yang ditampilkan:
NAME STATE projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER ENABLED
Dalam contoh ini:
PROJECT_ID
: Project ID Google Cloud yang menjadi bagian dari bucket penyimpanan Anda.LOCATION
: Lokasi Cloud Key Management Service untuk key ring.KEY_RING
: Nama key ring.KEY
: Nama kunci Cloud Key Management Service.VERSION_NUMBER
: Nomor versi kunci.
Tim Transfer Appliance memerlukan string di bagian
NAME
yang diakhiri dengan/cryptoKeyVersions/VERSION_NUMBER
, denganVERSION_NUMBER
adalah nomor versi kunci Anda.
Memberikan data konfigurasi bucket kepada Tim Transfer Appliance
Kami mengirimkan email berjudul Izin Google Transfer Appliance untuk mengumpulkan informasi tentang bucket Cloud Storage Anda. Kami menggunakan informasi yang Anda berikan untuk mengonfigurasi data transfer antara Cloud Storage dan Transfer Appliance.
Dalam formulir yang ditautkan dari email tersebut, masukkan informasi berikut:
- Project ID Google Cloud.
- Pilih pilihan Anda untuk Enkripsi:
- Kunci enkripsi yang dikelola pelanggan, pilih kunci enkripsi dari menu drop-down Select a customer-managed encryption-key.
- Nama bucket Google Cloud Storage yang digunakan untuk transfer ini.
Apa langkah selanjutnya?
Konfigurasikan port jaringan IP agar Transfer Appliance berfungsi di jaringan Anda.