Cloud Storage からアプライアンスへのデータ エクスポート用に Google Cloud の権限と Cloud Storage をステップ バイ ステップで構成する

このドキュメントでは、次のような Google Cloud の権限と Cloud Storage をステップバイステップで構成します。

  • Cloud Storage バケットを準備します。
  • データを保護するための Cloud Key Management Service 鍵の準備。
  • Transfer Appliance チームに Cloud Storage バケットの構成データを提供する。

準備

Transfer Appliance チームからのメールが Google Transfer Appliance の権限 という名であることを確認します。このメールの内容は 次のとおりです。

  • 転送に必要なサービス アカウントの名前。

  • アプライアンスの構成に必要なセッション ID。

  • アカウントの設定が完了すると入力されるフォームです。

Cloud Storage バケットに対する権限を準備する

2 つのサービス アカウントを使用してデータを転送します。サービス アカウントは、人ではなく、作業を行うためにアプリケーションで使用される特別なアカウントです。このガイドでは、サービス アカウントを使用することで、Transfer Appliance が Cloud Storage リソースを使用して、Cloud Storage とアプライアンスの間でデータを転送できるようになります。データ転送に必要なロールをこれらのアカウントに付与します。

Cloud Storage バケットを準備するには、次の手順に従います。

  1. 「Google Transfer Appliance の権限」というタイトルのメールで、Transfer Appliance チームにより次のサービス アカウントが用意されます。

    • この転送に紐付けられたセッション サービス アカウント。次のような形式です。

      ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      この例で、SESSION_ID は、この転送に固有のセッション ID です。

    • Transfer Service for On Premises Data サービスに紐付けられたサービス エージェント。これは Cloud Storage とアプライアンスの間でデータを転送するために使用します。次のような形式です。

      project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

      この例で、TENANT_IDENTIFIER は、この特定のプロジェクトに固有の番号です。

    次の手順で使用するため、上記サービス アカウントをメモします。

    サービス アカウントを使用すると、Transfer Appliance でユーザーに代わって Google Cloud リソースを操作し、Cloud Storage とアプライアンスの間でデータを転送できます。これらのアカウントに、Cloud Storage とアプライアンスの間でデータを転送するために必要なロールを付与します。

  2. Cloud Storage バケットは Google Cloud プロジェクトに関連付けられています。選択するバケットは、アプライアンスの注文に使用したものと同じプロジェクト内に存在する必要があります。

  3. Transfer Appliance サービス アカウントに Cloud Storage バケットの使用権限を付与するには、次のようにします。

    Google Cloud Console

    1. Google Cloud コンソールで、Cloud Storage の [バケット] ページに移動します。

      [バケット] に移動

    2. プリンシパルにロールが付与されるバケットに関連付けられた [バケット オーバーフロー] メニュー()をクリックします。

    3. [バケットの権限を編集] を選択します。

    4. [+ プロジェクトを追加] ボタンをクリックします。

    5. [新しいプリンシパル] フィールドに、次の ID を入力します。

      • セッション サービス アカウント。次のような形式です。

        ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

        この例で、SESSION_ID は、この転送に固有のセッション ID です。

      • Transfer Service for On Premises Data サービス エージェント 次のような形式です。 例:

        project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

        この例で、TENANT_IDENTIFIER は、この特定のプロジェクトに固有の番号です。

    6. [ロールを選択] プルダウン メニューから [ストレージ管理者] ロールを選択します。

      選択した役割と付与する権限の簡単な説明がパネルに表示されます。

    7. [保存] をクリックします。

    コマンドライン

    gcloud storage buckets add-iam-policy-binding コマンドを次のように使用します。

    gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
    --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
    --role=roles/storage.admin
    gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
    --member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \
    --role=roles/storage.admin

    この例では、次のようになります。

    • BUCKET_NAME: 作成するバケットの名前。
    • SESSION_ID: この転送に固有のセッション ID。
    • TENANT_IDENTIFIER: この特定のプロジェクトに固有の生成された番号。

Cloud KMS 鍵の準備

Transfer Appliance では、データを暗号化してアプライアンス上のデータを保護します。Transfer Appliance では、データの暗号化に Cloud Key Management Service(Cloud KMS)の公開を使用し、データの復号に秘密鍵を使用します。

Cloud Storage バケットに対する権限の準備のセッション サービス アカウントを使用して、Cloud Storage バケットからアプライアンスにデータをアップロードします。

暗号鍵の管理には次のオプションがあります。

  • 暗号鍵を自分で作成して管理します。以下の手順に従って、転送に使用する暗号鍵を作成し、管理します。Cloud KMS の非対称復号鍵を準備し、鍵にセッション サービス アカウントを追加します。

Cloud KMS 鍵を準備するには、次の操作を行います。

  1. Cloud Key Management Service のキーリングがない場合は、次の手順で作成します。

    Google Cloud Console

    1. Google Cloud コンソールで [暗号鍵] ページに移動します。

      [暗号鍵] ページに移動

    2. [キーリングを作成] をクリックします。

    3. [キーリングの名前] フィールドに、キーリングの名前を入力します。

    4. [鍵リングの場所] プルダウンから、"us-east1" などの場所を選択します。

    5. [作成] をクリックします。

    コマンドライン

    gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
    

    この例では、

    • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
    • KEY_RING: キーリングの名前。
    • PROJECT_ID: ストレージ バケットが存在する Google Cloud プロジェクト ID。
  2. 次の手順で、非対称復号鍵を作成します。

    Google Cloud Console

    1. Google Cloud コンソールで [暗号鍵] ページに移動します。

      [暗号鍵] ページに移動

    2. 鍵を作成するキーリングの名前をクリックします。

    3. [鍵を作成] をクリックします。

    4. [作成する鍵の種類] で [生成された鍵] を選択します。

    5. [鍵名] フィールドに、鍵の名前を入力します。

    6. [保護レベル] プルダウンをクリックし、[ソフトウェア] を選択します。

    7. [目的] プルダウンをクリックし、[非対称復号] を選択します。

    8. [アルゴリズム] プルダウンをクリックし、[4096 ビット RSA - OAEP パディング - SHA256 ダイジェスト] を選択します。

    9. [作成] をクリックします。

    コマンドライン

    次のコマンドを実行して、非対称復号鍵を作成します。

    gcloud kms keys create KEY --keyring=KEY_RING \
    --location=LOCATION --purpose=asymmetric-encryption \
    --default-algorithm=rsa-decrypt-oaep-4096-sha256 \
    --project=PROJECT_ID
    

    この例では、

    • KEY: Cloud Key Management Service 鍵の名前。 例: ta-key
    • KEY_RING: キーリングの名前。
    • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
    • PROJECT_ID: ストレージ バケットが存在する Google Cloud プロジェクト ID。
  3. 次の手順に従い、セッション サービス アカウントをプリンシパルとして非対称鍵に追加します。

    Google Cloud Console

    1. Google Cloud コンソールで [暗号鍵] ページに移動します。

      [暗号鍵] ページに移動

    2. 非対称鍵を含むキーリングをクリックします。

    3. 使用する鍵のチェックボックスをオンにします。

    4. 情報パネルで [プリンシパルを追加] をクリックします。

      [プリンシパルを追加] が表示されます。

    5. [新しいプリンシパル] フィールドに、Transfer Appliance チームから提供されたセッション サービス アカウントを入力します。次のような形式です。

      ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      この例で、SESSION_ID は、この転送に固有のセッション ID です。

    6. [ロールを選択] フィールドに、[Cloud KMS 暗号鍵の公開鍵閲覧者] ロールを追加します。

    7. [保存] をクリックします。

    コマンドライン

    1. 次のコマンドを実行して、セッション サービス アカウントに roles/cloudkms.publicKeyViewer ロールを付与します。

      gcloud kms keys add-iam-policy-binding KEY \
      --keyring=KEY_RING --location=LOCATION \
      --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
      --role=roles/cloudkms.publicKeyViewer
      

      この例では、次のようになります。

      • KEY: Cloud Key Management Service 鍵の名前。 例: ta-key
      • KEY_RING: キーリングの名前。
      • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
      • SESSION_ID: この転送に固有のセッション ID。
  4. 次の手順を実行して、非対称鍵のパスを取得します。

    Google Cloud Console

    1. Google Cloud コンソールで暗号鍵のページに移動します。

      [暗号鍵] ページに移動

    2. 非対称復号鍵を含むキーリングをクリックします。

    3. 非対称復号鍵の名前をクリックします。

    4. 目的の鍵バージョンを選択して、その他アイコン()をクリックします。

    5. [リソース名をコピーする] をクリックします。

      鍵の形式の例を次に示します。

      projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER

      この例では、

      • PROJECT_ID: ストレージ バケットが存在する Google Cloud プロジェクト ID。
      • LOCATION: キーリングの Cloud Key Management Service のロケーション。
      • KEY_RING: キーリングの名前。
      • KEY: Cloud Key Management Service 鍵の名前。
      • VERSION_NUMBER: 鍵のバージョン番号

      Transfer Appliance チームでは、データに正しい鍵を適用できるように、バージョン番号を含むキーパス全体が必要です。

    コマンドライン

    次のコマンドを実行して、非対称鍵のフルパス(バージョン番号を含む)を一覧表示します。

    gcloud kms keys versions list --keyring=KEY_RING \
    --key=KEY --location=LOCATION \
    --project=PROJECT_ID
    

    この例では、

    • KEY_RING: キーリングの名前。
    • KEY: 非対称鍵の名前。
    • LOCATION: キーリングの Google Cloud のロケーション
    • PROJECT_ID: ストレージ バケットが置かれている Google Cloud プロジェクト ID。

    次のレスポンスのサンプルは、返される出力に似ています。

    NAME STATE
    projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
    ENABLED
    

    この例では、

    • PROJECT_ID: ストレージ バケットが存在する Google Cloud プロジェクト ID。
    • LOCATION: キーリングの Cloud Key Management Service のロケーション。
    • KEY_RING: キーリングの名前。
    • KEY: Cloud Key Management Service 鍵の名前。
    • VERSION_NUMBER: 鍵のバージョン番号

    Transfer Appliance チームでは、NAME の下にある /cryptoKeyVersions/VERSION_NUMBER で終わる文字列が必要です(VERSION_NUMBER は鍵のバージョン番号)。

Transfer Appliance チームにバケット構成データを提供する

Cloud Storage バケットに関する情報を収集するため、「Google Transfer Appliance の権限」というタイトルのメールを送信します。提供された情報を使用して、Cloud Storage と Transfer Appliance 間の転送データを構成します。

そのメールにリンクされているフォームに次の情報を入力します。

  • Google Cloud プロジェクト ID
  • [暗号化] で次のいずれかを選択します。
    • [顧客管理の暗号鍵] の場合は、[顧客管理の暗号鍵を選択] プルダウン メニューから暗号鍵を選択します。
  • この転送に使用された Google Cloud Storage バケット名

次のステップ

Transfer Appliance がネットワーク上で動作するように、IP ネットワーク ポートを構成します。