En este documento, se describe paso a paso la configuración de los permisos de Google Cloud y Cloud Storage, lo que incluye lo siguiente:
- Preparar tu bucket de Cloud Storage
- Preparar una clave de Cloud Key Management Service para proteger tus datos
- Proporciona al equipo de Transfer Appliance tu configuración de bucket de Cloud Storage de datos no estructurados.
Antes de comenzar
Asegúrate de tener un correo electrónico del equipo de Transfer Appliance llamado Google Permisos de Transfer Appliance. Este correo electrónico contiene:
Los nombres de las cuentas de servicio necesarias para tu transferencia.
Un ID de sesión que necesitarás para configurar tu dispositivo.
Un formulario que debes completar una vez que configures tu cuenta.
Prepara los permisos en el bucket de Cloud Storage
Usamos dos cuentas de servicio para transferir tus datos. Las cuentas de servicio son cuentas especiales que usan con una aplicación y no con una persona. En este caso, las cuentas de servicio permitir que Transfer Appliance use recursos de Cloud Storage para transferir datos entre Cloud Storage y el dispositivo. Otorgas a estas cuentas los roles necesarios para transferir datos.
Para preparar el bucket de Cloud Storage, sigue estos pasos:
En un correo electrónico titulado Permisos de Google Transfer Appliance, el equipo de Transfer Appliance te proporciona el siguiente servicio: cuentas:
Una cuenta de servicio de sesión que esté vinculada a esta transferencia en particular Se ve como el siguiente ejemplo:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comEn este ejemplo,
SESSION_IDes el ID de la sesión. para esta transferencia en particular.Un agente de servicio que está vinculado a la Servicio de transferencia de datos locales, que usamos para transferir datos entre Cloud Storage y el dispositivo. Se ve similar al siguiente ejemplo:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comEn este ejemplo,
TENANT_IDENTIFIERes un valor generado específico para este proyecto en particular.
Toma nota de las cuentas de servicio para los próximos pasos.
Las cuentas de servicio permiten que Transfer Appliance manipule recursos de Google Cloud en tu nombre, es decir, para transferir datos entre Cloud Storage y el dispositivo. Le otorgas a estas cuentas los permisos necesarios roles para transferir datos entre Cloud Storage y el dispositivo.
Los buckets de Cloud Storage están vinculados a proyectos de Google Cloud. El bucket que seleccionar debe estar en el mismo proyecto que se usó para pedir el dispositivo.
Otorgar el permiso a las cuentas de servicio de Transfer Appliance para usar tu bucket de Cloud Storage, haz lo siguiente:
Consola de Google Cloud
- En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.
Haz clic en el menú Ampliado del bucket. (
)
asociada con el bucket en el que le estás otorgando un rol a la principal.Elige Editar permisos de depósito.
Haz clic en el botón Agregar principales.
En el campo Principales nuevas, ingresa las siguientes identidades:
La cuenta de servicio de la sesión. Se ve como el siguiente ejemplo:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comEn este ejemplo,
SESSION_IDes el el ID de sesión de esta transferencia en particular.El agente de servicio del Servicio de transferencia de datos locales. Se parece al siguiente ejemplo:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comEn este ejemplo,
TENANT_IDENTIFIERes un específico generado para este proyecto en particular.
En el menú desplegable Seleccionar un rol, selecciona el Administrador de almacenamiento.
Las funciones que seleccionas aparecen en el panel con una descripción breve del permiso que otorgan.
Haga clic en Save.
Línea de comandos
Usa el comando
gcloud storage buckets add-iam-policy-binding:gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
En este ejemplo:
BUCKET_NAME: Es el nombre del bucket que deseas. creando.SESSION_ID: Es el ID de sesión de esta transferencia en particular.TENANT_IDENTIFIER: un número generado específico para este proyecto en particular.
- En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.
Prepara la clave de Cloud KMS
Transfer Appliance protege tus datos en el dispositivo mediante la encriptación de los datos. Un servicio de Cloud Key Management Service Se usa una clave pública (Cloud KMS) para encriptar tus datos en Transfer Appliance, y se usa que se usan para desencriptar tus datos.
Usamos la cuenta de servicio de sesión de Prepara los permisos del bucket de Cloud Storage para subir la datos del bucket de Cloud Storage al dispositivo.
Tienes la siguiente opción para administrar las claves de encriptación:
- Crea y administra las claves de encriptación por tu cuenta. Creas y administras las claves de encriptación usadas para tu transferencia. Para ello, sigue las instrucciones que se indican a continuación. Prepararás una clave de desencriptación asimétrica de Cloud KMS y agregarás el de sesión de la cuenta de servicio a la clave.
Para preparar las claves de Cloud KMS, haz lo siguiente:
Si no tienes un llavero de claves de Cloud Key Management Service, haz lo siguiente para crear uno:
Consola de Google Cloud
Ve a la página Claves criptográficas de la Consola de Google Cloud
Haz clic en Crear llavero de claves.
En el campo Nombre del llavero de claves, ingresa el nombre de tu llavero de claves.
En el menú desplegable Ubicación del llavero de claves, selecciona una ubicación, como
"us-east1".Haga clic en Crear.
Línea de comandos
gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
En este ejemplo:
LOCATION: Es la ubicación de Cloud Key Management Service para el el llavero de claves. Por ejemplo,globalKEY_RING: Es el nombre del llavero de claves.PROJECT_ID: El ID del proyecto de Google Cloud en la que se encuentra tu bucket de almacenamiento.
Para crear una clave de desencriptación asimétrica, haz lo siguiente:
Consola de Google Cloud
Ve a la página Claves criptográficas de la Consola de Google Cloud
Haz clic en el nombre del llavero de claves para el que deseas crear una clave.
Haz clic en Crear clave.
En la sección ¿Qué tipo de clave deseas crear?, elige Clave generada.
Ingresa el nombre en el campo Nombre de la clave.
Haz clic en el menú desplegable Nivel de protección y selecciona Software.
Haz clic en el menú desplegable Propósito y selecciona Desencriptación asimétrica.
Haz clic en el menú desplegable Algoritmo y selecciona RSA de 4,096 bits - Relleno OAEP - Resumen de SHA256
Haz clic en Crear.
Línea de comandos
Ejecuta el siguiente comando para crear una clave de desencriptación asimétrica:
gcloud kms keys create KEY --keyring=KEY_RING \ --location=LOCATION --purpose=asymmetric-encryption \ --default-algorithm=rsa-decrypt-oaep-4096-sha256 \ --project=PROJECT_ID
En este ejemplo:
KEY: Es el nombre de la clave de Cloud Key Management Service. Por ejemplo,ta-keyKEY_RING: Es el nombre del llavero de claves.LOCATION: Es la ubicación de Cloud Key Management Service para el el llavero de claves. Por ejemplo,globalPROJECT_ID: El ID del proyecto de Google Cloud en la que se encuentra tu bucket de almacenamiento.
Para agregar la cuenta de servicio de sesión como una principal a la clave asimétrica, haz lo siguiente: lo siguiente:
Consola de Google Cloud
Ve a la página Claves criptográficas de la consola de Google Cloud.
Haz clic en el llavero de claves que contiene la clave asimétrica.
Selecciona la casilla de verificación de la clave que deseas.
En el panel de información, haz clic en Agregar principal.
Se mostrará Agregar principales.
En el campo Principales nuevas, ingresa la cuenta de servicio de la sesión que se proporcionó. por el equipo de Transfer Appliance. Se ve como el siguiente ejemplo:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comEn este ejemplo,
SESSION_IDes el el ID de sesión de esta transferencia en particular.En el campo Seleccionar un rol, agrega Clave criptográfica pública de Cloud KMS Key Viewer
Haz clic en Guardar.
Línea de comandos
Ejecuta el siguiente comando para otorgar a la cuenta de servicio de la sesión. el rol
roles/cloudkms.publicKeyViewer:gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.publicKeyViewer
En este ejemplo:
KEY: Es el nombre de la clave de Cloud Key Management Service. Por ejemplo,ta-keyKEY_RING: Es el nombre del llavero de claves.LOCATION: Es la ubicación de Cloud Key Management Service para el llavero de claves. Por ejemplo,globalSESSION_ID: Es el ID de sesión de esta transferencia en particular.
Para obtener la ruta de acceso de tu clave asimétrica, haz lo siguiente:
Consola de Google Cloud
Ve a la página Claves criptográficas en la consola de Google Cloud.
Haz clic en el llavero de claves que contiene la clave de desencriptación asimétrica.
Haz clic en el nombre de la clave de desencriptación asimétrica.
Selecciona la versión de clave que deseas y haz clic en Más. more_vert.
Haz clic en Copiar nombre del recurso.
Este es un ejemplo del formato de clave:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
En este ejemplo:
PROJECT_ID: El ID del proyecto de Google Cloud en la que se encuentra tu bucket de almacenamiento.LOCATION: Es la ubicación de Cloud Key Management Service para el llavero de claves.KEY_RING: Es el nombre del llavero de claves.KEY: Es el nombre de la clave de Cloud Key Management Service.VERSION_NUMBER: El número de versión de la clave.
El equipo de Transfer Appliance requiere toda la ruta de la clave, incluido el número de versión, para que puedan aplicar la clave correcta a tus datos.
Línea de comandos
Ejecuta el siguiente comando para mostrar la ruta completa de tu clave asimétrica. incluido su número de versión:
gcloud kms keys versions list --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
En este ejemplo:
KEY_RING: Es el nombre del llavero de claves.KEY: Es el nombre de la clave asimétrica.LOCATION: La ubicación de Google Cloud de la clave de Google.PROJECT_ID: Es el ID del proyecto de Google Cloud que se encuentra tu bucket de almacenamiento.
El resultado muestra una respuesta similar al siguiente ejemplo:
NAME STATE projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER ENABLED
En este ejemplo:
PROJECT_ID: El ID del proyecto de Google Cloud en la que se encuentra tu bucket de almacenamiento.LOCATION: Es la ubicación de Cloud Key Management Service para el llavero de claves.KEY_RING: Es el nombre del llavero de claves.KEY: Es el nombre de la clave de Cloud Key Management Service.VERSION_NUMBER: El número de versión de la clave.
El equipo de Transfer Appliance requiere la cadena de
NAMEque termina en/cryptoKeyVersions/VERSION_NUMBER, dondeVERSION_NUMBERes el número de versión de tu clave.
Proporciona al equipo de Transfer Appliance datos de configuración del bucket
Enviamos un correo electrónico con el título Permisos de Google Transfer Appliance para recopilar información sobre tu bucket de Cloud Storage. Usamos la información que proporcionas para configurar la transferencia de datos entre Cloud Storage y Transfer Appliance.
En el formulario vinculado desde ese correo electrónico, ingresa la siguiente información:
- El ID del proyecto de Google Cloud.
- Selecciona tu opción de Encriptación:
- Clave de encriptación administrada por el cliente, selecciona la clave de encriptación Selecciona una clave de encriptación administrada por el cliente.
- El nombre del bucket de Google Cloud Storage que se usa para de este transbordo.
Próximos pasos
Configurar puertos de red IP para Transfer Appliance para que funcione en tu red