Questo documento descrive la configurazione dettagliata delle autorizzazioni di Google Cloud e Cloud Storage, tra cui:
- Preparazione del bucket Cloud Storage.
- Prepara una chiave Cloud Key Management Service per proteggere i tuoi dati.
- Fornire al team di Transfer Appliance i dati di configurazione del bucket Cloud Storage.
Prima di iniziare
Assicurati di avere ricevuto un'email dal team di Transfer Appliance intitolata Autorizzazioni per Transfer Appliance di Google. Questa email contiene:
I nomi degli account di servizio richiesti per il trasferimento.
Un ID sessione necessario per configurare l'appliance.
Un modulo da compilare dopo aver configurato l'account.
Prepara le autorizzazioni per il bucket Cloud Storage
Utilizziamo due account di servizio per trasferire i tuoi dati. Gli account di servizio sono account speciali utilizzati da un'applicazione, non da una persona, per svolgere attività. In questo caso, gli account di servizio consentono a Transfer Appliance di utilizzare le risorse Cloud Storage per tuo conto per trasferire dati tra Cloud Storage e l'appliance. Concedi a questi account i ruoli necessari per trasferire i dati.
Per preparare il bucket Cloud Storage:
In un'email intitolata Autorizzazioni di Google Transfer Appliance, il team di Transfer Appliance ti fornisce i seguenti account di servizio:
Un account di servizio per la sessione associato a questo trasferimento specifico. È simile al seguente esempio:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè l'ID sessione per questo trasferimento specifico.Un agente di servizio associato al servizio Transfer Service for On Premises Data, che utilizziamo per trasferire dati tra Cloud Storage e l'appliance. È simile al seguente esempio:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn questo esempio,
TENANT_IDENTIFIERè un numero generato specifico per questo progetto specifico.
Prendi nota degli account di servizio per i passaggi successivi.
Gli account di servizio consentono a Transfer Appliance di manipolare le risorse Google Cloud per tuo conto, ovvero di trasferire dati tra Cloud Storage e l'appliance. Concedi a questi account i ruoli necessari per trasferire i dati tra Cloud Storage e l'appliance.
I bucket Cloud Storage sono collegati ai progetti Google Cloud. Il bucket selezionato deve trovarsi nello stesso progetto utilizzato per ordinare l'appliance.
Per concedere agli account di servizio Transfer Appliance l'autorizzazione per utilizzare il bucket Cloud Storage, procedi nel seguente modo:
Google Cloud Console
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Fai clic sul menu Extra del bucket (
)
associato al bucket a cui stai concedendo un ruolo all'entità.Scegli Modifica autorizzazioni bucket.
Fai clic sul pulsante + Aggiungi entità.
Nel campo Nuove entità, inserisci le seguenti identità:
L'account di servizio per la sessione. È simile al seguente esempio:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè l'ID sessione per questo trasferimento specifico.L'agente di servizio Transfer Service for On Premises Data. È simile al seguente esempio:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn questo esempio,
TENANT_IDENTIFIERè un numero generato specifico per questo progetto specifico.
Dal menu a discesa Seleziona un ruolo, seleziona il ruolo Amministratore Storage.
I ruoli selezionati vengono visualizzati nel riquadro con una breve descrizione delle autorizzazioni concesse.
Fai clic su Salva.
Riga di comando
Utilizza il comando
gcloud storage buckets add-iam-policy-binding:gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
In questo esempio:
BUCKET_NAME: il nome del bucket che stai creando.SESSION_ID: l'ID sessione per questo particolar trasferimento.TENANT_IDENTIFIER: un numero generato specifico per questo progetto specifico.
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Prepara la chiave Cloud KMS
Transfer Appliance protegge i dati sull'appliance criptandoli. Per criptare i dati su Transfer Appliance viene utilizzata una chiave pubblica di Cloud Key Management Service (Cloud KMS) e per decriptarli viene utilizzata una chiave privata.
Utilizziamo l'account di servizio della sessione di Prepara le autorizzazioni per il bucket Cloud Storage per caricare i dati dal bucket Cloud Storage all'appliance.
Per gestire le chiavi di crittografia hai a disposizione la seguente opzione:
- Crea e gestisci autonomamente le chiavi di crittografia. Devi creare e gestire le chiavi di crittografia utilizzate per il trasferimento seguendo le istruzioni riportate di seguito. Prepara una chiave di decrittografia asimmetrica Cloud KMS e aggiungi l'account di servizio della sessione alla chiave.
Per preparare le chiavi Cloud KMS, segui questi passaggi:
Se non hai un keyring Cloud Key Management Service, segui questa procedura per crearne uno:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella console Google Cloud.
Fai clic su Crea keyring.
Nel campo Nome della chiave automatizzata, inserisci il nome che preferisci per la chiave.
Dal menu a discesa Posizione portachiavi, seleziona una località come
"us-east1".Fai clic su Crea.
Riga di comando
gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
In questo esempio:
LOCATION: la posizione di Cloud Key Management Service per il portachiavi. Ad esempio,global.KEY_RING: il nome della chiave automatizzata.PROJECT_ID: l'ID progetto Google Cloud di cui fa parte il bucket di archiviazione.
Per creare una chiave di decriptazione asimmetrica:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella console Google Cloud.
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
Nella sezione Che tipo di chiave vuoi creare?, scegli Chiave generata.
Nel campo Nome chiave, inserisci il nome della chiave.
Fai clic sull'elenco a discesa Livello di protezione e seleziona Software.
Fai clic sul menu a discesa Scopi e seleziona Decrittografia asimmetrica.
Fai clic sul menu a discesa Algoritmo e seleziona RSA a 4096 bit - Padding OAEP - Digest SHA256
Fai clic su Crea.
Riga di comando
Esegui il seguente comando per creare una chiave di decriptazione asimmetrica:
gcloud kms keys create KEY --keyring=KEY_RING \ --location=LOCATION --purpose=asymmetric-encryption \ --default-algorithm=rsa-decrypt-oaep-4096-sha256 \ --project=PROJECT_ID
In questo esempio:
KEY: il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: il nome della chiave automatizzata.LOCATION: la posizione di Cloud Key Management Service per il portachiavi. Ad esempio,global.PROJECT_ID: l'ID progetto Google Cloud di cui fa parte il bucket di archiviazione.
Aggiungi l'account di servizio della sessione come entità alla chiave asimmetrica svolgendo quanto segue:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella console Google Cloud.
Fai clic sul keyring contenente la chiave asimmetrica.
Seleziona la casella di controllo per la chiave asimmetrica.
Nel riquadro Informazioni, fai clic su Aggiungi entità.
Viene visualizzato Aggiungi entità.
Nel campo Nuove entità, inserisci l'account di servizio della sessione fornito dal team di trasferimento dell'appliance. È simile al seguente esempio:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè l'ID sessione per questo trasferimento specifico.Nel campo Seleziona un ruolo, aggiungi il ruolo Cloud KMS CryptoKey Public Key Viewer.
Fai clic su Salva.
Riga di comando
Esegui il seguente comando per concedere all'account di servizio della sessione il ruolo
roles/cloudkms.publicKeyViewer:gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.publicKeyViewer
In questo esempio:
KEY: il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: il nome della chiave automatizzata.LOCATION: la posizione di Cloud Key Management Service per il portachiavi. Ad esempio,global.SESSION_ID: l'ID sessione per questo particolar trasferimento.
Per ottenere il percorso della chiave asimmetrica:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella console Google Cloud.
Fai clic sul keyring contenente la chiave di decriptazione asimmetrica.
Fai clic sul nome della chiave di decriptazione asimmetrica.
Seleziona la versione della chiave che preferisci e fai clic su Altromore_vert.
Fai clic su Copia nome risorsa.
Un esempio di formato della chiave è:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
In questo esempio:
PROJECT_ID: l'ID progetto Google Cloud di cui fa parte il bucket di archiviazione.LOCATION: la posizione di Cloud Key Management Service per il portachiavi.KEY_RING: il nome della chiave automatizzata.KEY: il nome della chiave Cloud Key Management Service.VERSION_NUMBER: il numero di versione della chiave.
Il team di Transfer Appliance richiede l'intero percorso della chiave, incluso il numero di versione, per poter applicare la chiave corretta ai dati.
Riga di comando
Esegui il comando seguente per elencare il percorso completo della chiave asimmetrica, incluso il numero di versione:
gcloud kms keys versions list --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
In questo esempio:
KEY_RING: il nome del tuo mazzo di chiavi.KEY: il nome della chiave asimmetrica.LOCATION: la posizione Google Cloud dell'anello di chiavi.PROJECT_ID: l'ID progetto Google Cloud associato al tuo bucket di archiviazione.
La seguente risposta di esempio è simile all'output restituito:
NAME STATE projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER ENABLED
In questo esempio:
PROJECT_ID: l'ID progetto Google Cloud di cui fa parte il bucket di archiviazione.LOCATION: la posizione di Cloud Key Management Service per il portachiavi.KEY_RING: il nome della chiave automatizzata.KEY: il nome della chiave Cloud Key Management Service.VERSION_NUMBER: il numero di versione della chiave.
Il team di Transfer Appliance richiede la stringa sotto
NAMEche termina con/cryptoKeyVersions/VERSION_NUMBER, doveVERSION_NUMBERè il numero di versione della chiave.
Fornisci al team di Transfer Appliance i dati di configurazione del bucket
Ti invieremo un'email intitolata Autorizzazioni di Google Transfer Appliance per raccogliere informazioni sul tuo bucket Cloud Storage. Utilizziamo le informazioni che fornisci per configurare il trasferimento dei dati tra Cloud Storage e Transfer Appliance.
Nel modulo collegato all'email, inserisci le seguenti informazioni:
- L'ID progetto Google Cloud.
- Seleziona la tua scelta per la crittografia:
- Chiave di crittografia gestita dal cliente, seleziona la chiave di crittografia dal menu a discesa Seleziona una chiave di crittografia gestita dal cliente.
- Il nome del bucket Google Cloud Storage utilizzato per questo trasferimento.
Passaggi successivi
Configura le porte di rete IP per far funzionare l'Transfer Appliance sulla tua rete.