In diesem Dokument wird Schritt für Schritt die Konfiguration von Google Cloud-Berechtigungen und Cloud Storage beschrieben, einschließlich:
- Cloud Storage-Bucket vorbereiten
- Cloud Key Management Service-Schlüssel zum Schutz Ihrer Daten vorbereiten
- Cloud Storage-Bucket-Konfigurationsdaten für das Transfer Appliance-Team bereitstellen
Hinweis
Sie müssen eine E-Mail vom Transfer Appliance-Team mit dem Betreff Google Transfer Appliance Permissions erhalten haben. Diese E-Mail enthält Folgendes:
Die Namen der Dienstkonten, die für die Übertragung erforderlich sind.
Eine Sitzungs-ID, die Sie zum Konfigurieren Ihrer Appliance benötigen.
Ein Formular, das Sie nach der Konfiguration Ihres Kontos ausfüllen.
Berechtigungen für Cloud Storage-Bucket vorbereiten
Wir verwenden zwei Dienstkonten, um Ihre Daten zu übertragen. Dienstkonten sind spezielle Konten, die von einer Anwendung und nicht von einer Person zum Arbeiten verwendet werden. In diesem Fall sind die Dienstkonten Transfer Appliance erlauben, Cloud Storage-Ressourcen zu verwenden in Ihrem Auftrag Daten zwischen Cloud Storage und der Appliance übertragen. Sie gewähren diesen Konten die erforderlichen Rollen zum Übertragen von Daten.
So bereiten Sie den Cloud Storage-Bucket vor:
In einer E-Mail mit dem Betreff Google Transfer Appliance Permissions stellt das Transfer Appliance-Team folgende Dienstkonten bereit:
Ein Sitzungsdienstkonto, das mit dieser bestimmten Übertragung verbunden ist. Es sieht in etwa so aus:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn diesem Beispiel ist
SESSION_IDdie Sitzungs-ID für diese bestimmte Übertragung.einen Dienst-Agent, der an den Transfer Service for On Premises Data Service, mit dem Daten zwischen Cloud Storage und der Appliance übertragen werden. Das sieht in etwa so aus:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn diesem Beispiel ist
TENANT_IDENTIFIEReine für dieses Projekt spezifische Nummer.
Notieren Sie sich die Dienstkonten für die nächsten Schritte.
Die Dienstkonten ermöglichen der Transfer Appliance, Google Cloud-Ressourcen in Ihrem Namen zu bearbeiten, also Daten zwischen Cloud Storage und der Appliance zu übertragen. Sie gewähren diesen Konten die erforderlichen Rollen für die Übertragung von Daten zwischen Cloud Storage und der Appliance.
Cloud Storage-Buckets sind an Google Cloud-Projekte gebunden. Der ausgewählte Bucket muss sich im selben Projekt befinden, das für die Bestellung des Geräts verwendet wurde.
So gewähren Sie den Transfer Appliance-Dienstkonten die Berechtigung, Ihren Cloud Storage-Bucket zu verwenden:
Google Cloud Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie auf das Dreipunkt-Menü (
) des Buckets, für den Sie einem Hauptkonto eine Rolle zuweisen.Wählen Sie Bucket-Berechtigungen bearbeiten.
Klicken Sie auf die Schaltfläche + Hauptkonten hinzufügen.
Geben Sie im Feld Neue Hauptkonten die folgenden Identitäten ein:
Das Sitzungsdienstkonto. Es sieht in etwa so aus:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn diesem Beispiel ist
SESSION_IDdie Sitzungs-ID für diese bestimmte Übertragung.Der Transfer Service for On Premises-Dienst-Agent. Das sieht in etwa so aus:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn diesem Beispiel ist
TENANT_IDENTIFIEReine für dieses Projekt generierte spezifische Nummer.
Wählen Sie im Drop-down-Menü Rolle auswählen die Rolle Storage-Administrator aus.
Die ausgewählten Rollen werden in der Ansicht mit einer kurzen Beschreibung ihrer jeweiligen Berechtigungen angezeigt.
Klicken Sie auf Speichern.
Befehlszeile
Führen Sie den Befehl
gcloud storage buckets add-iam-policy-bindingaus:gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
In diesem Fall gilt Folgendes:
BUCKET_NAME: Der Name des Buckets, den Sie erstellen.SESSION_ID: Die Sitzungs-ID für diese bestimmte Übertragung.TENANT_IDENTIFIER: Eine generierte Nummer, die für dieses Projekt spezifisch ist.
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Cloud KMS-Schlüssel vorbereiten
Transfer Appliance schützt Ihre Daten auf der Appliance. Die Daten werden dazu verschlüsselt. Ihrer Daten werden auf der Transfer Appliance mit einem öffentlichen Schlüssel des Cloud Key Management Service (Cloud KMS) verschlüsselt. Zum Entschlüsseln Ihrer Daten wird ein privater Schlüssel verwendet.
Wir verwenden das Sitzungsdienstkonto aus Berechtigungen für den Cloud Storage-Bucket vorbereiten, um die Daten aus Ihrem Cloud Storage-Bucket auf die Appliance hochzuladen.
Sie haben folgende Möglichkeiten, Verschlüsselungsschlüssel zu verwalten:
- Verschlüsselungsschlüssel selbst erstellen und verwalten. Sie erstellen und verwalten die für Ihre Übertragung verwendeten Verschlüsselungsschlüssel selbst. Folgen Sie dazu der unten angegebenen Anleitung. Sie bereiten einen asymmetrischen Cloud KMS-Entschlüsselungsschlüssel vor und fügen dem Schlüssel das Sitzungsdienstkonto hinzu.
So bereiten Sie Cloud KMS-Schlüssel vor:
Wenn Sie keinen Schlüsselbund für den Cloud Key Management Service haben, gehen Sie so vor:
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.
Klicken Sie auf KeyRing erstellen.
Geben Sie im Feld Schlüsselbundname den gewünschten Namen für den Schlüsselbund ein.
Wählen Sie im Drop-down-Menü Schlüsselbundort einen Standort wie
"us-east1"aus.Klicken Sie auf Erstellen.
Befehlszeile
gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
In diesem Beispiel:
LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund. Beispiel:globalKEY_RING: Der Name des Schlüsselbunds.PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.
So erstellen Sie einen asymmetrischen Entschlüsselungsschlüssel:
Google Cloud Console
Rufen Sie die Seite Kryptografische Schlüssel in der Google Cloud Console
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen möchten.
Klicken Sie auf Schlüssel erstellen.
Wählen Sie im Abschnitt Welche Art von Schlüssel möchten Sie erstellen? die Option Generierter Schlüssel aus.
Geben Sie im Feld Schlüsselname einen Namen für den Schlüssel ein.
Klicken Sie auf das Drop-down-Menü Schutzstufe und wählen Sie Software aus.
Klicken Sie auf das Drop-down-Menü Zweck und wählen Sie Asymmetrische Entschlüsselung aus.
Klicken Sie auf das Drop-down-Menü Algorithmus und wählen Sie 4.096-Bit-RSA – OAEP-Padding – SHA256-Digest aus.
Klicken Sie auf Erstellen.
Befehlszeile
Führen Sie den folgenden Befehl aus, um einen asymmetrischen Entschlüsselungsschlüssel zu erstellen:
gcloud kms keys create KEY --keyring=KEY_RING \ --location=LOCATION --purpose=asymmetric-encryption \ --default-algorithm=rsa-decrypt-oaep-4096-sha256 \ --project=PROJECT_ID
In diesem Beispiel:
KEY: Der Name des Cloud Key Management Service-Schlüssels. Beispiel:ta-keyKEY_RING: Der Name des Schlüsselbunds.LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund. Beispiel:global.PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.
Fügen Sie dem asymmetrischen Schlüssel das Sitzungsdienstkonto als Hauptkonto hinzu. Gehen Sie dazu so vor:
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.
Klicken Sie auf den Schlüsselbund, der Ihren asymmetrischen Schlüssel enthält.
Klicken Sie auf das Kästchen für den asymmetrischen Schlüssel.
Klicken Sie im Infofeld auf Hauptkonto hinzufügen.
Hauptkonten hinzufügen wird angezeigt.
Geben Sie im Feld Neue Hauptkonten das vom Transfer Appliance-Team bereitgestellte Sitzungsdienstkonto ein. Es sieht in etwa so aus:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn diesem Beispiel ist
SESSION_IDdie Sitzungs-ID für diese bestimmte Übertragung.Fügen Sie im Feld Rolle auswählen den Namen Cloud KMS CryptoKey Public Key Viewer.
Klicken Sie auf Speichern.
Befehlszeile
Führen Sie den folgenden Befehl aus, um dem Sitzungsdienstkonto die Rolle
roles/cloudkms.publicKeyViewerzuzuweisen:gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.publicKeyViewer
In diesem Beispiel:
KEY: Der Name des Cloud Key Management Service-Schlüssels. Beispiel:ta-keyKEY_RING: Der Name des Schlüsselbunds.LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund. Beispiel:global.SESSION_ID: Die Sitzungs-ID für diese bestimmte Übertragung.
So rufen Sie den Pfad eines asymmetrischen Schlüssels ab:
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.
Klicken Sie auf den Schlüsselbund, der Ihren asymmetrischen Entschlüsselungsschlüssel enthält.
Klicken Sie auf den Namen des asymmetrischen Entschlüsselungsschlüssels.
Wählen Sie die gewünschte Schlüsselversion aus und klicken Sie auf das Dreipunkt-Menü more_vert.
Klicken Sie auf Ressourcennamen kopieren.
Ein Beispiel für das Schlüsselformat:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
In diesem Beispiel:
PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund.KEY_RING: Der Name des Schlüsselbunds.KEY: Der Name des Cloud Key Management Service-Schlüssels.VERSION_NUMBER: Die Versionsnummer des Schlüssels.
Das Transfer Appliance-Team benötigt den gesamten Schlüsselpfad einschließlich der Versionsnummer, damit der richtige Schlüssel auf Ihre Daten angewendet werden kann.
Befehlszeile
Führen Sie den folgenden Befehl aus, um den vollständigen Pfad Ihres asymmetrischen Schlüssels einschließlich seiner Versionsnummer aufzulisten:
gcloud kms keys versions list --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
In diesem Beispiel:
KEY_RING: Name des Schlüsselbunds.KEY: Der Name Ihres asymmetrischen Schlüssels.LOCATION: Der Google Cloud-Speicherort des Schlüsselbunds.PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.
Die folgende Beispielantwort sieht ungefähr so aus wie die zurückgegebene Ausgabe:
NAME STATE projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER ENABLED
In diesem Beispiel:
PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund.KEY_RING: Der Name des Schlüsselbunds.KEY: Der Name des Cloud Key Management Service-Schlüssels.VERSION_NUMBER: Die Versionsnummer des Schlüssels.
Das Transfer Appliance-Team benötigt den String unter
NAME, der auf/cryptoKeyVersions/VERSION_NUMBERendet. Dabei istVERSION_NUMBERdie Versionsnummer Ihres Schlüssels.
Bucket-Konfigurationsdaten für das Transfer Appliance-Team bereitstellen
Wir senden eine E-Mail mit dem Betreff Google Transfer Appliance Permissions, um Informationen über Ihren Cloud Storage-Bucket zu erfassen. Wir verwenden die von Ihnen bereitgestellten Informationen, um die Übertragungsdaten zwischen Cloud Storage und der Transfer Appliance zu konfigurieren.
Geben Sie in das über diese E-Mail verlinkte Formular die folgenden Informationen ein:
- Die Google Cloud-Projekt-ID.
- Treffen Sie eine Auswahl für Verschlüsselung:
- Vom Kunden verwalteter Verschlüsselungsschlüssel: Wählen Sie den Verschlüsselungsschlüssel aus der Drop-down-Menü Wählen Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel aus.
- Den Namen des Google Cloud Storage-Buckets, der für diese Übertragung verwendet wird.
Nächste Schritte
Konfigurieren Sie IP-Netzwerkports, damit Transfer Appliance in Ihrem Netzwerk funktioniert.