Questo documento descrive la configurazione dettagliata delle autorizzazioni di Google Cloud e Cloud Storage, tra cui:
- Preparazione del bucket Cloud Storage in corso...
- Prepara una chiave Cloud Key Management Service per proteggere i tuoi dati.
- Fornire al team di Transfer Appliance la configurazione del bucket Cloud Storage e i dati di Google Cloud.
Prima di iniziare
Assicurati di ricevere un'email dal team di Transfer Appliance intitolata Google Autorizzazioni di Transfer Appliance. Questa email contiene:
I nomi degli account di servizio richiesti per il trasferimento.
Un ID sessione necessario per configurare l'appliance.
Un modulo da compilare dopo aver configurato il tuo account.
Prepara le autorizzazioni sul bucket Cloud Storage
Per trasferire i dati utilizziamo due account di servizio. Gli account di servizio sono account speciali utilizzati da un'applicazione, non da una persona, per svolgere attività. In questo caso, gli account di servizio consentono a Transfer Appliance di utilizzare le risorse Cloud Storage per tuo conto per trasferire dati tra Cloud Storage e l'appliance. Concedi a questi account i ruoli necessari per trasferire i dati.
Per preparare il bucket Cloud Storage:
In un'email intitolata Autorizzazioni di Google Transfer Appliance, il team di Transfer Appliance ti fornisce il seguente servizio account:
Un account di servizio per la sessione associato a questo trasferimento specifico. L'esempio riportato è il seguente:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè l'ID sessione per questo trasferimento specifico.Un agente di servizio associato al servizio Transfer Service for On Premises Data, che utilizziamo per trasferire dati tra Cloud Storage e l'appliance. Avrà un aspetto simile al seguente esempio:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn questo esempio,
TENANT_IDENTIFIERè un numero generato specifico per questo progetto specifico.
Prendi nota degli account di servizio per i passaggi successivi.
Gli account di servizio consentono a Transfer Appliance di manipolare le risorse Google Cloud per tuo conto, ovvero di trasferire dati tra Cloud Storage e l'appliance. Concede a questi account le necessarie ruoli per trasferire dati tra Cloud Storage e l'appliance.
I bucket Cloud Storage sono collegati ai progetti Google Cloud. Il bucket selezionato deve trovarsi nello stesso progetto utilizzato per ordinare l'appliance.
Per concedere l'autorizzazione per gli account di servizio di Transfer Appliance per utilizzare il bucket Cloud Storage, segui questi passaggi:
Google Cloud Console
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Fai clic sul menu overflow del bucket (
)
associati al bucket a cui stai concedendo un ruolo all'entità.Scegli Modifica autorizzazioni bucket.
Fai clic sul pulsante + Aggiungi entità.
Nel campo Nuove entità, inserisci le seguenti identità:
L'account di servizio della sessione. L'esempio riportato è il seguente:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè il di sessione per questo particolare trasferimento.L'agente del servizio dati Transfer Service for On Premises Data. È simile al seguente esempio:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn questo esempio,
TENANT_IDENTIFIERè un generato specifico per questo particolare progetto.
Dal menu a discesa Seleziona un ruolo, seleziona il ruolo Amministratore Storage.
I ruoli selezionati vengono visualizzati nel riquadro con una breve descrizione le autorizzazioni che concedono.
Fai clic su Salva.
Riga di comando
Utilizza la
gcloud storage buckets add-iam-policy-binding:gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
In questo esempio:
BUCKET_NAME: il nome del bucket che stai è in fase di creazione.SESSION_ID: l'ID sessione per questo particolar trasferimento.TENANT_IDENTIFIER: un numero generato specifico per questo progetto specifico.
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
prepara la chiave Cloud KMS
Transfer Appliance protegge i dati sull'appliance la crittografia dei dati. Un Cloud Key Management Service Viene utilizzata una chiave pubblica (Cloud KMS) per criptare i tuoi dati su Transfer Appliance e una chiave privata utilizzati per decriptare i dati.
Utilizziamo l'account di servizio della sessione Prepara le autorizzazioni sul bucket Cloud Storage per caricare il file dal bucket Cloud Storage all'appliance.
Per gestire le chiavi di crittografia, hai la seguente opzione:
- Crea e gestisci autonomamente le chiavi di crittografia. Devi creare e gestire le chiavi di crittografia utilizzate per il trasferimento seguendo le istruzioni riportate di seguito. Prepara una chiave di decrittografia asimmetrica di Cloud KMS e aggiungi di servizio alla chiave.
Per preparare le chiavi Cloud KMS, segui questi passaggi:
Se non hai un keyring di Cloud Key Management Service, procedi nel seguente modo per crearne uno:
Google Cloud Console
Vai alla pagina Chiavi di crittografia nel nella console Google Cloud.
Fai clic su Crea keyring.
Nel campo Nome del keyring, inserisci il nome che preferisci per il keyring.
Dal menu a discesa Posizione keyring, seleziona una posizione, ad esempio
"us-east1".Fai clic su Crea.
Riga di comando
gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
In questo esempio:
LOCATION: la località di Cloud Key Management Service per il keyring. Ad esempio,global.KEY_RING: il nome del keyring.PROJECT_ID: l'ID progetto Google Cloud di cui fa parte il bucket di archiviazione.
Crea una chiave di decrittografia asimmetrica seguendo questi passaggi:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella console Google Cloud.
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
Nella sezione Che tipo di chiave vuoi creare?, scegli Chiave generata.
Nel campo Nome chiave, inserisci il nome della chiave.
Fai clic sull'elenco a discesa Livello di protezione e seleziona Software.
Fai clic sul menu a discesa Scopi e seleziona Decrittografia asimmetrica.
Fai clic sul menu a discesa Algoritmo e seleziona RSA a 4096 bit - Padding OAEP - Digest SHA256
Fai clic su Crea.
Riga di comando
Esegui questo comando per creare una chiave di decrittografia asimmetrica:
gcloud kms keys create KEY --keyring=KEY_RING \ --location=LOCATION --purpose=asymmetric-encryption \ --default-algorithm=rsa-decrypt-oaep-4096-sha256 \ --project=PROJECT_ID
In questo esempio:
KEY: il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: nome del keyring.LOCATION: la località di Cloud Key Management Service per il keyring. Ad esempio,global.PROJECT_ID: l'ID progetto Google Cloud di cui fa parte il bucket di archiviazione.
Aggiungi l'account di servizio della sessione come entità alla chiave asimmetrica eseguendo questa operazione le seguenti:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella console Google Cloud.
Fai clic sul keyring contenente la chiave asimmetrica.
Seleziona la casella di controllo per la chiave asimmetrica.
Nel riquadro Informazioni, fai clic su Aggiungi entità.
Viene visualizzata la schermata Aggiungi entità.
Nel campo Nuove entità, inserisci l'account di servizio fornito per la sessione dal team di Transfer Appliance. L'esempio riportato è il seguente:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè il di sessione per questo particolare trasferimento.Nel campo Seleziona un ruolo, aggiungi la CryptoKey Cloud KMS pubblica Visualizzatore chiavi.
Fai clic su Salva.
Riga di comando
Esegui questo comando per concedere l'account di servizio della sessione Il ruolo
roles/cloudkms.publicKeyViewer:gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.publicKeyViewer
In questo esempio:
KEY: il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: nome del keyring.LOCATION: la posizione di Cloud Key Management Service per il portachiavi. Ad esempio,global.SESSION_ID: l'ID sessione per questo particolar trasferimento.
Per ottenere il percorso della chiave asimmetrica, procedi nel seguente modo:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella console Google Cloud.
Fai clic sul keyring contenente la chiave di decriptazione asimmetrica.
Fai clic sul nome della chiave di decrittografia asimmetrica.
Seleziona la versione della chiave che preferisci e fai clic su Altro more_vert.
Fai clic su Copia nome risorsa.
Un esempio di formato della chiave è:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
In questo esempio:
PROJECT_ID: l'ID progetto Google Cloud di cui fa parte il bucket di archiviazione.LOCATION: la posizione di Cloud Key Management Service per il portachiavi.KEY_RING: il nome del keyring.KEY: il nome della chiave Cloud Key Management Service.VERSION_NUMBER: il numero di versione della chiave.
Il team di Transfer Appliance richiede l'intero percorso della chiave, compreso il numero di versione, in modo da applicare la chiave corretta ai tuoi dati.
Riga di comando
Esegui il comando seguente per elencare il percorso completo della chiave asimmetrica, incluso il numero di versione:
gcloud kms keys versions list --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
In questo esempio:
KEY_RING: il nome del tuo keyring.KEY: il nome della chiave asimmetrica.LOCATION: la posizione Google Cloud dell'anello di chiavi.PROJECT_ID: l'ID progetto Google Cloud associato al tuo bucket di archiviazione.
La seguente risposta di esempio è simile all'output che viene restituito:
NAME STATE projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER ENABLED
In questo esempio:
PROJECT_ID: l'ID progetto Google Cloud di cui fa parte il bucket di archiviazione.LOCATION: la posizione di Cloud Key Management Service per il portachiavi.KEY_RING: il nome del keyring.KEY: il nome della chiave Cloud Key Management Service.VERSION_NUMBER: il numero di versione della chiave.
Il team di Transfer Appliance richiede la stringa in
NAMEche termina tra/cryptoKeyVersions/VERSION_NUMBER, doveVERSION_NUMBERè il numero di versione della chiave.
Fornisci al team di Transfer Appliance i dati di configurazione del bucket
Ti invieremo un'email intitolata Autorizzazioni di Google Transfer Appliance per raccogliere informazioni sul tuo bucket Cloud Storage. Utilizziamo fornite per configurare i dati di trasferimento tra Cloud Storage e Transfer Appliance.
Nel modulo accessibile tramite il link presente nell'email, inserisci le seguenti informazioni:
- L'ID progetto Google Cloud.
- Seleziona la tua scelta per la crittografia:
- Chiave di crittografia gestita dal cliente, selezionala dalla Seleziona una chiave di crittografia gestita dal cliente.
- Il nome del bucket Google Cloud Storage utilizzato per questo trasferimento.
Passaggi successivi
Configura le porte di rete IP per Transfer Appliance affinché funzioni sulla tua rete.