Configurazione dettagliata delle autorizzazioni Google Cloud e di Cloud Storage per l'esportazione dei dati da Cloud Storage all'appliance

Questo documento descrive la configurazione passo passo delle Google Cloud autorizzazioni e di Cloud Storage, tra cui:

  • Preparazione del bucket Cloud Storage.
  • Prepara una chiave Cloud Key Management Service per proteggere i tuoi dati.
  • Fornire al team di Transfer Appliance i dati di configurazione del bucket Cloud Storage.

Prima di iniziare

Assicurati di aver ricevuto un'email dal team di Transfer Appliance intitolata Autorizzazioni per Transfer Appliance di Google. Questa email contiene:

  • I nomi degli account di servizio richiesti per il trasferimento.

  • Un ID sessione necessario per configurare l'appliance.

  • Un modulo da compilare dopo aver configurato l'account.

Prepara le autorizzazioni per il bucket Cloud Storage

Utilizziamo due service account per trasferire i tuoi dati. Gli account di servizio sono account speciali utilizzati da un'applicazione, non da una persona, per svolgere attività. In questo caso, gli account di servizio consentono a Transfer Appliance di utilizzare le risorse Cloud Storage per tuo conto per trasferire dati tra Cloud Storage e l'appliance. Concedi a questi account i ruoli necessari per trasferire i dati.

Per preparare il bucket Cloud Storage:

  1. In un'email intitolata Autorizzazioni di Google Transfer Appliance, il team di Transfer Appliance ti fornisce i seguenti account di servizio:

    • Un service account per la sessione associato a questo trasferimento specifico. È simile al seguente esempio:

      ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      In questo esempio, SESSION_ID è l'ID sessione per questo trasferimento specifico.

    • Un agente di servizio associato al servizio Transfer Service for On Premises Data, che utilizziamo per trasferire dati tra Cloud Storage e l'appliance. Avrà un aspetto simile al seguente esempio:

      project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

      In questo esempio, TENANT_IDENTIFIER è un numero generato specifico per questo progetto specifico.

    Prendi nota degli account di servizio per i passaggi successivi.

    Gli account di servizio consentono a Transfer Appliance di manipolare Google Cloud risorse per tuo conto, ovvero di trasferire dati tra Cloud Storage e l'appliance. Concedi a questi account i ruoli necessari per trasferire i dati tra Cloud Storage e l'appliance.

  2. I bucket Cloud Storage sono collegati ai Google Cloud progetti. Il bucket selezionato deve trovarsi nello stesso progetto utilizzato per ordinare l'appliance.

  3. Per concedere agli account di servizio Transfer Appliance l'autorizzazione per utilizzare il bucket Cloud Storage, procedi nel seguente modo:

    Google Cloud Console

    1. Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.

      Vai a Bucket

    2. Fai clic sul menu Extra del bucket () associato al bucket a cui stai concedendo un ruolo all'entità.

    3. Scegli Modifica autorizzazioni bucket.

    4. Fai clic sul pulsante + Aggiungi entità.

    5. Nel campo Nuove entità, inserisci le seguenti identità:

      • L'account di servizio per la sessione. È simile al seguente esempio:

        ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

        In questo esempio, SESSION_ID è l'ID sessione per questo trasferimento specifico.

      • L'agente di servizio Transfer Service for On Premises Data. È simile al seguente esempio:

        project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

        In questo esempio, TENANT_IDENTIFIER è un numero generato specifico per questo progetto specifico.

    6. Dal menu a discesa Seleziona un ruolo, seleziona il ruolo Amministratore Storage.

      I ruoli selezionati vengono visualizzati nel riquadro con una breve descrizione delle autorizzazioni concesse.

    7. Fai clic su Salva.

    Riga di comando

    Utilizza il comando gcloud storage buckets add-iam-policy-binding:

    gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
    --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
    --role=roles/storage.admin
    gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
    --member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \
    --role=roles/storage.admin

    In questo esempio:

    • BUCKET_NAME: il nome del bucket che stai creando.
    • SESSION_ID: l'ID sessione per questo particolar trasferimento.
    • TENANT_IDENTIFIER: un numero generato specifico per questo progetto specifico.

Prepara la chiave Cloud KMS

Transfer Appliance protegge i tuoi dati sull'appliance criptandoli. Per criptare i dati su Transfer Appliance viene utilizzata una chiave pubblica di Cloud Key Management Service (Cloud KMS) e per decriptarli viene utilizzata una chiave privata.

Utilizziamo l'account di servizio della sessione di Prepara le autorizzazioni per il bucket Cloud Storage per caricare i dati dal bucket Cloud Storage all'appliance.

Per gestire le chiavi di crittografia hai a disposizione la seguente opzione:

  • Crea e gestisci autonomamente le chiavi di crittografia. Devi creare e gestire le chiavi di crittografia utilizzate per il trasferimento seguendo le istruzioni riportate di seguito. Prepara una chiave di decrittografia asimmetrica Cloud KMS e aggiungi l'account di servizio della sessione alla chiave.

Per preparare le chiavi Cloud KMS, segui questi passaggi:

  1. Se non hai un keyring Cloud Key Management Service, segui questa procedura per crearne uno:

    Google Cloud Console

    1. Vai alla pagina Chiavi crittografiche nella console Google Cloud.

      Vai alla pagina Chiavi crittografiche

    2. Fai clic su Crea keyring.

    3. Nel campo Nome della chiave automatizzata, inserisci il nome che preferisci per la chiave.

    4. Dal menu a discesa Posizione portachiavi, seleziona una località come "us-east1".

    5. Fai clic su Crea.

    Riga di comando

    gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
    

    In questo esempio:

    • LOCATION: la posizione di Cloud Key Management Service per il portachiavi. Ad esempio, global.
    • KEY_RING: il nome della chiave automatizzata.
    • PROJECT_ID: l' Google Cloud ID progetto a cui appartiene il tuo bucket di archiviazione.
  2. Per creare una chiave di decriptazione asimmetrica:

    Google Cloud Console

    1. Vai alla pagina Chiavi crittografiche nella console Google Cloud.

      Vai alla pagina Chiavi crittografiche

    2. Fai clic sul nome del keyring per cui vuoi creare una chiave.

    3. Fai clic su Crea chiave.

    4. Nella sezione Che tipo di chiave vuoi creare?, scegli Chiave generata.

    5. Nel campo Nome chiave, inserisci il nome della chiave.

    6. Fai clic sull'elenco a discesa Livello di protezione e seleziona Software.

    7. Fai clic sul menu a discesa Scopi e seleziona Decrittografia asimmetrica.

    8. Fai clic sul menu a discesa Algoritmo e seleziona RSA a 4096 bit - Padding OAEP - Digest SHA256

    9. Fai clic su Crea.

    Riga di comando

    Esegui il seguente comando per creare una chiave di decriptazione asimmetrica:

    gcloud kms keys create KEY --keyring=KEY_RING \
    --location=LOCATION --purpose=asymmetric-encryption \
    --default-algorithm=rsa-decrypt-oaep-4096-sha256 \
    --project=PROJECT_ID
    

    In questo esempio:

    • KEY: il nome della chiave Cloud Key Management Service. Ad esempio, ta-key.
    • KEY_RING: il nome della chiave automatizzata.
    • LOCATION: la posizione di Cloud Key Management Service per il portachiavi. Ad esempio, global.
    • PROJECT_ID: l' Google Cloud ID progetto a cui appartiene il tuo bucket di archiviazione.
  3. Aggiungi l'account di servizio della sessione come entità alla chiave asimmetrica svolgendo quanto segue:

    Google Cloud Console

    1. Vai alla pagina Chiavi crittografiche nella console Google Cloud.

      Vai alla pagina Chiavi crittografiche

    2. Fai clic sul keyring contenente la chiave asimmetrica.

    3. Seleziona la casella di controllo per la chiave asimmetrica.

    4. Nel riquadro Informazioni, fai clic su Aggiungi entità.

      Viene visualizzato Aggiungi entità.

    5. Nel campo Nuove entità, inserisci l'account di servizio della sessione fornito dal team di trasferimento dell'appliance. È simile al seguente esempio:

      ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      In questo esempio, SESSION_ID è l'ID sessione per questo trasferimento specifico.

    6. Nel campo Seleziona un ruolo, aggiungi il ruolo Cloud KMS CryptoKey Public Key Viewer.

    7. Fai clic su Salva.

    Riga di comando

    1. Esegui il seguente comando per concedere all'account di servizio della sessione il ruolo roles/cloudkms.publicKeyViewer:

      gcloud kms keys add-iam-policy-binding KEY \
      --keyring=KEY_RING --location=LOCATION \
      --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
      --role=roles/cloudkms.publicKeyViewer
      

      In questo esempio:

      • KEY: il nome della chiave Cloud Key Management Service. Ad esempio, ta-key.
      • KEY_RING: il nome della chiave automatizzata.
      • LOCATION: la posizione di Cloud Key Management Service per il portachiavi. Ad esempio, global.
      • SESSION_ID: l'ID sessione per questo particolar trasferimento.
  4. Per ottenere il percorso della chiave asimmetrica:

    Google Cloud Console

    1. Vai alla pagina Chiavi crittografiche nella console Google Cloud.

      Vai alla pagina Chiavi crittografiche

    2. Fai clic sul keyring contenente la chiave di decriptazione asimmetrica.

    3. Fai clic sul nome della chiave di decriptazione asimmetrica.

    4. Seleziona la versione della chiave che preferisci e fai clic su Altro.

    5. Fai clic su Copia nome risorsa.

      Un esempio di formato della chiave è:

      projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER

      In questo esempio:

      • PROJECT_ID: l' Google Cloud ID progetto a cui appartiene il tuo bucket di archiviazione.
      • LOCATION: la posizione di Cloud Key Management Service per il portachiavi.
      • KEY_RING: il nome della chiave automatizzata.
      • KEY: il nome della chiave Cloud Key Management Service.
      • VERSION_NUMBER: il numero di versione della chiave.

      Il team di Transfer Appliance richiede l'intero percorso della chiave, incluso il numero di versione, per poter applicare la chiave corretta ai dati.

    Riga di comando

    Esegui il comando seguente per elencare il percorso completo della chiave asimmetrica, incluso il numero di versione:

    gcloud kms keys versions list --keyring=KEY_RING \
    --key=KEY --location=LOCATION \
    --project=PROJECT_ID
    

    In questo esempio:

    • KEY_RING: il nome del tuo mazzo di chiavi.
    • KEY: il nome della chiave asimmetrica.
    • LOCATION: la Google Cloud posizione del mazzo di chiavi.
    • PROJECT_ID: l' Google Cloud ID progetto a cui appartiene il bucket di archiviazione.

    La seguente risposta di esempio è simile all'output restituito:

    NAME STATE
    projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
    ENABLED
    

    In questo esempio:

    • PROJECT_ID: l' Google Cloud ID progetto a cui appartiene il tuo bucket di archiviazione.
    • LOCATION: la posizione di Cloud Key Management Service per il portachiavi.
    • KEY_RING: il nome della chiave automatizzata.
    • KEY: il nome della chiave Cloud Key Management Service.
    • VERSION_NUMBER: il numero di versione della chiave.

    Il team di Transfer Appliance richiede la stringa sotto NAME che termina con /cryptoKeyVersions/VERSION_NUMBER, dove VERSION_NUMBER è il numero di versione della chiave.

Fornisci al team di Transfer Appliance i dati di configurazione del bucket

Ti invieremo un'email intitolata Autorizzazioni di Google Transfer Appliance per raccogliere informazioni sul tuo bucket Cloud Storage. Utilizziamo le informazioni che fornisci per configurare il trasferimento dei dati tra Cloud Storage e Transfer Appliance.

Nel modulo collegato all'email, inserisci le seguenti informazioni:

  • L'Google Cloud ID progetto.
  • Seleziona la tua scelta per la crittografia:
    • Chiave di crittografia gestita dal cliente, seleziona la chiave di crittografia dal menu a discesa Seleziona una chiave di crittografia gestita dal cliente.
  • Il Google Cloud nome del bucket Cloud Storage utilizzato per questo trasferimento.

Passaggi successivi

Configura le porte di rete IP per far funzionare l'Transfer Appliance sulla tua rete.