Installationsanleitung

Auf dieser Seite wird beschrieben, wie Sie Ihre Transfer Appliance vorbereiten, installieren und konfigurieren.

IAM-Berechtigungen und Speicher vorbereiten

Die Person, die Transfer Appliance vorbereitet, muss einen Cloud Storage-Bucket vorbereiten, zwei Dienstkonten konfigurieren und ein Paar von Cloud Key Management Service-Schlüsseln (Cloud KMS) erstellen.

Die Person, die Transfer Appliance vorbereitet, muss Folgendes vorbereiten:

  • Einen Cloud Storage-Bucket – einen einfachen Container zum Speichern von Daten in Cloud Storage.
  • Zugriff auf zwei Dienstkonten, die zum Verschieben Ihrer Daten von Transfer Appliance in den Cloud Storage-Ziel-Bucket verwendet werden.
  • Einen öffentlichen und einen privaten Cloud KMS-Schlüssel (Cloud Key Management Service). Der öffentliche Schlüssel wird zum Verschlüsseln Ihrer Daten auf Transfer Appliance verwendet und der private Schlüssel zum Entschlüsseln Ihrer Daten in Ihrem Cloud Storage-Bucket.
  • Einen Dienstkontoschlüssel.

Führen Sie einen der folgenden Schritte aus, um Google Cloud-Berechtigungen und -Speicher vorzubereiten:

  • Transfer Appliance Cloud Setup Application. In der Google Cloud Console aktivieren Sie Google Cloud Shell und laden eine kleine Anwendung herunter. Die Anwendung fordert Sie auf, Werte einzugeben, und konfiguriert Google Cloud-Berechtigungen und -Speicher. Anschließend senden Sie relevante Daten an das Transfer Appliance-Team.

  • Schrittweise Konfiguration der Berechtigungen. Zum Konfigurieren Ihrer Google Cloud-Berechtigungen und Ihres Speichers verwenden Sie entweder die Google Cloud Console oder eine Befehlszeilen-Eingabeaufforderung. Sie wenden alle erforderlichen Änderungen an und senden relevante Daten an das Transfer Appliance-Team.

IP-Netzwerkports konfigurieren

Wenden Sie sich an Ihren Netzwerkadministrator, um die IP-Ports Ihres Netzwerks für Transfer Appliance zu konfigurieren.

Paketinhalte prüfen

Sie sollten unbedingt vor dem Anschließen der Transfer Appliance prüfen, ob das Paket mit allen erforderlichen Kabeln und Geräten intakt angekommen ist. Wir sorgen dafür, dass Sie alles haben, was für eine erfolgreiche Datenübertragung notwendig ist.

Prüfen Sie nach Erhalt von Transfer Appliance, ob der Paketinhalt noch intakt ist. Gehen Sie dazu so vor:

  1. Der Versandkoffer und die manipulationssicheren Siegel müssen intakt sein.

    Durch ein manipulationssicheres Etikett gesicherte D-Ringe

  2. Brechen Sie den manipulationssicheren Draht ab oder öffnen Sie den Versandkarton.

  3. Wenden Sie sich an das Transfer Appliance-Team, wenn eines der folgenden Elemente fehlt:

    Posten Beschreibung
    Ein Foto mit einem NEMA-Kabel (5–15p auf c13) NEMA-Kabel (5-15p auf c13)
    Ein Foto mit einem c14 auf c13-Kabel C14-auf-C13-Kabel für das Anschließen an die Stromverteilungseinheit (PDU)
    Ein Foto mit einem Netzwerkkabel der Kategorie 6 Netzwerkkabel der Kategorie 6 (Cat6)
    Ein Foto mit einem QSFP+ Twinax-Kupfernetzwerkkabel QSFP+ Twinax-Kupfernetzwerkkabel
    Ein Foto mit einem QSFP+ auf 4xSFP+-Netzwerkkabel QSFP+ auf 4xSFP+-Netzwerkkabel
    Ein Foto mit einem USB-auf-Seriell-Adapterkabel USB-auf-Seriell-Adapterkabel – nur auf Anweisung des Transfer Appliance-Teams verwenden
    Ein Foto mit einem seriellen Stecker-auf-Buchse-Adapter Serieller Stecker-auf-Buchse-Adapter
    Foto eines manipulationssicheren Kabeletiketts Manipulationssicheres Kabeletikett
    Beispiel für ein Bindeetikett Bindeetikett
    Beispiel für eine Versandetikettentasche Versandetikettentasche
    Foto einer Transfer Appliance in einem geöffneten Versandkoffer Transfer Appliance

Appliance prüfen

Bevor Sie die Appliance mit Ihrem Netzwerk verbinden, müssen Sie eine kleine Anwendung auf Ihrem Laptop ausführen, um zu prüfen, ob die Appliance während des Versands manipuliert wurde.

Die Transfer Appliance Attestation Application unterstützt die folgenden 64-Bit-Betriebssysteme:

  • Linux-Kernel 2.6.23 oder höher
  • Microsoft Windows Server 2012 oder höher
  • Microsoft Windows 10
  • Apple macOS 10.11 oder höher

So prüfen Sie die Appliance:

  1. Suchen Sie einen Standort für die Appliance. Folgende Standorte sind zulässig:

    • Der Boden
    • Ein Schreibtisch
  2. Schließen Sie ein Cat6-Kabel an den linken Netzwerkport und an Ihren Laptop an.

  3. Schließen Sie das mitgelieferte Kabel an die Netzteilbuchse der Appliance und an eine Steckdose einer Stromverteilungseinheit (PDU) an.

    Kabelverbindungen für Transfer Appliance

  4. Schalten Sie Transfer Appliance ein

  5. Verwenden Sie ping, um zu prüfen, ob Sie die Appliance über den Verwaltungsport erreichen können:

    ping 169.254.20.1

    Die folgende Beispielantwort sieht ungefähr so aus wie die zurückgegebene Ausgabe:

    PING 169.254.20.1 (169.254.20.1) 56(84) bytes of data.
    64 bytes from 169.254.20.1: icmp_seq=1 ttl=64 time=0.060 ms
    64 bytes from 169.254.20.1: icmp_seq=2 ttl=64 time=0.039 ms
    64 bytes from 169.254.20.1: icmp_seq=3 ttl=64 time=0.039 ms
    ^C
    --- 169.254.20.1 ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 2045ms
    rtt min/avg/max/mdev = 0.039/0.046/0.060/0.009 ms
    

  6. So laden Sie die Transfer Appliance-Bestätigungsanwendung auf Ihren Laptop herunter:

    Microsoft Windows

    1. Laden Sie die Transfer Appliance-Bestätigungsanwendung auf Ihren Laptop herunter.

    2. Öffnen Sie eine Eingabeaufforderung und gehen Sie zu dem Speicherort, an dem Sie die Transfer Appliance-Bestätigungsanwendung heruntergeladen haben.

    3. Führen Sie den folgenden Befehl auf Ihrem Laptop aus, um die Appliance zu prüfen:

      taattestator_x86_64-windows.exe
      

    Linux

    1. Öffnen Sie auf Ihrem Laptop eine Terminalanwendung.

    2. Führen Sie den folgenden Befehl auf Ihrem Laptop aus, um die Transfer Appliance-Bestätigungsanwendung herunterzuladen:

      wget https://storage.googleapis.com/transferappliance/attestator/taattestator_x86_64-linux
      
    3. Führen Sie die folgenden Befehle auf Ihrem Laptop aus, um die Appliance zu validieren:

      chmod 0777 taattestator_x86_64-linux
      ./taattestator_x86_64-linux
      

    Apple macOS

    1. Öffnen Sie die Terminalanwendung.

    2. Führen Sie den folgenden Befehl auf Ihrem Laptop aus, um die Transfer Appliance-Zertifizierungsanwendung herunterzuladen:

      curl -O https://storage.googleapis.com/transferappliance/attestator/taattestator_x86_64-darwin
      
    3. Führen Sie die folgenden Befehle auf Ihrem Laptop aus, um die Appliance zu validieren:

      chmod 0777 taattestator_x86_64-darwin
      ./taattestator_x86_64-darwin
      
  7. Füllen Sie das Formular in der E-Mail mit dem Betreff Google Transfer Appliance Delivered and Validation Steps aus. Geben Sie den Transfer Appliance-Bestätigungscode ein, der von der Appliance im Formular zurückgegeben wurde.

    Wenn das Gerät während des Versands nicht manipuliert wurde, stellt das Transfer Appliance-Team die Anmeldedaten für die Appliance bereit.

    Wenn das Gerät während des Versands manipuliert wurde, gibt Ihnen das Transfer Appliance-Team Anweisungen zum Rückversand und veranlasst den Versand eines anderen Geräts an Sie.

Mit Transfer Appliance verbinden

Sie benötigen die Anmeldedaten der Appliance, um eine Verbindung herzustellen. Das Transfer Appliance-Team stellt die Anmeldedaten für die Appliance im Austausch gegen einen Transfer Appliance-Bestätigungscode bereit, der darauf hinweist, dass die Appliance während des Versands nicht manipuliert wurde.

Nachdem Sie die Anmeldedaten haben, führen Sie die folgenden Schritte aus, um die Appliance mit Ihrem Netzwerk zu verbinden:

  1. Behalten Sie das Cat6-Kabel zwischen dem linken Netzwerkport und Ihrem Laptop bei.

  2. Verbinden Sie ein Cat6-Kabel mit dem rechten Netzwerkport und mit einem offenen RJ-45-Port, der mit Ihrem Netzwerk verbunden ist.

    Netzwerkport auf der Appliance hervorgehoben

  3. Stellen Sie eine Verbindung zur Appliance her:

    Windows

    1. Öffnen Sie Putty.
    2. Wählen Sie SSH als Verbindungstyp aus.
    3. Geben Sie folgendes in das Feld Hostname ein:

      169.254.20.1
                  

    4. Prüfen Sie, ob SSH für Verbindungstyp ausgewählt ist.
    5. Klicken Sie auf Öffnen.
    6. Geben Sie den vom Transfer Appliance-Team bereitgestellten Nutzernamen ein, wenn Sie dazu aufgefordert werden.
    7. Geben Sie das vom Transfer Appliance-Team bereitgestellte Passwort ein, wenn Sie dazu aufgefordert werden.

    Linux

    1. Führen Sie dazu diesen Befehl aus:

      ssh USERNAME@169.254.20.1
                  

      Ersetzen Sie USERNAME durch den vom Transfer Appliance-Team bereitgestellten Nutzernamen.

    2. Geben Sie das Transfer Appliance-Passwort ein, wenn Sie dazu aufgefordert werden.

    Mac

    1. Führen Sie dazu diesen Befehl aus:

      ssh USERNAME@169.254.20.1
                  

      Ersetzen Sie USERNAME durch den vom Transfer Appliance-Team bereitgestellten Nutzernamen.

    2. Geben Sie das Transfer Appliance-Passwort ein, wenn Sie dazu aufgefordert werden.

Appliance-Software konfigurieren

Bevor Sie Daten an Transfer Appliance übertragen, müssen Sie den Status der Appliance prüfen und die Software so konfigurieren, dass sie in Ihrem Netzwerk funktioniert.

So konfigurieren Sie die Software der Appliance:

  1. Prüfen Sie den Status der Appliance. Führen Sie dazu den folgenden Befehl auf dem Laptop oder Computer, der mit der Appliance verbunden ist, aus:

    ta status 

    Die folgende Beispielantwort sieht ungefähr so aus wie die zurückgegebene Ausgabe:

    You are ready to configure the appliance.
    
    Next steps:
    » Configure the appliance using one of the following commands:
      > ta config --data_port=RJ45 --ip=dhcp
      > ta config --data_port=QSFP --ip=dhcp
    » To set a static IP address and netmask, use the '--ip' flag. For example:
      > ta config --data_port=RJ45 --ip=192.168.0.100/24
      > ta config --data_port=QSFP --ip=192.168.0.100/24
    » To set a static IP address and gateway, use the '--ip' and '--gw' flags. For example:
      > ta config --data_port=RJ45 --ip=192.168.0.100/24 --gw=192.168.0.1
      > ta config --data_port=QSFP --ip=192.168.0.100/24 --gw=192.168.0.1
      
  2. Konfigurieren Sie die Appliance. Die Appliance lässt sich so konfigurieren, dass DHCP zum Abrufen einer IP-Adresse verwendet wird. Sie können die Appliance auch so konfigurieren, dass sie eine statische IP-Adresse verwendet.

    Führen Sie den folgenden Befehl aus, um die Appliance zu konfigurieren:

    DHCP

    ta config --data_port=PORT --ip=dhcp
    

    Ersetzen Sie PORT durch den Datenport, den Sie auf der Appliance verwenden. Entweder RJ45 oder QSFP.

    Statische IP

    ta config --data_port=PORT --ip=IP_ADDRESS/NETMASK --gw=GATEWAY_ADDRESS

    Dabei gilt:

    • PORT: Der Datenport, den Sie auf der Appliance verwenden. Entweder RJ45 oder QSFP.
    • IP_ADDRESS: Die IP-Adresse für die Appliance oder dhcp für die automatische IP-Adresskonfiguration.
    • NETMASK: Die Netzmaske in CIDR-Notation. Nicht erforderlich, wenn Sie DHCP verwenden.
    • GATEWAY_ADDRESS: Die IP-Adresse des Gateways. Nicht erforderlich, wenn Sie DHCP verwenden.

    Die folgende Beispielantwort sieht ungefähr so aus wie die zurückgegebene Ausgabe:

    Configuring, encrypting, and mounting data partition...
    Verified partition settings for "/mnt/ta_metadata".
    Partition key generated and encrypted.
    Verifying partition settings and mounting data partition.
    This may take several minutes to finish...
    Mounted partition "/mnt/ta_data".
    Verified partition settings for "/mnt/ta_data".
    Data partition is mounted.
    Network is configured.
    Configured NFS share "/mnt/ta_data".
    NFS share "/mnt/ta_data" is configured.
    
    Appliance has been successfully configured. You can begin copying data.
    
    Use these commands to mount the NFS share from your client:
    > sudo mkdir /mnt/data
    > sudo mount 192.168.0.100:/mnt/ta_data /mnt/data
    

Daten kopieren

Um Daten zu kopieren, stellen Sie die Appliance für Ihre Datenquelle bereit und verwenden Sie Ihr bevorzugtes Kopierprogramm, um Daten von Ihrer Datenquelle zur Transfer Appliance zu übertragen.

Transfer Appliance unterstützt die folgenden Methoden zum Kopieren von Daten in die Appliance:

Daten über SCP oder SFTP kopieren

So kopieren Sie Daten mit SCP oder SFTP in die Appliance:

Microsoft Windows

  1. Laden Sie einen SCP- oder SFTP-Client herunter, der UTF-8-Dateinamen wie WinSCP unterstützt.

  2. Stellen Sie mit dem SCP-Tool eine Verbindung zur Appliance mithilfe der folgenden Einstellungen her:

    • Dateiprotokoll: SFTP
    • Hostname: Die IP-Adresse für die Appliance.
    • Portnummer: 22
    • Nutzername: Der Appliance-Nutzername, der vom Transfer Appliance-Team bereitgestellt wurde.
    • Passwort: Das vom Transfer Appliance-Team bereitgestellte Passwort für die Appliance.

    Das Zielverzeichnis auf der Transfer Appliance muss /mnt/ta_data sein.

Linux

  1. Führen Sie dazu diesen Befehl aus:

    scp PATH_TO_FILES USERNAME@IP_ADDRESS:/mnt/ta_data
    

    Dabei gilt:

    • PATH_TO_FILES: Der Pfad zu den Dateien, die Sie kopieren.
    • USERNAME: Der vom Transfer Appliance-Team bereitgestellte Nutzername für die Appliance.
    • IP_ADDRESS: Die IP-Adresse für die Appliance.
  2. Geben Sie bei entsprechender Aufforderung das vom Transfer Appliance-Team bereitgestellte Appliance-Passwort ein.

Apple macOS

  1. Führen Sie dazu diesen Befehl aus:

    scp PATH_TO_FILES USERNAME@IP_ADDRESS:/mnt/ta_data
    

    Dabei gilt:

    • PATH_TO_FILES: Der Pfad zu den Dateien, die Sie kopieren.
    • USERNAME: Der vom Transfer Appliance-Team bereitgestellte Nutzername für die Appliance.
    • IP_ADDRESS: Die IP-Adresse für die Appliance.
  2. Geben Sie bei entsprechender Aufforderung das vom Transfer Appliance-Team bereitgestellte Appliance-Passwort ein.

Daten über NFS-Freigabe kopieren

Führen Sie die folgenden Schritte aus, um Daten mithilfe der NFS-Freigabe in die Appliance zu kopieren:

  1. Führen Sie die folgenden Befehle für Ihre Datenquelle aus, um Transfer Appliance bereitzustellen:

    Linux

    1. sudo mkdir /mnt/data
      
    2. sudo mount -o vers=4 IP_ADDRESS:/mnt/ta_data /mnt/data
      

      Ersetzen Sie IP_ADDRESS durch die IP-Adresse für die Appliance.

    Apple macOS

    1. cd ~
      
    2. mkdir ta_data
      
    3. sudo mount -t nfs -o vers=4,resvport IP_ADDRESS:/mnt/ta_data ~/ta_data
      

      Ersetzen Sie IP_ADDRESS durch die IP-Adresse für die Appliance.

  2. Verwenden Sie ein Kopierprogramm Ihrer Wahl, um Daten in die Appliance zu kopieren.

    Das Kopieren von Daten ist ein lang andauernder Vorgang. Unter Apple macOS oder Linux empfehlen wir die Verwendung von tmux oder screen, damit der Kopiervorgang eine Abmeldung oder Trennung vom Netzwerk übersteht.

Kopierstatus überwachen

Während Sie Daten übertragen, können Sie den Fortschritt der Übertragung im Blick behalten.

So überwachen Sie den Fortschritt von Transfer Appliance:

  1. Stellen Sie eine Verbindung zur Appliance her und führen Sie den folgenden Befehl aus:

     ta status --verbose
     

    Die folgende Beispielantwort sieht ungefähr so aus wie die zurückgegebene Ausgabe:

    Checking the state of the appliance:
    » The encrypted partition key is present.
    » The data partition is mounted and shared.
    
    You are ready to copy data to the appliance.
    
    Data partition:
    » Mount path: /mnt/ta_data
    » Used space: 2.6M
    » Available space: 919M
    » Used inodes: 11
    » Available inodes (required to create new files): 64k
    
    Next steps:
    » Use these commands to mount the NFS share from your client:
      > sudo mkdir /mnt/data
      > sudo mount 192.168.0.100:/mnt/ta_data /mnt/data
    » When done copying, finalize the appliance with this command:
      > ta finalize
    

Kopierte Daten finalisieren

Durch das Finalisieren wird die Appliance für den Versand an Google vorbereitet. Dazu wird der Entschlüsselungsschlüssel entfernt, wodurch die Daten nicht mehr zugänglich sind, bis sie Google erreichen. Wenn der Entschlüsselungsschlüssel entfernt wird, können Sie keine weiteren Daten in die Appliance kopieren, ohne alle zuvor kopierten Daten zu löschen.

So finalisieren Sie die kopierten Daten:

  1. Stellen Sie eine Verbindung zur Appliance her.

  2. Führen Sie den Befehl ta finalize aus und notieren Sie sich den in der Ausgabe zurückgegebenen Sicherheitscode.

    Die folgende Beispielantwort sieht ungefähr so aus wie die zurückgegebene Ausgabe:

    Finalizing prepares the appliance for shipping by removing the decryption key,
    making the data inaccessible until it reaches Google. Once finalized, there is
    no way to access your data or add more data without deleting everything on the
    drive.
    
    Are you ready to finalize the appliance and ship it back to Google? (y/n) y
    Umounted data partition and disabled automount.
    Finalize step is complete.
    
    This passcode must be used to get a return shipping label: NNNN
    If you forget your passcode, run 'ta status' to display it again.
    TA:~$ ta status
    
    You are ready to ship the appliance back to Google.
    
    Next steps:
    » Use this passcode when requesting a shipping label: NNNN
    » Contact the appliance team at data-support@google.com.
    
  3. Geben Sie den vom Befehl ta finalize zurückgegebenen Sicherheitscode in das Formular ein, das in der vom Transfer Appliance-Team gesendeten E-Mail mit dem Betreff Google Transfer Appliance Return Instructions enthalten ist.

    Wenn Sie sich den Sicherheitscode noch einmal ansehen möchten, führen Sie ta status aus.

    Das Transfer Appliance-Team antwortet mit dem Versandlabel für die Transfer Appliance für den angegebenen Sicherheitscode.

  4. Sobald Sie das Versandlabel erhalten haben, schalten Sie die Appliance aus und stecken Sie dann alle Kabel ab.

Appliance verpacken und zurückgeben

Nach dem Ihrer Daten auf Transfer Appliance übertragen und finalisiert wurden, bereiten Sie die Appliance für den Versand vor. Dazu gehören das Drucken und Anbringen eines Versandlabels, das Einsammeln der Kabel, das Verpacken der Appliance und die Kontaktaufnahme mit Ihrem Versender, um das Gerät zurückzugeben.

Verwenden Sie denselben Versandkoffer, in dem Ihnen die Transfer Appliance auch geschickt wurde.

So geben Sie die Appliance zurück:

  1. Drucken Sie das Versandlabel aus.

  2. Legen Sie Folgendes in das Kabelfach des Versandkoffers:

    Posten Beschreibung
    Ein Foto mit einem NEMA-Kabel (5–15p auf c13) NEMA-Kabel (5-15p auf c13)
    Ein Foto mit einem c14 auf c13-Kabel C14-auf-C13-Kabel für das Anschließen an die Stromverteilungseinheit (PDU)
    Ein Foto mit einem Netzwerkkabel der Kategorie 6 Netzwerkkabel der Kategorie 6 (Cat6)
    Ein Foto mit einem QSFP+ Twinax-Kupfernetzwerkkabel QSFP+ Twinax-Kupfernetzwerkkabel
    Ein Foto mit einem QSFP+ auf 4xSFP+-Netzwerkkabel QSFP+ auf 4xSFP+-Netzwerkkabel
    Ein Foto mit einem USB-auf-Seriell-Adapterkabel USB-auf-Seriell-Adapterkabel – nur auf Anweisung des Transfer Appliance-Teams verwenden
    Ein Foto mit einem seriellen Stecker-auf-Buchse-Adapter Serieller Stecker-auf-Buchse-Adapter
  3. Legen Sie die Transfer Appliance in den Versandkoffer.

  4. Schließen Sie den Deckel des Versandkoffers und schliessen Sie die Verriegelung.

    Verriegelter Versandkoffer

  5. Schützen Sie den Versandkoffer mit einem manipulationssicherem Kabeletikett. Führen Sie dazu die folgenden Schritte aus:

    1. Führen Sie das manipulationssichere Kabeletikett durch die D-Ringe des Versandkoffers.

      Manipulationssicheres Kabeletikett durch die D-Ringe des Versandkoffers führen

    2. Führe Sie das Ende des Kabels in das Schloss.

      Das Ende Kabels in das Schloss einführen

    3. Ziehen Sie das manipulationssichere Kabeletikett durch das Etikettenschloss, bis die D-Ringe gesichert sind.

      Durch ein manipulationssicheres Etikett gesicherte D-Ringe

  6. Befestigen Sie ein Bindeetikett am Versandkoffergriff.

  7. Befestigen Sie eine Versandetikettentasche an dem Bindeetikett.

  8. Legen Sie das Rücksendeetikett in die Tasche. Achten Sie darauf, dass die Rücksendeadresse und die Barcodes sichtbar sind.

  9. Wenden Sie sich bei Bedarf an Ihren Versender, um eine Abholung zu vereinbaren.

Daten im Cloud Storage-Ziel-Bucket prüfen

Nach Eingang Ihrer Appliance übertragen wir die Daten von der Appliance in Ihren Cloud Storage-Ziel-Bucket. Wenn die Daten in Ihren Cloud Storage-Ziel-Bucket kopiert wurden, senden wir Ihnen eine E-Mail mit dem Betreff Transfer Appliance Your Data Transfer Has Been Completed. Nachdem Sie unsere E-Mail erhalten haben, sollten Sie die von der Appliance in Ihren Cloud Storage-Bucket übertragenen Daten prüfen.

So prüfen Sie Ihre Daten:

  1. Objekte in Ihrem Bucket auflisten Wenn Sie bei der Angabe der Bucket-Konfigurationsdetails ein Objektpräfix angegeben haben, werden die Objekte nach dem Präfix angezeigt.

  2. Prüfen Sie, ob die Daten, die Sie an die Appliance übertragen haben, in Ihrem Bucket aufgeführt sind.

Bei Fragen senden Sie eine E-Mail an data-support@google.com.

Zugriff bereinigen

Nachdem wir Ihre Daten von allen Appliances kopiert haben, sollten Sie den Zugriff, der zuvor unseren Dienstkonten gewährt wurde, entfernen. Dadurch wird das Prinzip der geringsten Berechtigung für Ihre Daten angewendet und die Sicherheit Ihrer Daten gewährleistet.

In diesem Abschnitt wird Folgendes beschrieben:

  • Zugriff auf Ihre Cloud Storage-Buckets für unsere Dienstkonten widerrufen
  • Zugriff auf Ihre Cloud KMS-Rollen für unsere Dienstkonten widerrufen
  • Cloud KMS-Schlüssel löschen, der zum Verschlüsseln Ihrer Daten auf Transfer Appliance verwendet wurde

Warten Sie, bis alle Ihre Daten in Cloud Storage kopiert wurden, bevor Sie die folgenden Schritte ausführen.

Sobald der Cloud KMS-Schlüssel gelöscht wurde, können verschlüsselte Daten auf Transfer Appliance nicht mehr wiederhergestellt werden. Nach dem Widerrufen des Zugriffs der Dienstkonten auf Cloud Storage-Buckets und den Cloud KMS-Schlüssel können keine weiteren Daten von der Appliance in Ihre Cloud Storage-Buckets kopiert werden.

Cloud KMS-Schlüsselzugriff für das Dienstkonto widerrufen

Wenn Sie den Cloud KMS-Schlüsselzugriff für das Transfer Appliance-Dienstkonto widerrufen, können wir Transfer Appliance-Daten nicht mehr in Ihrem Namen entschlüsseln.

Um die Rollen "Cloud KMS CryptoKey-Entschlüsseler" und "Betrachter für öffentliche Cloud KMS CryptoKey-Schlüssel" vom Dienstkonto zu widerrufen, führen Sie die folgenden Schritte aus:

Google Cloud Console

  1. Rufen Sie in der Cloud Console die Seite Kryptografische Schlüssel auf.

    Zur Seite "Kryptografische Schlüssel"

  2. Klicken Sie auf den Namen des Schlüsselbunds, der den Schlüssel enthält, der unter Cloud KMS-Schlüssel vorbereiten verwendet wurde.

  3. Klicken Sie das Kästchen für den Schlüssel an, dessen Zugriff Sie für das Dienstkonto widerrufen.

  4. Klicken Sie auf Infofeld anzeigen.

    Das Informationsfenster wird angezeigt.

  5. So widerrufen Sie die Rolle Cloud KMS CryptoKey-Entschlüsseler für das Dienstkonto:

    1. Maximieren Sie im Tab Berechtigungen die Rolle Cloud KMS CryptoKey-Entschlüsseler.

    2. Suchen Sie das Sitzungsdienstkonto. Es sieht in etwa so aus:

      SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      In diesem Beispiel ist SESSION_ID die Sitzungs-ID für diese bestimmte Übertragung.

    3. Klicken Sie auf „Löschen“ .

    4. Wählen Sie im Löschfenster das Dienstkonto aus und klicken Sie auf Entfernen.

  6. So widerrufen Sie die Rolle Betrachter für öffentliche Cloud KMS CryptoKey-Schlüssel des Dienstkontos:

    1. Maximieren Sie im Tab Berechtigungen die Rolle Betrachter für öffentliche Cloud KMS CryptoKey-Schlüssel.

    2. Suchen Sie das Sitzungsdienstkonto. Es sieht in etwa so aus:

      SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      In diesem Beispiel ist SESSION_ID die Sitzungs-ID für diese bestimmte Übertragung.

    3. Klicken Sie auf „Löschen“ .

    4. Klicken Sie im Löschfenster auf das Kästchen neben dem Dienstkonto und dann auf Entfernen.

Befehlszeile

  1. Führen Sie den folgenden Befehl aus, um die Rolle roles/cloudkms.cryptoKeyDecrypter für das Sitzungsdienstkonto zu widerrufen:

    gcloud kms keys remove-iam-policy-binding KEY \
      --keyring KEY_RING \
      --location LOCATION \
      --member=serviceAccount:SESSION_ID@transfer-appliance-zimbru-iam.gserviceaccount.com \
      --role roles/cloudkms.cryptoKeyDecrypter
    

    In diesem Beispiel:

    • KEY: Der Name des Cloud Key Management Service-Schlüssels. Beispiel: ta-key
    • KEY_RING: Der Name des Schlüsselbunds.
    • LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund. Beispiel: global.
    • PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.
    • SESSION_ID: Die Sitzungs-ID für diese bestimmte Übertragung.
  2. Führen Sie den folgenden Befehl aus, um die Rolle roles/cloudkms.publicKeyViewer für das Sitzungsdienstkonto zu widerrufen:

    gcloud kms keys remove-iam-policy-binding KEY \
      --keyring KEY_RING \
      --location LOCATION \
      --member=serviceAccount:SESSION_ID@transfer-appliance-zimbru-iam.gserviceaccount.com \
      --role roles/cloudkms.publicKeyViewer
    

    In diesem Beispiel:

    • KEY: Der Name des Cloud Key Management Service-Schlüssels. Beispiel: ta-key
    • KEY_RING: Der Name des Schlüsselbunds.
    • LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund. Beispiel: global.
    • PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.
    • SESSION_ID: Die Sitzungs-ID für diese bestimmte Übertragung.

Zugriff auf Cloud Storage-Buckets für die Dienstkonten widerrufen

Wenn Sie den Cloud Storage-Bucket-Zugriff für die Transfer Appliance-Dienstkonten widerrufen, können wir keine Cloud Storage-Ressourcen mehr in Ihrem Namen verwenden.

So widerrufen Sie den Zugriff auf den Cloud Storage-Bucket für die Transfer Appliance-Dienstkonten:

Google Cloud Console

  1. Wechseln Sie in der Cloud Console zum Cloud Storage-Browser.

    Browser aufrufen

  2. Suchen Sie den Cloud Storage-Bucket, in den Ihre Daten kopiert wurden, und klicken Sie das Kästchen neben dem Bucket-Namen an.

  3. Klicken Sie auf Infofeld anzeigen.

    Das Informationsfenster wird angezeigt.

  4. Maximieren Sie im Tab Berechtigungen die Rolle Storage-Administrator.

  5. So widerrufen Sie den Zugriff auf den Cloud Storage-Bucket für das Sitzungsdienstkonto:

    1. Suchen Sie das Sitzungsdienstkonto. Es sieht in etwa so aus:

      SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      In diesem Beispiel ist SESSION_ID die Sitzungs-ID für diese bestimmte Übertragung.

    2. Klicken Sie auf „Löschen“ .

      Es wird ein Dialogfeld angezeigt, in dem Sie den Widerruf für das Konto bestätigen.

    3. Aktivieren Sie im Dialogfeld das Kästchen neben dem Sitzungsdienstkonto und klicken Sie auf Entfernen.

  6. So widerrufen Sie den Zugriff auf den Cloud Storage-Bucket für den Transfer Service for On Premises Data-Dienst-Agent:

    1. Suchen Sie den Dienst-Agent. Der Dienst-Agent ist in der E-Mail mit dem Betreff Google Transfer Appliance Prepare Destination Bucket aufgeführt. Das sieht in etwa so aus:

      project-IDENTIFIER@storage-transfer-service.gserviceaccount.com

      In diesem Beispiel ist IDENTIFIER eine für dieses Projekt spezifische Nummer.

    2. Klicken Sie auf „Löschen“ .

      Es wird ein Dialogfeld angezeigt, in dem Sie den Widerruf für das Konto bestätigen.

    3. Klicken Sie im Dialogfeld auf das Kästchen neben dem von Google verwalteten Dienstkonto und dann auf Entfernen.

Befehlszeile

Führen Sie den Befehl gsutil iam ch aus:

gsutil iam ch -d \
serviceAccount:SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com:roles/storage.admin \
serviceAccount:project-IDENTIFIER@storage-transfer-service.gserviceaccount.comi \
gs://BUCKET_NAME

In diesem Beispiel:

  • SESSION_ID: Die Sitzungs-ID für diese bestimmte Übertragung.
  • IDENTIFIER: Eine generierte Nummer, die für dieses Projekt spezifisch ist.
  • BUCKET_NAME: Der Name Ihres Cloud Storage-Buckets.

Cloud KMS-Schlüssel löschen

Durch das Löschen des Cloud KMS-Schlüssels wird sichergestellt, dass alle zuvor mit dem Schlüssel verschlüsselten Daten von niemandem mehr entschlüsselt werden können.

Weitere Informationen zum Löschen von Schlüsseln finden Sie unter Schlüsselversionen löschen und wiederherstellen.

So löschen Sie den Cloud KMS-Schlüssel:

Google Cloud Console

  1. Rufen Sie in der Cloud Console die Seite Kryptografische Schlüssel auf.

    Zur Seite "Kryptografische Schlüssel"

  2. Klicken Sie auf den Namen des Schlüsselbunds, der zum Vorbereiten des Cloud KMS-Schlüssels verwendet wurde.

  3. Suchen Sie die Zeile, die den zu löschenden Schlüssel enthält.

  4. Wählen Sie Mehr > Löschen aus.

    Es wird ein Bestätigungsdialogfeld angezeigt.

  5. Klicken Sie im Bestätigungsdialogfeld auf Löschen planen.

Befehlszeile

Führen Sie den Befehl gcloud kms keys version destroy aus:

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

In diesem Beispiel:

  • VERSION_NUMBER: Die Versionsnummer des Schlüssels.
  • KEY_RING: Name des Schlüsselbunds.
  • KEY: Der Name Ihres asymmetrischen Schlüssels.
  • LOCATION: Der Google Cloud-Speicherort des Schlüsselbunds.
  • PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Schlüssel befindet.