Questo documento descrive la configurazione delle autorizzazioni di Google Cloud e di Cloud Storage tramite l'applicazione di configurazione dell'appliance cloud.
L'applicazione di configurazione dell'appliance cloud ti chiede informazioni, ad esempio l'ID sessione di trasferimento, il bucket Cloud Storage di destinazione e le preferenze di Cloud Key Management Service (Cloud KMS). Utilizzando le informazioni fornite, l'Appliance Cloud Setup Application configura le autorizzazioni Google Cloud, il bucket Cloud Storage preferito e la chiave Cloud KMS per il trasferimento.
Prima di iniziare
Assicurati di disporre di quanto segue:
Il nome del progetto e la sede dell'attività utilizzati per ordinare l'appliance.
L'ID appliance, l'ID sessione, il nome del bucket, il prefisso del bucket e la chiave di crittografia specificati al momento dell'ordine dell'appliance. Puoi trovarli nell'email intitolata Autorizzazioni e spazio di archiviazione per la preparazione dell'appliance di trasferimento Google.
L'agente di servizio Storage Transfer Service elencato nell'email intitolata Autorizzazioni e spazio di archiviazione per la preparazione di Google Transfer Appliance. Ha un aspetto simile al seguente esempio:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn questo esempio,
TENANT_IDENTIFIERè un numero generato specifico per questo progetto specifico.Utilizziamo Storage Transfer Service per trasferire i dati dall'appliance al tuo bucket Cloud Storage.
Assegna i ruoli IAM
Devi disporre dei ruoli IAM corretti nel progetto e nel bucket Cloud Storage.
Se sei il proprietario del progetto, roles/owner è sufficiente. Vai alla sezione successiva, Scaricare l'applicazione di configurazione Appliance Cloud.
Se non disponi del ruolo roles/owner, devi disporre dei seguenti ruoli:
roles/serviceusage.serviceUsageAdmin: per abilitare le API richieste nel progetto.roles/iam.serviceAccountCreator: per creare nuovi account di servizio.roles/iam.serviceAccountKeyAdmin: per creare e scaricare le chiavi dell'account di servizio. Può essere concessa a livello di progetto o all'account di servizio dell'elettrodomestico dopo che è stato creato dall'app delle autorizzazioni.roles/storagetransfer.admin: per creare l'account di servizio Storage Transfer Service.roles/transferappliance.viewer: per recuperare i dettagli del bucket Cloud Storage e della chiave Cloud Key Management Service.roles/storage.admin: può essere concessa a livello di progetto se non hai creato un bucket Cloud Storage oppure a livello di bucket se utilizzi un bucket Cloud Storage esistente.roles/cloudkms.admin: può essere concesso a livello di progetto se non hai creato una chiave Cloud KMS oppure a livello di chiave se utilizzi una chiave Cloud KMS esistente.
Visualizzazione dei ruoli
Per visualizzare i ruoli IAM di cui dispongono le entità per un progetto e le sue risorse, segui questi passaggi:
Nella console Google Cloud, vai alla pagina IAM.
La pagina mostra tutte le entità con ruoli IAM nel progetto.
Scaricare l'applicazione Appliance Cloud Setup
Per scaricare l'applicazione Appliance Cloud Setup:
Apri la pagina di benvenuto della console Google Cloud.
Verifica che il nome del progetto utilizzato per il trasferimento sia visualizzato nel selettore dei progetti. Il selettore di progetti indica il progetto su cui stai lavorando.
Se non vedi il nome del progetto che stai utilizzando per il trasferimento, fai clic sul selettore del progetto e seleziona il progetto corretto.
Fai clic su Attiva Cloud Shell.
In Cloud Shell, utilizza il comando
wgetper scaricare l'applicazione Appliance Cloud Setup:wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Esegui l'applicazione Appliance Cloud Setup
In Cloud Shell, esegui il seguente comando per avviare l'applicazione di configurazione dell'appliance cloud:
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
L'app ti guiderà attraverso i passaggi necessari per configurare il progetto.
Output dell'applicazione
L'applicazione Appliance Cloud Setup completa le seguenti azioni:
- Concedi le autorizzazioni agli account di servizio dell'appliance utilizzati per trasferire i dati nel bucket Cloud Storage.
- Se hai scelto di utilizzare una chiave di crittografia gestita dal cliente, concedi l'autorizzazione ai service account dell'appliance per accedere ai dati delle chiavi Cloud KMS.
Vengono visualizzate le seguenti informazioni:
- Il nome della risorsa della chiave di crittografia Google Cloud, se hai scelto di utilizzare una chiave di crittografia Cloud KMS gestita dal cliente.
- Il nome del bucket di destinazione Google Cloud Storage.
- Un prefisso del bucket di destinazione Google Cloud Storage, se fornito.
- Se applicabile, il nome dell'account di servizio Trasferimento online e il nome dell'agente di servizio Storage Transfer Service.
Le informazioni visualizzate vengono memorizzate anche nella home directory di Cloud Shell, denominata SESSION_ID-output.txt, dove SESSION_ID è l'ID sessione per questo trasferimento specifico.
I nomi degli account di servizio a cui è stata concessa l'autorizzazione per questo trasferimento specifico sono memorizzati nella home directory di Cloud Shell, denominata cloudsetup.log.
Inviare le informazioni CMEK a Google
Se hai specificato una chiave di crittografia gestita dal cliente, inviaci le informazioni sulla chiave compilando il modulo collegato all'email intitolata Google Transfer Appliance Prepara autorizzazioni e spazio di archiviazione.
Scaricare le chiavi dell'account di servizio
Scarica e salva una chiave dell'account di servizio per l'account di servizio di trasferimento online.
gcloud iam service-accounts keys create key.json \ --iam-account=APPLIANCE_SERVICE_ACCOUNT_EMAIL
Il valore di APPLIANCE_SERVICE_ACCOUNT_EMAIL viene visualizzato nell'output dell'app delle autorizzazioni:
...
Appliance Service Account Name:
example-sa@example-project.iam.gserviceaccount.com
Quando ricevi l'appliance, carica la chiave nella directory /tmp sull'appliance.
Risoluzione dei problemi
Errore 400: l'account di servizio non esiste
Problema:
Appliance Cloud Setup Application mostra il seguente messaggio:
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Dove SESSION_ID è l'ID sessione fornito all'Appliance Cloud Setup Application.
Soluzione:
Verifica l'ID sessione per il trasferimento. L'ID sessione è univoco per ogni sessione di trasferimento e viene condiviso dal team di Transfer Appliance. Se non hai ricevuto un ID sessione, contatta data-support@google.com.
Errore: elenco delle località KMS
Problema:
Appliance Cloud Setup Application mostra il seguente messaggio:
Error: listing kms locations
Soluzione:
In Cloud Shell:
Esegui nuovamente l'autenticazione eseguendo
gcloud auth login.Riprova a eseguire l'applicazione Appliance Cloud Setup.
Se l'errore persiste, contatta il team di Transfer Appliance all'indirizzo data-support@google.com.
Errore: creazione di un vincolo della chiave Cloud KMS
Problema:
Appliance Cloud Setup Application mostra un messaggio simile al seguente:
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Soluzione:
Il tuo progetto Google Cloud potrebbe avere criteri dell'organizzazione che non consentono la creazione di chiavi Cloud Key Management Service in determinate località. Di seguito sono riportate alcune possibili soluzioni:
- Scegli una posizione diversa per creare la chiave Cloud Key Management Service.
- Aggiorna il criterio dell'organizzazione per consentire la creazione di chiavi Cloud Key Management Service nella posizione che preferisci.
Per ulteriori informazioni, consulta Limitare le località delle risorse.