Ce document décrit la configuration des autorisations Google Cloud et Cloud Storage à l'aide de l'application de configuration cloud de l'appareil.
L'application de configuration cloud de l'appareil vous invite à saisir des informations, telles que ID de session de transfert, bucket Cloud Storage de destination et Cloud Key Management Service (Cloud KMS). Les informations que vous fournissez L'application de configuration cloud de l'appareil configure vos autorisations Google Cloud, de préférence bucket Cloud Storage et clé Cloud KMS pour le transfert.
Avant de commencer
Assurez-vous de disposer des éléments suivants :
Nom du projet et adresse de l'établissement utilisé pour commander l'appareil.
L'ID de l'appareil, l'ID de session, le nom du bucket, le préfixe du bucket et la clé de chiffrement spécifié lors de la commande de l'appareil. Vous les trouverez dans l'e-mail intitulé Google Transfer Appliance Préparation des autorisations et stockage.
L'agent de service du service de transfert de stockage indiqué dans l'e-mail intitulé Google Transfer Appliance Préparation des autorisations et stockage. Apparence semblable à l'exemple suivant:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com
Dans cet exemple,
TENANT_IDENTIFIER
est un numéro généré spécifique à ce projet.Nous utilisons le service de transfert de stockage pour transférer les données de l'appareil vers votre bucket Cloud Storage.
Attribuer des rôles IAM
Vous devez disposer des rôles IAM appropriés sur le projet et le bucket Cloud Storage.
Si vous êtes le propriétaire du projet, roles/owner
est suffisant. Passez à la section suivante, Télécharger l'application de configuration cloud de l'appliance.
Si vous ne disposez pas de roles/owner
, vous devez disposer des rôles suivants:
roles/serviceusage.serviceUsageAdmin
: pour activer les API requises dans le projetroles/iam.serviceAccountCreator
: pour créer des comptes de serviceroles/iam.serviceAccountKeyAdmin
: pour créer et télécharger un compte de service clés. Peut être accordée au niveau du projet ou au compte de service de l'appareil une fois qu'il a été créé par l'application d'autorisations.roles/storagetransfer.admin
: pour créer le compte de service Storage Transfer Service.roles/transferappliance.viewer
: Pour extraire les détails du bucket Cloud Storage et de la clé Cloud Key Management Service.roles/storage.admin
: peut être accordé au niveau du projet si vous n'avez pas créé de bucket Cloud Storage, ou au niveau du bucket si vous utilisez un bucket Cloud Storage existant.roles/cloudkms.admin
: peut être accordé au niveau du projet si vous ne l'avez pas fait créé une clé Cloud KMS, ou cette autorisation au niveau de la clé vous utilisez une clé Cloud KMS existante.
Afficher les rôles
Pour afficher les rôles IAM dont vos comptes principaux disposent pour un projet et ses ressources, procédez comme suit :
Dans la console Google Cloud, accédez à la page IAM.
La page affiche tous les comptes principaux disposant des rôles IAM sur votre projet.
Télécharger l'application de configuration cloud de l'appli
Pour télécharger l'application de configuration cloud Appliance Cloud :
Ouvrez la page de bienvenue de la console Google Cloud.
Vérifiez que le nom du projet utilisé pour le transfert s'affiche dans le sélecteur de projet. Le sélecteur de projet vous indique le projet dans lequel vous travaillez actuellement.
Si vous ne voyez pas le nom du projet que vous utilisez pour le transfert, cliquez sur le sélecteur de projet, puis sélectionnez le bon projet.
Cliquez sur Activate Cloud Shell (Activer Cloud Shell).
Dans Cloud Shell, exécutez la commande
wget
pour télécharger l'application de configuration cloud de l'appareil:wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Exécuter l'application de configuration cloud de l'appli
Dans Cloud Shell, exécutez la commande suivante pour lancer l'application de configuration cloud de l'appareil:
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
L'application vous guide tout au long de la configuration de votre projet.
Sortie de l'application
L'application de configuration cloud Appliance effectue les actions suivantes :
- Accorde des autorisations aux comptes de service de l'appareil pour transférer des données vers votre bucket Cloud Storage.
- Si vous choisissez d'utiliser une clé de chiffrement gérée par le client, autorise l'accès les comptes de service de l'appareil pour accéder aux données de clé Cloud KMS.
Affiche les informations suivantes :
- Nom de ressource de la clé cryptographique Google Cloud, si vous avez choisi d'utiliser une clé de chiffrement Cloud KMS gérée par le client.
- Nom du bucket de destination Google Cloud Storage.
- Le préfixe de bucket de destination Google Cloud Storage, si vous en avez fourni un.
- Le nom du compte de service Online Transfer et le nom de l'agent de service Storage Transfer Service, le cas échéant.
Les informations affichées sont également stockées dans le répertoire d'accueil de Cloud Shell, nommé SESSION_ID-output.txt
, où SESSION_ID
correspond à l'ID de session de ce transfert particulier.
Les noms des comptes de service autorisés à effectuer ce transfert sont stockés dans le répertoire d'accueil de Cloud Shell, nommé cloudsetup.log
.
Envoyer des informations CMEK à Google
Si vous avez spécifié une clé de chiffrement gérée par le client, envoyez-nous les informations de la clé en remplissant le formulaire accessible via le lien inclus dans l'e-mail intitulé Google Transfer Appliance Préparez les autorisations et le stockage.
Télécharger des clés de compte de service
Téléchargez et enregistrez une clé de compte de service pour le compte de service du service de transfert en ligne.
gcloud iam service-accounts keys create key.json \ --iam-account=APPLIANCE_SERVICE_ACCOUNT_EMAIL
La valeur de APPLIANCE_SERVICE_ACCOUNT_EMAIL s'affiche dans la sortie de l'application d'autorisations :
...
Appliance Service Account Name:
example-sa@example-project.iam.gserviceaccount.com
Une fois votre appareil reçu, importez la clé dans le répertoire /tmp
de la
de l'appareil.
Dépannage
Erreur 400 : le compte de service n'existe pas
Problème :
L'application de configuration cloud Appliance affiche le message suivant :
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Où SESSION_ID
est l'ID de session fourni à l'application de configuration cloud de l'appliance.
Solution :
Vérifiez l'ID de session pour votre transfert. L'ID de session est unique à chaque session de transfert et partagé par l'équipe Transfer Appliance. Si vous n'avez pas reçu d'ID de session, contactez data-support@google.com.
Erreur : [context dependent] les emplacements KMS
Problème :
L'application de configuration cloud Appliance affiche le message suivant :
Error: listing kms locations
Solution :
Procédez comme suit dans Cloud Shell :
Ré-authentifiez-vous en exécutant la commande
gcloud auth login
.Relancez l'application de configuration cloud de l'appliance.
Si l'erreur persiste, contactez l'équipe Transfer Appliance à l'adresse data-support@google.com.
Erreur : erreur de création d'une contrainte de clé Cloud KMS
Problème :
L'application de configuration cloud Appliance affiche un message semblable à celui-ci :
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Solution :
Votre projet Google Cloud peut comporter des règles d'administration qui interdisent la création de clés Cloud Key Management Service dans certains emplacements. Voici les solutions possibles :
- Choisissez un autre emplacement pour créer la clé Cloud Key Management Service.
- Mettez à jour la règle d'administration pour autoriser la création de clés Cloud Key Management Service à l'emplacement souhaité.
Pour en savoir plus, consultez la section Restreindre les emplacements de ressources.