Dokumen ini menjelaskan cara mengonfigurasi izin Google Cloud dan Cloud Storage menggunakan Aplikasi Penyiapan Cloud Appliance.
Aplikasi Penyiapan Cloud Appliance meminta informasi kepada Anda, seperti ID sesi transfer, bucket Cloud Storage tujuan, dan preferensi Cloud Key Management Service (Cloud KMS). Dengan menggunakan informasi yang Anda berikan, Aplikasi Penyiapan Cloud Appliance akan mengonfigurasi izin Google Cloud, bucket Cloud Storage pilihan, dan kunci Cloud KMS untuk transfer Anda.
Sebelum memulai
Pastikan Anda memiliki hal berikut:
Nama project dan lokasi bisnis yang digunakan untuk memesan perangkat.
ID Peralatan, ID sesi, nama bucket, awalan bucket, dan kunci enkripsi yang ditentukan saat memesan peralatan. Informasi ini dapat ditemukan dalam email berjudul Izin dan Penyimpanan Penyiapan Google Transfer Appliance.
Agen layanan Storage Transfer Service yang tercantum dalam email berjudul Menyiapkan Izin dan Penyimpanan Google Transfer Appliance. Tampilannya mirip dengan contoh berikut:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com
Dalam contoh ini,
TENANT_IDENTIFIER
adalah angka yang dihasilkan khusus untuk project ini.Kami menggunakan Storage Transfer Service untuk mentransfer data dari peralatan ke bucket Cloud Storage Anda.
Menetapkan peran IAM
Anda harus memiliki peran IAM yang benar di project dan bucket Cloud Storage.
Jika Anda adalah pemilik project, roles/owner
sudah cukup. Lanjutkan ke bagian
berikutnya, Download Aplikasi Penyiapan Cloud Appliance.
Jika Anda tidak memiliki roles/owner
, Anda harus memiliki peran berikut:
roles/serviceusage.serviceUsageAdmin
: Untuk mengaktifkan API yang diperlukan dalam project.roles/iam.serviceAccountCreator
: Untuk membuat akun layanan baru.roles/iam.serviceAccountKeyAdmin
: Untuk membuat dan mendownload kunci akun layanan. Dapat diberikan pada level project, atau dapat diberikan ke akun layanan Appliance setelah dibuat oleh aplikasi izin.roles/storagetransfer.admin
: Untuk membuat akun layanan Storage Transfer Service.roles/transferappliance.viewer
: Untuk mengambil detail kunci Cloud Key Management Service dan bucket Cloud Storage.roles/storage.admin
: Dapat diberikan di level project jika Anda belum membuat bucket Cloud Storage, atau dapat diberikan di level bucket jika Anda menggunakan bucket Cloud Storage yang sudah ada.roles/cloudkms.admin
: Dapat diberikan di level project jika Anda belum membuat kunci Cloud KMS, atau dapat diberikan di level kunci jika menggunakan kunci Cloud KMS yang sudah ada.
Melihat peran
Untuk melihat peran IAM yang dimiliki akun utama Anda untuk project dan resource-nya, lakukan hal berikut:
Di konsol Google Cloud, buka halaman IAM.
Halaman ini menampilkan semua akun utama yang memiliki peran IAM di project Anda.
Mendownload Aplikasi Penyiapan Cloud Appliance
Untuk mendownload Aplikasi Penyiapan Cloud Appliance:
Buka Halaman sambutan konsol Google Cloud.
Pastikan nama project yang digunakan untuk transfer ditampilkan di pemilih project. Pemilih proyek memberi tahu Anda proyek yang saat ini Anda kerjakan.
Jika Anda tidak melihat nama project yang digunakan untuk transfer, klik pemilih project, lalu pilih project yang benar.
Klik Aktifkan Cloud Shell.
Di Cloud Shell, gunakan perintah
wget
untuk mendownload Aplikasi Penyiapan Cloud Appliance:wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Menjalankan Aplikasi Penyiapan Cloud Appliance
Di Cloud Shell, jalankan perintah berikut untuk memulai Aplikasi Penyiapan Cloud Appliance:
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
Aplikasi ini akan memandu Anda melakukan langkah-langkah yang diperlukan untuk mengonfigurasi project.
Output aplikasi
Aplikasi Penyiapan Cloud Appliance menyelesaikan tindakan berikut:
- Memberikan izin ke akun layanan Appliance yang digunakan untuk mentransfer data ke bucket Cloud Storage Anda.
- Jika Anda memilih untuk menggunakan kunci enkripsi yang dikelola pelanggan, berikan izin ke akun layanan Appliance untuk mengakses data kunci Cloud KMS.
Menampilkan informasi berikut:
- Nama resource kunci kriptografis Google Cloud, jika Anda memilih untuk menggunakan kunci enkripsi Cloud KMS yang dikelola pelanggan.
- Nama bucket tujuan Google Cloud Storage.
- Awalan bucket tujuan Google Cloud Storage, jika Anda memberikannya.
- Jika berlaku, nama akun layanan Transfer Online, dan nama agen layanan Storage Transfer Service.
Informasi yang ditampilkan juga disimpan dalam direktori utama di Cloud Shell, yang bernama SESSION_ID-output.txt
, dengan SESSION_ID
yang merupakan ID sesi untuk transfer khusus ini.
Nama akun layanan yang diberi izin untuk transfer khusus ini disimpan dalam direktori utama di Cloud Shell, yang bernama cloudsetup.log
.
Mengirim informasi CMEK ke Google
Jika Anda menentukan kunci enkripsi yang dikelola pelanggan, kirimkan informasi kunci tersebut kepada kami dengan melengkapi formulir yang ditautkan dari email berjudul Menyiapkan Izin dan Penyimpanan Google Transfer Appliance.
Download kunci akun layanan
Download dan simpan kunci akun layanan untuk Akun Transfer Service Online.
gcloud iam service-accounts keys create key.json \ --iam-account=APPLIANCE_SERVICE_ACCOUNT_EMAIL
Nilai APPLIANCE_SERVICE_ACCOUNT_EMAIL ditampilkan dalam output aplikasi izin:
...
Appliance Service Account Name:
example-sa@example-project.iam.gserviceaccount.com
Ketika Anda menerima peralatan, upload kunci ke direktori /tmp
pada
perangkat.
Pemecahan masalah
Error 400: Akun layanan tidak ada
Masalah:
Aplikasi Cloud Setup Appliance menampilkan pesan berikut:
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Dengan SESSION_ID
adalah ID sesi yang diberikan ke Aplikasi Penyiapan Cloud Appliance.
Solusi:
Verifikasi ID sesi untuk transfer Anda. ID sesi bersifat unik untuk setiap sesi transfer dan dibagikan oleh Tim Transfer Appliance. Jika Anda belum menerima ID sesi, hubungi data-support@google.com.
Error: Mencantumkan lokasi KMS
Masalah:
Aplikasi Cloud Setup Appliance menampilkan pesan berikut:
Error: listing kms locations
Solusi:
Lakukan hal berikut dalam Cloud Shell:
Autentikasi ulang dengan menjalankan
gcloud auth login
.Coba Lagi Aplikasi Penyiapan Cloud Appliance.
Jika error tetap berlanjut, hubungi Tim Transfer Appliance di data-support@google.com.
Error: Membuat error batasan kunci Cloud KMS
Masalah:
Aplikasi Penyiapan Cloud Appliance menampilkan pesan yang mirip dengan yang berikut:
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Solusi:
Project Google Cloud Anda mungkin memiliki kebijakan organisasi yang melarang pembuatan kunci Cloud Key Management Service di lokasi tertentu. Berikut ini solusi yang mungkin dilakukan:
- Pilih lokasi lain untuk membuat kunci Cloud Key Management Service.
- Perbarui kebijakan organisasi untuk mengizinkan pembuatan kunci Cloud Key Management Service di lokasi yang Anda inginkan.
Untuk informasi selengkapnya, lihat Membatasi Lokasi Resource.