Usar la aplicación de configuración de Cloud de Transfer Appliance

En este tema, se describe cómo configurar los permisos de Google Cloud y Cloud Storage mediante la aplicación de configuración de Cloud de Transfer Appliance.

La aplicación de configuración de Cloud de Transfer Appliance te solicita información, como el ID de la sesión de transferencia, el bucket de Cloud Storage de destino y las preferencias de Cloud Key Management Service (Cloud KMS). Con la información que proporcionas, la aplicación de configuración de Cloud de Transfer Appliance configura tus permisos de Google Cloud, tu bucket preferido de Cloud Storage y la clave de Cloud KMS para tu transferencia.

Antes de comenzar

Asegúrate de tener lo siguiente:

  • Es el nombre del proyecto que se usó para la transferencia.

  • El ID de sesión del correo electrónico del equipo de Transfer Appliance titulado Google Transfer Appliance Credentials. Completarás el formulario que se incluye en este correo electrónico, que el equipo de Transfer Appliance usa para configurar tu transferencia.

  • Las funciones de IAM correctas

    Si usted es el propietario del proyecto, basta con roles/owner.

    Si no tienes roles/owner y creas un bucket de Cloud Storage y una clave de Cloud KMS a través de la aplicación de configuración de Cloud de Transfer Appliance, entonces deberías tener las funciones/storage.admin y roles/cloudkms.admin para el proyecto de Google Cloud.

    Si no tienes roles/owner y usas un bucket de Cloud Storage existente y una clave de Cloud KMS, entonces debes tener el roles/storage.admin en el bucket de Cloud Storage y roles/cloudkms.admin en la clave de Cloud KMS que usas para la transferencia.

    A fin de ver las funciones de IAM que los principales tienen para un proyecto y sus recursos, haz lo siguiente:

    1. En Cloud Console, ve a la página IAM.

      Ir a la página IAM

    2. En esta página, se muestran todos los principales que tienen funciones de IAM en tu proyecto.

  • El agente de servicio que está vinculado al Servicio de transferencia de datos locales. Este agente de servicio aparece en un correo electrónico titulado Bucket de destino de preparación de Google Transfer Appliance y es similar al siguiente ejemplo:

    project-IDENTIFIER@storage-transfer-service.gserviceaccount.com

    En este ejemplo, IDENTIFIER es un número generado específico para este proyecto en particular.

    Usamos el Servicio de transferencia de datos locales para transferir datos desde el dispositivo hasta tu bucket de Cloud Storage.

Otorga permisos al agente de servicio

Para otorgar permisos al agente de servicio, haz lo siguiente:

Google Cloud Console

  1. En Cloud Console, ve a la página Navegador de Cloud Storage.

    Ir al navegador

  2. Haz clic en el menú ampliado del bucket () asociado al bucket al que le otorgas una función.

  3. Elige Edit bucket permissions.

  4. Haz clic en el botón + Agregar miembros (Add members).

  5. En el campo Miembros nuevos, ingresa el agente de servicio. Es similar al siguiente ejemplo:

    project-IDENTIFIER@storage-transfer-service.gserviceaccount.com

    En este ejemplo, IDENTIFIER es un número generado específico para este proyecto en particular.

  6. En el menú desplegable Seleccionar una función, selecciona la función Administrador de almacenamiento.

    Las funciones que seleccionas aparecen en el panel con una descripción breve del permiso que otorgan.

  7. Haga clic en Save.

Línea de comandos

Usa el comando gsutil iam ch:

gsutil iam ch \
serviceAccount:project-IDENTIFIER@storage-transfer-service.gserviceaccount.com:storageAdmin \
gs://BUCKET_NAME

En este ejemplo:

  • IDENTIFIER: un número generado específico para este proyecto en particular.
  • BUCKET_NAME: El nombre del bucket que usas.

Descarga la aplicación de configuración de Cloud de Transfer Appliance

Para descargar la aplicación de configuración de Cloud de Transfer Appliance, sigue estos pasos:

  1. Abre el panel de Cloud Console.

    Abrir el panel de Cloud Console

  2. Verifica que el nombre del proyecto que se usa para la transferencia se muestre en el selector de proyectos. El selector de proyectos te indica en qué proyecto estás trabajando en este momento.

    Selecciona un proyecto de Google Cloud del selector de proyectos

    Si no ves el nombre del proyecto que usas para la transferencia, haz clic en el selector de proyectos y, luego, selecciona el proyecto correcto.

  3. Haz clic en Activar Cloud Shell.

    Iniciando devshell desde la barra de menú.

  4. En Cloud Shell, usa el comando wget para descargar la aplicación de configuración de Cloud de Transfer Appliance:

    wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux
    

Ejecuta la aplicación de configuración de Cloud de Transfer Appliance

  1. En Cloud Shell, ejecute el siguiente comando para iniciar la aplicación de configuración de Cloud de Transfer Appliance:

    chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
    
  2. La aplicación de configuración de Cloud de Transfer Appliance te solicita los siguientes elementos:

    • El agente de servicio vinculado al Servicio de transferencia de datos locales. Es similar al siguiente ejemplo:

      project-IDENTIFIER@storage-transfer-service.gserviceaccount.com

      En este ejemplo, IDENTIFIER es un número generado específico para este proyecto en particular.

    • El ID de sesión del correo electrónico del equipo de Transfer Appliance titulado Google Transfer Appliance Credentials.

    • Si deseas usar un bucket existente, haz lo siguiente:

      • Si seleccionas , se mostrará una lista de depósitos para que elijas.

      • Si seleccionas No, se te solicitará un nombre de bucket. Se muestra una lista de ubicaciones de bucket entre las que puedes elegir.

    • Un prefijo del objeto (opcional). Sin un prefijo, los objetos se transfieren a Cloud Storage con la ruta de acceso de la fuente, sin la ruta raíz, antes de establecer el nombre del archivo en el sistema de archivos. Por ejemplo, si tienes estos archivos:

      • /source_root_path/file1.txt
      • /source_root_path/dirA/file2.txt
      • /source_root_path/dirA/dirB/file3.txt
      Los nombres de los objetos en Cloud Storage serán los siguientes:
      • file1.txt
      • dirA/file2.txt
      • dirA/dirB/file3.txt
      El prefijo del objeto se agrega al nombre de destino del objeto en Cloud Storage, después del carácter / del nombre del bucket de destino y antes de cualquier nombre de ruta desde la que se haya transferido el objeto, sin incluir la ruta de acceso raíz de la fuente. Esto puede ayudarte a distinguir entre objetos transferidos de otros trabajos de transferencia.

      En la siguiente tabla, se muestran varios ejemplos de prefijos del objeto y los nombres de objeto resultantes en Cloud Storage, si la ruta de acceso al objeto de origen es /source_root_path/sub_folder_name/object_name:
      Prefijo Nombre del objeto de destino
      Ninguna /destination_bucket/sub_folder_name/object_name
      prefix/ /destination_bucket/prefix/sub_folder_name/object_name

    • Si deseas usar una clave de Cloud KMS administrada por Google o por el cliente:

      Si seleccionas una clave de Cloud KMS administrada por el cliente, la aplicación de configuración de Cloud de Transfer Appliance te solicitará que uses una clave de Cloud KMS existente:

      • Si seleccionas , se te solicitará la ubicación del llavero de claves de Cloud KMS, el llavero de claves de Cloud KMS y la clave de Cloud KMS que se usa para esta sesión.
      • Si seleccionas No, se te solicitará la ubicación del llavero de claves de Cloud KMS. La aplicación de configuración de Cloud de Transfer Appliance crea la clave de Cloud KMS en la ubicación que selecciones.

    Sesión de ejemplo

    La siguiente es una sesión de muestra:

    Please enter the session ID (The session ID is shared separately by the
    Transfer Appliance support team)
    CUS-1120-TEST
    
    [Optional] Please enter the Google-managed service account if it was
    shared by the Transfer Appliance support team:
    project-12345@storage-transfer-service.gserviceaccount.com
    
    Would you like to use an existing storage bucket where your data will
    arrive?
    
    Choose Yes or No:
        Yes
       ▸No
    
    Name your bucket. Pick a globally unique, permanent name. Naming guidelines:
    https://cloud.google.com/storage/docs/naming-buckets
    
    2021-05-transfer-set
    
    Please wait. Fetching the list of available locations, this can take a few
    seconds..
    
    Use the arrow keys to navigate: ↓ ↑ → ←
    ? Choose Cloud Storage Location:
      ▸ asia-east1
        asia-east2
        asia-northeast1
        asia-northeast2
    ↓   asia-northeast3
    
    [Optional] Enter an object prefix or press enter to skip:
    
    test
    
    Please select the encryption key type
    Use the arrow keys to navigate: ↓ ↑ → ←
    ? Choose Key Type:
        Google-managed encryption key
      ▸ Customer-managed encryption key
    
    Would you like to use an existing Cloud KMS key?
    Use the arrow keys to navigate: ↓ ↑ → ←
    ? Choose Yes or No:
        Yes
       ▸No
    
    Please wait. Fetching the list of available KMS locations, this can take a few seconds..
    Use the arrow keys to navigate: ↓ ↑ → ←
    ? Choose key ring location:
      ▸ asia
        asia-east1
        asia-east2
        asia-northeast1
    ↓   asia-northeast2
    
    Cloud Setup is complete.
    
    Next Steps..
    
    Please complete the form received in the email titled Google Transfer
    Appliance Access Credentials sent by the Transfer Appliance Team with the
    following information:
    
    Session ID:
    CUS-1120-TEST
    
    Google Cloud Platform Project ID:
    customer-test
    
    Encryption:
    Customer-managed encryption key
    
    Google Cloud Storage Destination Bucket Name:
    2021-05-tranfsfer-set
    
    Google Cloud Storage Destination Object Bucket Prefix (optional):
    
    Online Enabled:
    No
    

    La aplicación de configuración de Cloud de Transfer Appliance hace lo siguiente cuando se completa:

    • Otorga permisos a las cuentas de servicio de Transfer Appliance usadas para transferir datos a tu bucket de Cloud Storage.
    • Otorga permiso a las cuentas de servicio de Transfer Appliance para acceder a los datos de clave de Cloud KMS necesarios si eliges la Clave administrada por el cliente.
    • Muestra la siguiente información:

      • El nombre del recurso de la clave criptográfica de Google Cloud, si elegiste usar una clave de encriptación de Cloud KMS administrada por el cliente
      • El nombre del bucket de destino de Cloud Storage de Google Cloud.
      • Un prefijo de bucket de destino de Google Cloud Storage, si proporcionaste uno.

      La información que se muestra también se almacena dentro del directorio principal en Cloud Shell, llamado SESSION_ID-output.txt, en el que SESSION_ID es el ID de sesión para esta transferencia en particular.

      Los nombres de las cuentas de servicio a las que se les otorgó permiso para esta transferencia en particular se almacenan dentro del directorio principal en Cloud Shell, llamado cloudsetup.log.

  3. Recibirás un correo electrónico del equipo de Transfer Appliance que se llama Permisos y preparación de Google Transfer Appliance. Completa el formulario vinculado en ese correo electrónico con la siguiente información:

    • El ID del proyecto de Google Cloud Platform.
    • Selecciona una opción para la Encriptación:
      • Clave de encriptación administrada por Google, si elegiste que Google administre tu clave de encriptación.
      • Clave de encriptación administrada por el cliente, si elegiste administrar tu propia clave de encriptación. Selecciona la clave de encriptación deseada en el menú desplegable Selecciona una clave de encriptación administrada por el cliente.
    • El nombre del bucket de destino de Cloud Storage de Google Cloud que se usa para esta transferencia.
    • Un prefijo de bucket de destino de Cloud Storage

Soluciona problemas

Error 400: La cuenta de servicio no existe

Problema:

La aplicación de configuración de Cloud de Transfer Appliance muestra el siguiente mensaje:

Service account SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com
does not exist.

En el ejemplo anterior, SESSION_ID es el ID de sesión proporcionado a la aplicación de configuración de Cloud de Transfer Appliance.

Solution:

Verifica el ID de sesión de tu transferencia. El ID de sesión es único para cada sesión de transferencia y lo comparte el equipo de Transfer Appliance. Si no recibiste un ID de sesión, comunícate con data-support@google.com.

Error: Enumera ubicaciones de KMS

Problema:

La aplicación de configuración de Cloud de Transfer Appliance muestra el siguiente mensaje:

Error: listing kms locations

Solution:

Haz lo siguiente dentro de Cloud Shell:

  1. Para volver a autenticar, ejecuta gcloud auth login.

  2. Reintenta la aplicación de Cloud Setup para Transfer Appliance.

Si el error persiste, comunícate con el equipo de Transfer Appliance en data-support@google.com.

Error: Se produce un error de restricción de clave de Cloud KMS

Problema:

La aplicación de configuración de Cloud de Transfer Appliance muestra un mensaje similar al siguiente:

Error: creating cloud kms key violates constraint error: code = FailedPrecondition
desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on
the resource 'projects/test/locations/europe-west6'

Solution:

Es posible que tu proyecto de Google Cloud tenga políticas de la organización que no permitan crear claves de Cloud Key Management Service en ciertas ubicaciones. Las siguientes son posibles soluciones:

  • Elige una ubicación diferente para crear la clave de Cloud Key Management Service.
  • Actualiza la política de la organización para permitir la creación de claves de Cloud Key Management Service en la ubicación que desees.

Para obtener más información, consulta Restringe las ubicaciones de recursos.