Configurer votre projet Google Cloud à l'aide de l'application de configuration

Ce document décrit la configuration des autorisations Google Cloud et Cloud Storage à l'aide de l'application de configuration cloud de l'appareil.

L'application de configuration cloud de l'appareil vous invite à saisir des informations telles que l'ID de session de transfert, le bucket Cloud Storage de destination et les préférences Cloud Key Management Service (Cloud KMS). À l'aide des informations que vous fournissez, l'application de configuration cloud de l'appareil configure vos autorisations Google Cloud, le bucket Cloud Storage de votre choix et la clé Cloud KMS pour votre transfert.

Avant de commencer

Assurez-vous de disposer des éléments suivants :

  • Nom du projet et adresse de l'établissement utilisés pour commander l'appareil.

  • L'ID de l'appareil, l'ID de session, le nom du bucket, le préfixe du bucket et la clé de chiffrement spécifiés lors de la commande de l'appareil. Vous les trouverez dans l'e-mail intitulé Google Transfer Appliance Prepare Permissions and Storage (Autorisations de préparation et de stockage de Google Transfer Appliance).

  • L'agent de service du service de transfert de stockage répertorié dans l'e-mail intitulé Google Transfer Appliance Préparer les autorisations et le stockage Voici un exemple:

    project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

    Dans cet exemple, TENANT_IDENTIFIER est un numéro généré spécifique à ce projet.

    Nous utilisons le service de transfert de stockage pour transférer les données de l'appareil vers votre bucket Cloud Storage.

Attribuer des rôles IAM

Vous devez disposer des rôles IAM appropriés pour le projet et le bucket Cloud Storage.

Si vous êtes le propriétaire du projet, roles/owner suffit. Passez à la section suivante, Télécharger l'application de configuration cloud de l'appareil.

Si vous ne disposez pas de roles/owner, vous devez disposer des rôles suivants:

  • roles/serviceusage.serviceUsageAdmin: permet d'activer les API requises dans le projet.
  • roles/iam.serviceAccountCreator: pour créer des comptes de service
  • roles/iam.serviceAccountKeyAdmin: pour créer et télécharger des clés de compte de service Peut être accordé au niveau du projet ou peut être accordé au compte de service de l'appareil une fois qu'il a été créé par l'application d'autorisations.
  • roles/storagetransfer.admin: créer le compte de service de service de transfert de stockage
  • roles/transferappliance.viewer: pour récupérer les détails du bucket Cloud Storage et de la clé Cloud Key Management Service.
  • roles/storage.admin: peut être accordé au niveau du projet si vous n'avez pas créé de bucket Cloud Storage, ou peut être accordé au niveau du bucket si vous utilisez un bucket Cloud Storage existant.
  • roles/cloudkms.admin: peut être accordé au niveau du projet si vous n'avez pas créé de clé Cloud KMS, ou accordé au niveau de la clé si vous utilisez une clé Cloud KMS existante.

Afficher les rôles

Pour afficher les rôles IAM dont vos comptes principaux disposent pour un projet et ses ressources, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page IAM.

    Accéder à la page IAM

  2. La page affiche tous les comptes principaux disposant des rôles IAM sur votre projet.

Télécharger l'application de configuration cloud de l'appareil

Pour télécharger l'application de configuration cloud de l'appareil:

  1. Ouvrez la page d'accueil de la console Google Cloud.

    Ouvrir la page d'accueil de la console Google Cloud

  2. Vérifiez que le nom du projet utilisé pour le transfert s'affiche dans le sélecteur de projet. Le sélecteur de projet vous indique le projet dans lequel vous travaillez actuellement.

    Sélectionner un projet Google Cloud dans le sélecteur de projet

    Si vous ne voyez pas le nom du projet que vous utilisez pour le transfert, cliquez sur le sélecteur de projet, puis sélectionnez le bon projet.

  3. Cliquez sur Activate Cloud Shell (Activer Cloud Shell).

    Démarrer l'interface de développement depuis la barre de menu

  4. Dans Cloud Shell, exécutez la commande wget pour télécharger l'application de configuration cloud de l'appareil:

    wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux

Exécuter l'application de configuration cloud de l'appareil

Dans Cloud Shell, exécutez la commande suivante pour lancer l'application de configuration cloud de l'appareil:

chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux

L'application vous guide tout au long des étapes requises pour configurer votre projet.

Sortie de l'application

L'application de configuration cloud de l'appareil effectue les actions suivantes:

  • Accorde des autorisations aux comptes de service d'appareil utilisés pour transférer des données vers votre bucket Cloud Storage.
  • Si vous avez choisi d'utiliser une clé de chiffrement gérée par le client, autorisez les comptes de service de l'appareil à accéder aux données de la clé Cloud KMS.

  • Affiche les informations suivantes :

    • Nom de ressource de la clé cryptographique Google Cloud, si vous avez choisi d'utiliser une clé de chiffrement Cloud KMS gérée par le client.
    • Nom du bucket de destination Google Cloud Storage.
    • Le préfixe de bucket de destination Google Cloud Storage, si vous en avez fourni un.
    • Le cas échéant, le nom du compte de service de transfert en ligne et le nom de l'agent de service du service de transfert de stockage

Les informations affichées sont également stockées dans le répertoire d'accueil de Cloud Shell, nommé SESSION_ID-output.txt, où SESSION_ID correspond à l'ID de session de ce transfert particulier.

Les noms des comptes de service autorisés à effectuer ce transfert sont stockés dans le répertoire d'accueil de Cloud Shell, nommé cloudsetup.log.

Envoyer des informations CMEK à Google

Si vous avez spécifié une clé de chiffrement gérée par le client, envoyez-nous les informations de la clé en remplissant le formulaire dont le lien figure dans l'e-mail intitulé Autorisations de préparation et stockage de Google Transfer Appliance.

Télécharger les clés de compte de service

Téléchargez et enregistrez une clé de compte de service pour le compte de service de transfert en ligne.

gcloud iam service-accounts keys create key.json \
  --iam-account=APPLIANCE_SERVICE_ACCOUNT_EMAIL

La valeur de APPLIANCE_SERVICE_ACCOUNT_EMAIL est affichée dans la sortie de l'application d'autorisations:

...

Appliance Service Account Name:
example-sa@example-project.iam.gserviceaccount.com

Une fois que vous avez reçu votre appareil, importez la clé dans le répertoire /tmp de celui-ci.

Dépannage

Erreur 400 : le compte de service n'existe pas

Problème :

L'application de configuration cloud de l'appareil affiche le message suivant:

Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com
does not exist.

SESSION_ID correspond à l'ID de session fourni à l'application de configuration cloud de l'appareil.

Solution :

Vérifiez l'ID de session pour votre transfert. L'ID de session est unique à chaque session de transfert et partagé par l'équipe Transfer Appliance. Si vous n'avez pas reçu d'ID de session, contactez data-support@google.com.

Erreur : [context dependent] les emplacements KMS

Problème :

L'application de configuration cloud de l'appareil affiche le message suivant:

Error: listing kms locations

Solution :

Procédez comme suit dans Cloud Shell :

  1. Ré-authentifiez-vous en exécutant la commande gcloud auth login.

  2. Réessayer l'application de configuration cloud de l'appareil.

Si l'erreur persiste, contactez l'équipe Transfer Appliance à l'adresse data-support@google.com.

Erreur : erreur de création d'une contrainte de clé Cloud KMS

Problème :

L'application de configuration cloud de l'appareil affiche un message semblable à celui-ci:

Error: creating cloud kms key violates constraint error: code = FailedPrecondition
desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on
the resource 'projects/test/locations/europe-west6'

Solution :

Votre projet Google Cloud peut comporter des règles d'administration qui interdisent la création de clés Cloud Key Management Service dans certains emplacements. Voici les solutions possibles :

  • Choisissez un autre emplacement pour créer la clé Cloud Key Management Service.
  • Mettez à jour la règle d'administration pour autoriser la création de clés Cloud Key Management Service à l'emplacement souhaité.

Pour en savoir plus, consultez la section Restreindre les emplacements de ressources.