Questo documento descrive la configurazione delle autorizzazioni di Google Cloud e di Cloud Storage utilizzando l'applicazione di configurazione del cloud dell'appliance.
L'applicazione di configurazione cloud dell'appliance richiede informazioni come ID sessione di trasferimento, bucket Cloud Storage di destinazione e Cloud Key Management Service (Cloud KMS). Utilizzando le informazioni che fornisci, L'applicazione di configurazione della cloud dell'appliance configura le autorizzazioni Google Cloud, come preferisci bucket Cloud Storage e chiave Cloud KMS per il trasferimento.
Prima di iniziare
Assicurati di disporre di quanto segue:
Il nome del progetto e la sede dell'attività commerciale utilizzata per ordinare l'oggetto dell'appliance di ricerca.
L'ID appliance, l'ID sessione, il nome del bucket, il prefisso del bucket e la chiave di crittografia specificato al momento dell'ordinazione dell'appliance. Puoi trovarlo nell'email dal titolo Google Transfer Appliance Prepara autorizzazioni e spazio di archiviazione.
L'agente di servizio di Storage Transfer Service indicato nell'email intitolata Google Transfer Appliance Prepara autorizzazioni e spazio di archiviazione. Sembra simile all'esempio seguente:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn questo esempio,
TENANT_IDENTIFIERviene generato specifico di questo particolare progetto.Utilizziamo Storage Transfer Service per trasferire i dati dall'appliance al tuo nel bucket Cloud Storage.
Assegna ruoli IAM
Devi disporre del corretto Ruoli IAM del progetto e nel bucket Cloud Storage.
Se sei il proprietario del progetto, è sufficiente roles/owner. Andare alla successiva
Download dell'applicazione di configurazione cloud dell'appliance.
Se non hai roles/owner, devi disporre dei seguenti ruoli:
roles/serviceusage.serviceUsageAdmin: per abilitare le API richieste nel progetto.roles/iam.serviceAccountCreator: per creare nuovi account di servizio.roles/iam.serviceAccountKeyAdmin: per creare e scaricare un account di servizio chiave. Può essere concesso a livello di progetto o all'appliance un account di servizio dopo che è stato creato dall'app per le autorizzazioni.roles/storagetransfer.admin: crea il servizio Storage Transfer Service .roles/transferappliance.viewer: per recuperare il bucket Cloud Storage e Dettagli delle chiavi di Cloud Key Management Service.roles/storage.admin: può essere concessa a livello di progetto se non lo hai già fatto ha creato un bucket Cloud Storage o può essere concesso a livello di bucket se stai utilizzando un bucket Cloud Storage esistente.roles/cloudkms.admin: può essere concessa a livello di progetto se non lo hai già fatto ha creato una chiave Cloud KMS o può essere concessa a livello di chiave se stai utilizzando una chiave Cloud KMS esistente.
Visualizzazione dei ruoli
Per visualizzare i ruoli IAM delle entità per un progetto e di tutte le sue risorse, procedi nel seguente modo:
Nella console Google Cloud, vai alla pagina IAM.
La pagina mostra tutte le entità con ruoli IAM del progetto.
Scarica l'applicazione di configurazione cloud dell'appliance
Per scaricare l'applicazione di configurazione cloud dell'appliance:
Apri la pagina di benvenuto della console Google Cloud.
Verifica che il nome del progetto utilizzato per il trasferimento sia visualizzato in il selettore di progetti. Il selettore di progetti indica il tuo progetto in cui stai lavorando.
Se non vedi il nome del progetto che stai utilizzando per il trasferimento, fai clic sul selettore progetti e seleziona il progetto corretto.
Fai clic su Attiva Cloud Shell.
In Cloud Shell, utilizza il comando
wgetper scaricare l'applicazione di configurazione del cloud dell'appliance:wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Esegui l'applicazione di configurazione cloud dell'appliance
In Cloud Shell, esegui questo comando per avviare l'applicazione di configurazione del cloud dell'appliance:
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
L'app ti guiderà attraverso i passaggi necessari per configurare il tuo progetto.
Output applicazione
L'applicazione di configurazione cloud dell'appliance completa le seguenti azioni:
- Concede le autorizzazioni agli account di servizio dell'appliance utilizzata per trasferire i dati nel bucket Cloud Storage.
- Se hai scelto di utilizzare una chiave di crittografia gestita dal cliente, concede l'autorizzazione a gli account di servizio dell'appliance per accedere ai dati delle chiavi Cloud KMS.
Mostra le seguenti informazioni:
- Il nome risorsa della chiave di crittografia Google Cloud, se scegli per utilizzare una chiave di crittografia Cloud KMS gestita dal cliente.
- Il nome del bucket di destinazione Google Cloud Storage.
- Un prefisso del bucket di destinazione Google Cloud Storage, se ne hai fornito uno.
- Se applicabile, il nome dell'account di servizio di trasferimento online e Nome dell'agente di servizio di Storage Transfer Service.
Le informazioni visualizzate vengono archiviate anche nella home directory
Cloud Shell, denominato SESSION_ID-output.txt,
dove SESSION_ID è l'ID sessione
per un determinato trasferimento.
I nomi degli account di servizio a cui è stata concessa l'autorizzazione
vengono archiviati all'interno della home directory su Cloud Shell,
cloudsetup.log.
Invia informazioni CMEK a Google
Se hai specificato una chiave di crittografia gestita dal cliente, inviaci le relative informazioni completando il modulo accessibile tramite un link nell'email con il titolo Google Transfer Appliance Preparare le autorizzazioni e lo spazio di archiviazione.
Scarica le chiavi degli account di servizio
Scarica e salva una chiave dell'account di servizio per l'account Online Transfer Service.
gcloud iam service-accounts keys create key.json \ --iam-account=APPLIANCE_SERVICE_ACCOUNT_EMAIL
Il valore di APPLIANCE_SERVICE_ACCOUNT_EMAIL viene visualizzato nel output dell'app per le autorizzazioni:
...
Appliance Service Account Name:
example-sa@example-project.iam.gserviceaccount.com
Quando ricevi l'appliance, carica la chiave nella directory /tmp
dell'appliance di ricerca.
Risoluzione dei problemi
Errore 400: l'account di servizio non esiste
Problema:
L'applicazione di configurazione cloud dell'appliance visualizza il seguente messaggio:
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Dove SESSION_ID è l'ID sessione fornito a
Applicazione di configurazione cloud dell'appliance.
Soluzione:
Verifica l'ID sessione per il trasferimento. L'ID sessione è univoco per ogni sessione di trasferimento e condivisa dal team di Transfer Appliance. Se non hai ricevuto un ID sessione, contatta data-support@google.com.
Errore: elenco delle località KMS
Problema:
L'applicazione di configurazione cloud dell'appliance visualizza il seguente messaggio:
Error: listing kms locations
Soluzione:
Effettua le seguenti operazioni in Cloud Shell:
Ripeti l'autenticazione eseguendo
gcloud auth login.Riprova l'applicazione di configurazione del cloud dell'appliance.
Se l'errore persiste, contatta il team di Transfer Appliance all'indirizzo data-support@google.com.
Errore: errore di creazione del vincolo della chiave Cloud KMS
Problema:
L'applicazione di configurazione cloud dell'appliance visualizza un messaggio simile al seguente:
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Soluzione:
Il tuo progetto Google Cloud potrebbe avere criteri dell'organizzazione che impediscono la creazione Chiavi di Cloud Key Management Service in determinate località. Di seguito sono riportate le possibili soluzioni:
- Scegli una località diversa in cui creare la chiave Cloud Key Management Service.
- Aggiorna il criterio dell'organizzazione per consentire la creazione di chiavi di Cloud Key Management Service nella la posizione desiderata.
Per ulteriori informazioni, vedi Limitazione delle località delle risorse.