Questo documento descrive la configurazione delle autorizzazioni Google Cloud e di Cloud Storage mediante l'applicazione di configurazione Cloud dell'appliance.
L'applicazione di configurazione cloud dell'appliance chiede informazioni quali l'ID sessione di trasferimento, il bucket Cloud Storage di destinazione e le preferenze di Cloud Key Management Service (Cloud KMS). Utilizzando le informazioni che fornisci, l'applicazione di configurazione cloud di Appliance configura le tue autorizzazioni Google Cloud, il bucket Cloud Storage preferito e la chiave Cloud KMS per il trasferimento.
Prima di iniziare
Assicurati di avere quanto segue:
Il nome del progetto e la località dell'azienda utilizzata per ordinare l'appliance.
ID appliance, ID sessione, nome bucket, prefisso del bucket e chiave di crittografia specificati al momento dell'ordine dell'appliance. Puoi trovarli nell'email intitolata Google Transfer Appliance Preparare le autorizzazioni e l'archiviazione.
L'agente di servizio Storage Transfer Service elencato nell'email intitolata Preparare le autorizzazioni e l'archiviazione di Google Transfer Appliance. Sembra simile al seguente esempio:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn questo esempio,
TENANT_IDENTIFIERè un numero generato specifico per questo particolare progetto.Utilizziamo Storage Transfer Service per trasferire i dati dall'appliance al bucket Cloud Storage.
Assegna ruoli IAM
Devi disporre dei ruoli IAM corretti nel progetto e nel bucket Cloud Storage.
Se sei il proprietario del progetto, roles/owner è sufficiente. Passa alla sezione successiva, Scarica l'applicazione di configurazione Cloud dell'appliance.
Se non hai roles/owner, devi avere i seguenti ruoli:
roles/serviceusage.serviceUsageAdmin: per abilitare le API richieste nel progetto.roles/iam.serviceAccountCreator: per creare nuovi account di servizio.roles/iam.serviceAccountKeyAdmin: per creare e scaricare le chiavi degli account di servizio. Può essere concesso a livello di progetto oppure all'account di servizio dell'appliance dopo che è stato creato dall'app delle autorizzazioni.roles/storagetransfer.admin: per creare l'account di servizio Storage Transfer Service.roles/transferappliance.viewer: per recuperare i dettagli della chiave del bucket Cloud Storage e di Cloud Key Management Service.roles/storage.admin: può essere concesso a livello di progetto se non hai creato un bucket Cloud Storage oppure a livello di bucket se utilizzi un bucket Cloud Storage esistente.roles/cloudkms.admin: può essere concesso a livello di progetto se non hai creato una chiave Cloud KMS oppure a livello di chiave se utilizzi una chiave Cloud KMS esistente.
Visualizzazione dei ruoli
Per visualizzare i ruoli IAM delle entità per un progetto e le relative risorse:
Nella console Google Cloud, vai alla pagina IAM.
La pagina mostra tutte le entità con ruoli IAM nel progetto.
Scarica l'applicazione di configurazione cloud dell'appliance
Per scaricare l'applicazione di configurazione cloud dell'appliance:
Apri la pagina di benvenuto della console Google Cloud.
Verifica che il nome del progetto utilizzato per il trasferimento sia visualizzato nel selettore di progetti. Il selettore di progetti indica il progetto in cui stai lavorando al momento.
Se non vedi il nome del progetto che stai utilizzando per il trasferimento, fai clic sul selettore dei progetti e seleziona quello corretto.
Fai clic su Attiva Cloud Shell.
In Cloud Shell, utilizza il comando
wgetper scaricare l'applicazione di configurazione Cloud dell'appliance:wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Esegui l'applicazione di configurazione cloud dell'appliance
In Cloud Shell, esegui questo comando per avviare l'applicazione di configurazione Cloud dell'appliance:
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
L'app ti guiderà attraverso i passaggi necessari per configurare il tuo progetto.
Output applicazione
L'applicazione di configurazione cloud dell'appliance completa le seguenti azioni:
- Concede le autorizzazioni agli account di servizio dell'appliance utilizzati per trasferire i dati nel bucket Cloud Storage.
- Se hai scelto di utilizzare una chiave di crittografia gestita dal cliente, concede agli account di servizio dell'appliance l'autorizzazione ad accedere ai dati della chiave Cloud KMS.
Mostra le seguenti informazioni:
- Il nome della risorsa della chiave di crittografia Google Cloud, se hai scelto di utilizzare una chiave di crittografia Cloud KMS gestita dal cliente.
- Il nome del bucket di destinazione Google Cloud Storage.
- Un prefisso del bucket di destinazione Google Cloud Storage, se hai fornito un prefisso.
- Se applicabile, il nome dell'account di servizio Online Transfer e il nome dell'agente di servizio Storage Transfer Service.
Le informazioni visualizzate sono archiviate anche nella home directory di Cloud Shell, denominata SESSION_ID-output.txt, dove SESSION_ID è l'ID sessione per questo particolare trasferimento.
I nomi degli account di servizio a cui è stata concessa l'autorizzazione per questo particolare trasferimento vengono archiviati nella home directory di Cloud Shell, denominata cloudsetup.log.
Invia informazioni CMEK a Google
Se hai specificato una chiave di crittografia gestita dal cliente, inviaci le informazioni relative alla chiave compilando il modulo accessibile tramite il link presente nell'email intitolata Google Transfer Appliance prepara autorizzazioni e archiviazione.
Scarica chiavi account di servizio
Scarica e salva una chiave dell'account di servizio per l'account di Online Transfer Service.
gcloud iam service-accounts keys create key.json \ --iam-account=APPLIANCE_SERVICE_ACCOUNT_EMAIL
Il valore APPLIANCE_SERVICE_ACCOUNT_EMAIL viene visualizzato nell'output dell'app Autorizzazioni:
...
Appliance Service Account Name:
example-sa@example-project.iam.gserviceaccount.com
Quando ricevi l'appliance, carica la chiave nella directory /tmp dell'appliance.
Risoluzione dei problemi
Errore 400: l'account di servizio non esiste
Problema:
L'applicazione di configurazione cloud dell'appliance visualizza il seguente messaggio:
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Dove SESSION_ID è l'ID sessione fornito all'applicazione di configurazione di Cloud Appliance.
Soluzione:
Verifica l'ID sessione per il trasferimento. L'ID sessione è univoco per ogni sessione di trasferimento e condiviso dal team di Transfer Appliance. Se non hai ricevuto un ID sessione, contatta data-support@google.com.
Errore: elenco delle località KMS
Problema:
L'applicazione di configurazione cloud dell'appliance visualizza il seguente messaggio:
Error: listing kms locations
Soluzione:
Esegui le seguenti operazioni in Cloud Shell:
Esegui nuovamente l'autenticazione eseguendo
gcloud auth login.Riprova applicazione configurazione cloud dell'appliance.
Se l'errore persiste, contatta il team di Transfer Appliance all'indirizzo data-support@google.com.
Errore: errore durante la creazione del vincolo della chiave Cloud KMS
Problema:
L'applicazione di configurazione cloud dell'appliance visualizza un messaggio simile al seguente:
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Soluzione:
Il tuo progetto Google Cloud potrebbe avere criteri dell'organizzazione che non consentono la creazione di chiavi Cloud Key Management Service in determinate località. Di seguito sono riportate le possibili soluzioni:
- Scegli una località diversa per creare la chiave Cloud Key Management Service.
- Aggiorna il criterio dell'organizzazione per consentire la creazione di chiavi di Cloud Key Management Service nella località che preferisci.
Per maggiori informazioni, consulta la pagina relativa alla restrizione delle località delle risorse.