Questo argomento descrive la configurazione delle autorizzazioni di Google Cloud e di Cloud Storage mediante l'applicazione di configurazione cloud dell'appliance.
L'applicazione di configurazione Cloud dell'appliance richiede informazioni quali l'ID sessione di trasferimento, il bucket Cloud Storage di destinazione e le preferenze di Cloud Key Management Service (Cloud KMS). Utilizzando le informazioni fornite, l'applicazione di configurazione Cloud Appliance configura le autorizzazioni Google Cloud, il bucket Cloud Storage preferito e la chiave Cloud KMS per il trasferimento.
Prima di iniziare
Assicurati di avere quanto segue:
Il nome del progetto e la sede dell'attività commerciale utilizzata per ordinare l'appliance.
L'ID appliance, l'ID sessione, il nome del bucket, il prefisso del bucket e la chiave di crittografia specificati al momento dell'ordine dell'appliance. Puoi trovare queste informazioni nell'email intitolata Google Transfer Appliance Prepare Permissions and Storage (Autorizzazioni e archiviazione per Google Transfer Appliance).
L'agente di servizio di Storage Transfer Service elencato nell'email con il titolo Google Transfer Appliance Prepare Permissions and Storage (Prepara autorizzazioni e archiviazione di Google Transfer Appliance). È simile al seguente esempio:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn questo esempio,
TENANT_IDENTIFIERè un numero generato specifico per questo particolare progetto.Utilizziamo Storage Transfer Service per trasferire i dati dall'appliance al bucket Cloud Storage.
Assegna ruoli IAM
Devi disporre dei ruoli IAM corretti nel progetto e nel bucket Cloud Storage.
Se sei il proprietario del progetto, è sufficiente roles/owner. Passa alla sezione successiva, Download dell'applicazione di configurazione Cloud dell'appliance.
Se non hai roles/owner, devi avere i seguenti ruoli:
roles/serviceusage.serviceUsageAdmin: per abilitare le API richieste nel progetto.roles/iam.serviceAccountCreator: per creare nuovi account di servizio.roles/iam.serviceAccountKeyAdmin: per creare e scaricare le chiavi degli account di servizio. Può essere concesso a livello di progetto oppure all'account di servizio dell'appliance dopo che è stato creato dall'app delle autorizzazioni.roles/storagetransfer.admin: per creare l'account di servizio Storage Transfer Service.roles/transferappliance.viewer: per recuperare i dettagli del bucket Cloud Storage e di Cloud Key Management Service.roles/storage.admin: può essere concessa a livello di progetto se non hai creato un bucket Cloud Storage oppure a livello di bucket se utilizzi un bucket Cloud Storage esistente.roles/cloudkms.admin: può essere concessa a livello di progetto se non hai creato una chiave Cloud KMS oppure può essere concessa a livello di chiave se utilizzi una chiave Cloud KMS esistente.
Visualizzazione dei ruoli
Per visualizzare i ruoli IAM delle entità per un progetto e le relative risorse:
Nella console Google Cloud, vai alla pagina IAM.
La pagina mostra tutte le entità con ruoli IAM sul tuo progetto.
Scarica l'applicazione di configurazione cloud dell'appliance
Per scaricare l'applicazione di configurazione Cloud Appliance:
Apri la dashboard della console Google Cloud.
Verifica che il nome del progetto utilizzato per il trasferimento sia visualizzato nel selettore dei progetti. Il selettore dei progetti indica il progetto su cui stai lavorando al momento.
Se non vedi il nome del progetto che stai utilizzando per il trasferimento, fai clic sul selettore di progetti, quindi seleziona il progetto corretto.
Fai clic su Attiva Cloud Shell.
In Cloud Shell, utilizza il comando
wgetper scaricare l'applicazione di configurazione Cloud dell'appliance:wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Esegui l'applicazione di configurazione cloud dell'appliance
In Cloud Shell, esegui questo comando per avviare l'applicazione di configurazione Cloud dell'appliance:
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
L'app ti guiderà attraverso i passaggi necessari per configurare il tuo progetto.
Output applicazione
L'applicazione di configurazione Cloud dell'appliance completa le seguenti azioni:
- Concede le autorizzazioni agli account di servizio dell'appliance utilizzati per trasferire i dati nel bucket Cloud Storage.
- Se hai scelto di utilizzare una chiave di crittografia gestita dal cliente, concede agli account di servizio dell'appliance l'autorizzazione per accedere ai dati delle chiavi Cloud KMS.
Visualizza le seguenti informazioni:
- Il nome della risorsa della chiave di crittografia di Google Cloud, se hai scelto di utilizzare una chiave di crittografia Cloud KMS gestita dal cliente.
- Il nome del bucket di destinazione Google Cloud Storage.
- Un prefisso del bucket di destinazione Google Cloud Storage, se ne hai fornito uno.
- Se applicabile, il nome dell'account di servizio Online Transfer e il nome dell'agente di servizio Storage Transfer Service.
Le informazioni visualizzate vengono archiviate anche nella home directory di Cloud Shell, denominata SESSION_ID-output.txt, dove SESSION_ID è l'ID sessione per questo particolare trasferimento.
I nomi degli account di servizio a cui viene concessa l'autorizzazione per questo particolare trasferimento sono archiviati nella home directory di Cloud Shell, denominata cloudsetup.log.
Invia informazioni CMEK a Google
Se hai specificato una chiave di crittografia gestita dal cliente, inviaci le informazioni relative alla chiave compilando il modulo collegato tramite il link nell'email intitolata Preparare autorizzazioni e archiviazione di Google Transfer Appliance.
Scarica le chiavi degli account di servizio
Scarica e salva una chiave dell'account di servizio per l'account Online Transfer Service.
gcloud iam service-accounts keys create key.json \ --iam-account=APPLIANCE_SERVICE_ACCOUNT_EMAIL
Il valore di APPLIANCE_SERVICE_ACCOUNT_EMAIL viene visualizzato nell'output dell'app delle autorizzazioni:
...
Appliance Service Account Name:
example-sa@example-project.iam.gserviceaccount.com
Quando ricevi l'appliance, carica la chiave nella directory /tmp dell'appliance.
Risolvere i problemi
Errore 400: l'account di servizio non esiste
Problema:
L'applicazione di configurazione Cloud dell'appliance visualizza il seguente messaggio:
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Dove SESSION_ID è l'ID sessione fornito all'applicazione di configurazione di Cloud Appliance.
Soluzione:
Verifica l'ID sessione per il trasferimento. L'ID sessione è univoco per ogni sessione di trasferimento e condiviso dal team di Transfer Appliance. Se non hai ricevuto un ID sessione, contatta data-support@google.com.
Errore: elenco delle località KMS
Problema:
L'applicazione di configurazione Cloud dell'appliance visualizza il seguente messaggio:
Error: listing kms locations
Soluzione:
Esegui le seguenti operazioni in Cloud Shell:
Esegui nuovamente l'autenticazione eseguendo
gcloud auth login.Riprova applicazione di configurazione cloud dell'appliance.
Se l'errore persiste, contatta il team di Transfer Appliance all'indirizzo data-support@google.com.
Errore: errore durante la creazione del vincolo della chiave Cloud KMS
Problema:
L'applicazione di configurazione Cloud dell'appliance visualizza un messaggio simile al seguente:
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Soluzione:
Il tuo progetto Google Cloud potrebbe avere criteri dell'organizzazione che non consentono la creazione di chiavi di Cloud Key Management Service in determinate località. Di seguito sono riportate le possibili soluzioni:
- Scegli una località diversa per creare la chiave Cloud Key Management Service.
- Aggiorna il criterio dell'organizzazione per consentire la creazione di chiavi di Cloud Key Management Service nella località che preferisci.
Per ulteriori informazioni, consulta Limitazione delle località delle risorse.