Questo documento descrive la configurazione delle autorizzazioni di Google Cloud e di Cloud Storage passo passo, tra cui:
- Preparazione del bucket Cloud Storage di destinazione in corso.
- Preparazione di una chiave Cloud Key Management Service per proteggere i dati.
- Fornire al team di Transfer Appliance la configurazione del bucket Cloud Storage e i dati di Google Cloud.
Prima di iniziare
Assicurati di ricevere un'email dal team di Transfer Appliance intitolata Google Transfer Appliance prepara autorizzazioni e spazio di archiviazione. Questo indirizzo email contiene:
I nomi degli account di servizio richiesti per il trasferimento.
Un ID sessione necessario per configurare l'appliance.
Un modulo da compilare dopo aver configurato il tuo account.
Prepara il bucket Cloud Storage di destinazione
Per archiviare i dati in Cloud Storage, devi preparare una bucket. I bucket sono i container di base che contengono i tuoi dati all'interno di Cloud Storage.
Utilizziamo due account di servizio per spostare i dati da Transfer Appliance al servizio Cloud Storage di destinazione del bucket che prepari. Gli account di servizio sono account speciali utilizzati un'applicazione, non una persona, per lavorare. In questo caso, gli account di servizio consenti a Transfer Appliance di utilizzare le risorse Cloud Storage per tuo conto per copiare i dati dall'appliance al tuo bucket Cloud Storage. Assegni a questi account i ruoli necessari per copiare i dati dall'appliance al tuo bucket Cloud Storage.
Per preparare il bucket Cloud Storage di destinazione, segui questi passaggi:
In un'email intitolata Google Transfer Appliance Prepare destination Bucket, il team di Transfer Appliance ti fornisce il seguente servizio account:
Un account di servizio di sessione collegato a questo trasferimento specifico. L'esempio riportato è il seguente:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè l'ID sessione per questo particolare trasferimento.Un agente di servizio collegato Transfer Service for On Premises Data Service, che utilizziamo per trasferire i dati dall'appliance a del tuo bucket Cloud Storage. È simile al seguente esempio:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn questo esempio,
TENANT_IDENTIFIERviene generato specifico di questo particolare progetto.
Prendi nota degli account di servizio per i passaggi successivi.
Gli account di servizio consentono a Transfer Appliance di manipolare le risorse Google Cloud per tuo conto, ovvero per la copia dell'appliance in Cloud Storage. Concede a questi account le necessarie per copiare i dati dall'appliance al bucket Cloud Storage.
I bucket Cloud Storage sono collegati ai progetti Google Cloud. Il bucket che select deve trovarsi nello stesso progetto utilizzato per ordinare l'appliance.
Se non hai un bucket Cloud Storage, creane uno:
Google Cloud Console
Apri la pagina Bucket Cloud Storage nella console Google Cloud.
Fai clic su Crea bucket per aprire il modulo di creazione del bucket.
Inserisci le informazioni sul bucket e fai clic su Continua per completarle. passaggio:
Specifica un Nome, in conformità alle requisiti di denominazione dei bucket.
Seleziona una Classe di archiviazione predefinita per il bucket. Il valore predefinito classe di archiviazione viene assegnata da per impostazione predefinita a tutti gli oggetti caricati nel bucket. Quindi, seleziona un'opzione Località dei dati del bucket.
Seleziona un modello di Controllo dell'accesso per determinare come controllare l'accesso di oggetti strutturati.
Se vuoi, puoi aggiungere etichette dei bucket scegli un metodo di crittografia.
Non impostare un criterio di conservazione sul bucket.
Fai clic su Fine.
Riga di comando
Utilizza la
gcloud storage buckets create:gcloud storage buckets create gs://BUCKET_NAME --uniform-bucket-level-access --location=LOCATION --project=PROJECT_ID
In questo esempio:
BUCKET_NAME: il nome del bucket che stai in creazione, soggetto requisiti di denominazione dei bucket.LOCATION: lo spazio di Cloud Storage che preferisci località del bucket.PROJECT_ID: l'ID progetto per creare del bucket.
Non impostare un criterio di conservazione sul bucket.
Per concedere l'autorizzazione per gli account di servizio di Transfer Appliance per utilizzare il bucket Cloud Storage, segui questi passaggi:
Google Cloud Console
- Nella console Google Cloud, vai alla pagina Bucket di Cloud Storage.
Fai clic sul menu overflow del bucket (
)
associati al bucket a cui stai concedendo un ruolo all'entità.Scegli Modifica autorizzazioni bucket.
Fai clic sul pulsante + Aggiungi entità.
Nel campo Nuove entità, inserisci le seguenti identità:
L'account di servizio della sessione. L'esempio riportato è il seguente:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè il di sessione per questo particolare trasferimento.L'agente del servizio dati Transfer Service for On Premises Data. È simile al seguente esempio:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn questo esempio,
TENANT_IDENTIFIERè un generato specifico per questo particolare progetto.
Nel menu a discesa Seleziona un ruolo, seleziona la Storage Admin.
I ruoli selezionati vengono visualizzati nel riquadro con una breve descrizione le autorizzazioni che concedono.
Fai clic su Salva.
Riga di comando
Utilizza la
gcloud storage buckets add-iam-policy-binding:gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
In questo esempio:
BUCKET_NAME: il nome del bucket che stai in fase di creazione.SESSION_ID: l'ID sessione per un determinato trasferimento.TENANT_IDENTIFIER: un numero generato specifico per per questo particolare progetto.
- Nella console Google Cloud, vai alla pagina Bucket di Cloud Storage.
prepara la chiave Cloud KMS
Transfer Appliance protegge i dati sull'appliance la crittografia dei dati prima di spedirci l'appliance. Un Cloud Key Management Service Viene utilizzata una chiave pubblica (Cloud KMS) per criptare i tuoi dati su Transfer Appliance e viene utilizzata utilizzati per decriptare i dati.
Utilizziamo l'account di servizio della sessione Prepara il bucket Cloud Storage di destinazione per caricare i dati dall'appliance al bucket Cloud Storage.
Per gestire le chiavi di crittografia, hai a disposizione le seguenti opzioni:
Chiavi di crittografia gestite da Google. Puoi chiederci di creare e e gestire le chiavi Cloud KMS per te. Per utilizzare questo metodo, hai terminato la configurazione del progetto Google Cloud e puoi continua con i passaggi descritti in Ricevi l'appliance.
Crea e gestisci autonomamente le chiavi di crittografia. Tu crei e gestisci le chiavi di crittografia utilizzate per il trasferimento, seguendo le istruzioni riportate di seguito. Prepara una chiave di decrittografia asimmetrica di Cloud KMS e aggiungi di servizio alla chiave. L'account di servizio per la sessione utilizza chiave di decrittografia asimmetrica per decriptare e copiare i dati su di archiviazione ideale in Cloud Storage.
Per preparare le chiavi Cloud KMS, segui questi passaggi:
Se non hai un keyring di Cloud Key Management Service, procedi nel seguente modo per crearne uno:
Google Cloud Console
Vai alla pagina Chiavi di crittografia nel nella console Google Cloud.
Fai clic su Crea keyring.
Nel campo Nome keyring, inserisci il nome che preferisci per la chiave suonano.
Dal menu a discesa Posizione keyring, seleziona una località, ad esempio
"us-east1".Fai clic su Crea.
Riga di comando
gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
In questo esempio:
LOCATION: la località di Cloud Key Management Service per il keyring. Ad esempio,global.KEY_RING: nome del keyring.PROJECT_ID: l'ID del progetto Google Cloud in cui si trova il bucket Cloud Storage.
Crea una chiave di decrittografia asimmetrica seguendo questi passaggi:
Google Cloud Console
Vai alla pagina Chiavi di crittografia nel nella console Google Cloud.
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
Nella sezione Che tipo di chiave vuoi creare?, scegli Chiave generata.
Nel campo Nome chiave, inserisci il nome della chiave.
Fai clic sul menu a discesa Livello di protezione e seleziona Software.
Fai clic sul menu a discesa Finalità e seleziona Decriptazione asimmetrica.
Fai clic sul menu a discesa Algoritmo e seleziona RSA a 4096 bit - Padding OAEP - Digest SHA256
Fai clic su Crea.
Riga di comando
Esegui questo comando per creare una chiave di decrittografia asimmetrica:
gcloud kms keys create KEY --keyring=KEY_RING \ --location=LOCATION --purpose=asymmetric-encryption \ --default-algorithm=rsa-decrypt-oaep-4096-sha256 \ --project=PROJECT_ID
In questo esempio:
KEY: il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: nome del keyring.LOCATION: la località di Cloud Key Management Service per il keyring. Ad esempio,global.PROJECT_ID: l'ID del progetto Google Cloud in cui si trova il bucket Cloud Storage.
Aggiungi l'account di servizio della sessione come entità alla chiave asimmetrica eseguendo questa operazione le seguenti:
Google Cloud Console
Vai alla pagina Chiavi di crittografia nella console Google Cloud.
Fai clic sul keyring che contiene la chiave asimmetrica.
Seleziona la casella di controllo per la chiave asimmetrica.
Nel riquadro Informazioni, fai clic su Aggiungi entità.
Viene visualizzata la schermata Aggiungi entità.
Nel campo Nuove entità, inserisci l'account di servizio fornito per la sessione dal team di Transfer Appliance. L'esempio riportato è il seguente:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè il di sessione per questo particolare trasferimento.Nel campo Seleziona un ruolo, aggiungi la CryptoKey Cloud KMS pubblica Visualizzatore chiavi.
Fai clic su Aggiungi un altro ruolo.
Nel campo Seleziona un ruolo, aggiungi la CryptoKey Cloud KMS Decrittografia.
Fai clic su Salva.
Riga di comando
Esegui questo comando per concedere l'account di servizio della sessione Il ruolo
roles/cloudkms.cryptoKeyDecrypter:gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyDecrypter
In questo esempio:
KEY: il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: nome del keyring.LOCATION: la località di Cloud Key Management Service per il keyring. Ad esempio,global.SESSION_ID: l'ID sessione per un determinato trasferimento.
Esegui questo comando per concedere l'account di servizio della sessione Il ruolo
roles/cloudkms.publicKeyViewer:gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.publicKeyViewer
In questo esempio:
KEY: il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: nome del keyring.LOCATION: località di Cloud Key Management Service per il keyring. Ad esempio,global.SESSION_ID: l'ID sessione per un determinato trasferimento.
Per ottenere il percorso della chiave asimmetrica, procedi nel seguente modo:
Google Cloud Console
Vai alla pagina Chiavi di crittografia nella console Google Cloud.
Fai clic sul keyring che contiene la chiave di decrittografia asimmetrica.
Fai clic sul nome della chiave di decrittografia asimmetrica.
Seleziona la versione della chiave che preferisci e fai clic su Altro more_vert.
Fai clic su Copia nome risorsa.
Un esempio di formato della chiave è:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
In questo esempio:
PROJECT_ID: l'ID del progetto Google Cloud in cui si trova il bucket Cloud Storage.LOCATION: località di Cloud Key Management Service per il keyring.KEY_RING: nome del keyring.KEY: il nome della chiave Cloud Key Management Service.VERSION_NUMBER: il numero di versione della chiave.
Il team di Transfer Appliance richiede l'intero percorso della chiave, compreso il numero di versione, in modo da applicare la chiave corretta ai tuoi dati.
Riga di comando
Esegui questo comando per elencare il percorso completo della chiave asimmetrica: incluso il numero di versione:
gcloud kms keys versions list --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
In questo esempio:
KEY_RING: il nome del keyring.KEY: il nome della chiave asimmetrica.LOCATION: la località Google Cloud della chiave suonano.PROJECT_ID: l'ID progetto Google Cloud che del bucket Cloud Storage.
La seguente risposta di esempio è simile all'output che viene restituito:
NAME STATE projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER ENABLED
In questo esempio:
PROJECT_ID: l'ID del progetto Google Cloud in cui si trova il bucket Cloud Storage.LOCATION: località di Cloud Key Management Service per il keyring.KEY_RING: nome del keyring.KEY: il nome della chiave Cloud Key Management Service.VERSION_NUMBER: il numero di versione della chiave.
Il team di Transfer Appliance richiede la stringa in
NAMEche termina tra/cryptoKeyVersions/VERSION_NUMBER, doveVERSION_NUMBERè il numero di versione della chiave.
Fornisci al team di Transfer Appliance i dati di configurazione del bucket
Inviamo un'email intitolata Google Transfer Appliance Prepare Subscriptions and (Autorizzazioni per la preparazione di Google Transfer Appliance) Storage per raccogliere informazioni sul bucket Cloud Storage. Utilizziamo le informazioni che fornisci per configurare il trasferimento Transfer Appliance a Cloud Storage.
Nel modulo accessibile tramite il link dell'email, inserisci le seguenti informazioni:
- L'ID progetto Google Cloud.
- Seleziona la voce Crittografia:
- .
- Chiave di crittografia gestita da Google, se hai scelto che Google gestire la chiave di crittografia.
- Chiave di crittografia gestita dal cliente, se hai scelto di gestire la tua chiave di crittografia. Seleziona la chiave di crittografia desiderata dal Seleziona una chiave di crittografia gestita dal cliente.
- Il nome del bucket di destinazione Google Cloud Storage utilizzato per questo trasferimento.
- (Facoltativo) Un prefisso dell'oggetto. Senza un prefisso, gli oggetti vengono trasferiti
a Cloud Storage con il percorso dell'origine, escluso il percorso principale, prima
il nome del file sul file system. Ad esempio, se hai i seguenti file:
/source_root_path/file1.txt/source_root_path/dirA/file2.txt/source_root_path/dirA/dirB/file3.txt
file1.txtdirA/file2.txtdirA/dirB/file3.txt
/del nome del bucket di destinazione e prima di qualsiasi i nomi dei percorsi da cui è stato trasferito l'oggetto, esclusi i nomi dei percorsi percorso principale. Questo può aiutarti a distinguere tra oggetti trasferiti da altri in altri job di trasferimento. La tabella seguente mostra diversi esempi di prefissi di oggetti e i nomi degli oggetti risultanti in Cloud Storage, se il percorso è/source_root_path/sub_folder_name/object_name:Prefisso Nome oggetto di destinazione Nessuno /destination_bucket/sub_folder_name/object_nameprefix//destination_bucket/prefix/sub_folder_name/object_name
Passaggi successivi
Configura le porte di rete IP per Transfer Appliance affinché funzioni sulla tua rete.