このドキュメントでは、次のような Google Cloud の権限と Cloud Storage の構成手順について説明します。
- 転送先の Cloud Storage バケットの準備。
- データを保護する Cloud Key Management Service 鍵の準備。
- Transfer Appliance チームに Cloud Storage バケットの構成データを提供する
準備
Transfer Appliance チームからのメールが Google Transfer Appliance の準備権限とストレージ という名であることを確認します。このメールの内容は次のとおりです。
転送に必要なサービス アカウントの名前。
アプライアンスの構成に必要なセッション ID。
アカウントの構成後に入力するフォーム。
転送先の Cloud Storage バケットの準備
Cloud Storage にデータを保存するには、バケットを準備する必要があります。バケットは、Cloud Storage でデータを格納する基本的なコンテナです。
2 つのサービス アカウントを使用して、Transfer Appliance から、準備した転送先の Cloud Storage バケットにデータを転送します。サービス アカウントは、人ではなく、作業を行うためにアプリケーションで使用される特別なアカウントです。このガイドでは、サービス アカウントを使用することで、Transfer Appliance が Cloud Storage リソースを使用して、アプライアンスから Cloud Storage バケットにデータをコピーします。アプライアンスから Cloud Storage バケットにデータをコピーするためにこれらのアカウントが必要とするロールを付与します。
転送先の Cloud Storage バケットを準備するには、次の手順に従います。
「Google Transfer Appliance Preparing Bucket」 というタイトルのメールで、Transfer Appliance チームにより次のサービス アカウントが用意されます。
この転送に紐付けられたセッション サービス アカウント。次のような形式です。
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comこの例で、
SESSION_IDは、この転送に固有のセッション ID です。Transfer Service for On Premises Data サービスに紐付けられたサービス アカウント。アプライアンスから Cloud Storage バケットにデータを転送するために使用します。次のような形式です。
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comこの例で、
TENANT_IDENTIFIERは、この特定のプロジェクトに固有の生成番号です。
次の手順で使用するため、上記サービス アカウントをメモします。
サービス アカウントを使用すると、Transfer Appliance でユーザーに代わって Google Cloud リソースを操作し、アプライアンスから Cloud Storage にデータをコピーできます。アプライアンスから Cloud Storage バケットにデータをコピーするためにこれらのアカウントが必要とするロールを付与します。
Cloud Storage バケットは Google Cloud プロジェクトに関連付けられています。選択するバケットは、アプライアンスの注文に使用したものと同じプロジェクト内に存在する必要があります。
Cloud Storage バケットがない場合は、1 つ作成します。
Google Cloud Console
Google Cloud コンソールで Cloud Storage バケット のページを開きます。
Cloud Storage バケットのページに移動します。
[バケットを作成] をクリックして、バケット作成フォームを開きます。
次のバケット情報を入力します。各ステップは、[続行] をクリックして完了します。
[完了] をクリックします。
コマンドライン
gsutil mbコマンドを使用します。gsutil mb -b on -l LOCATION -p PROJECT_ID gs://BUCKET_NAME
この例では、次のようになります。
LOCATION: 目的の Cloud Storage バケットのロケーション。PROJECT_ID: バケットを作成するプロジェクト ID。BUCKET_NAME: 作成するバケットの名前。バケットの命名要件の対象となります。
バケットに保持ポリシーを設定しないでください。
Transfer Appliance サービス アカウントに Cloud Storage バケットを使用する権限を付与するには、次のようにします。
Google Cloud Console
- Google Cloud コンソールで、Cloud Storage の [バケット] ページに移動します。
プリンシパルにロールが付与されるバケットに関連付けられた [バケット オーバーフロー] メニュー(
)をクリックします。[バケットの権限を編集] を選択します。
[+ プロジェクトを追加] ボタンをクリックします。
[新しいプリンシパル] フィールドに、次の ID を入力します。
セッション サービス アカウント。次のような形式です。
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comこの例で、
SESSION_IDは、この転送に固有のセッション ID です。Transfer Service for On Premises Data サービス エージェント。次のような形式です。
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comこの例で、
TENANT_IDENTIFIERは、この特定のプロジェクトに固有の生成番号です。
[ロールを選択] プルダウン メニューから [ストレージ管理者] ロールを選択します。
選択した役割と付与する権限の簡単な説明がパネルに表示されます。
[保存] をクリックします。
コマンドライン
gsutil iam chコマンドを使用します。gsutil iam ch \ serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com:roles/storage.admin \ serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com:roles/storage.admin \ gs://BUCKET_NAME
この例では、
SESSION_ID: この転送に固有のセッション ID。TENANT_IDENTIFIER: この特定のプロジェクトに固有の番号。BUCKET_NAME: 作成するバケットの名前。
- Google Cloud コンソールで、Cloud Storage の [バケット] ページに移動します。
Cloud KMS 鍵の準備
アプライアンスを返送する前に、Transfer Appliance では、データを暗号化してアプライアンスを保護します。Transfer Appliance では、データの暗号化に Cloud Key Management Service(Cloud KMS)の公開鍵を使用し、データの復号に秘密鍵を使用します。
転送先の Cloud Storage バケットの準備のセッション サービス アカウントを使用して、アプライアンスから Cloud Storage バケットにデータをアップロードします。
暗号鍵の管理には、次のオプションがあります。
Google が管理する暗号鍵Cloud KMS 鍵の作成と管理を Google にリクエストできます。この方法を使用する場合は、Google Cloud プロジェクトの構成が終了し、アプライアンスの受信の手順に進むことができます。
暗号鍵を自分で作成して管理する。転送に使用する暗号鍵は、以下の手順で作成して管理します。Cloud KMS の非対称復号鍵を準備し、セッション サービス アカウントを鍵に追加します。セッション サービス アカウントは、非対称復号鍵を使用してデータの復号を行い、Cloud Storage にコピーします。
Cloud KMS 鍵を準備する手順は次のとおりです。
Cloud Key Management Service のキーリングがない場合は、次の手順で作成します。
Google Cloud Console
Google Cloud コンソールで [暗号鍵] ページに移動します。
[キーリングを作成] をクリックします。
[キーリングの名前] フィールドに、キーリングの名前を入力します。
[鍵リングの場所] プルダウンから、
"us-east1"などの場所を選択します。[作成] をクリックします。
コマンドライン
gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
この例では、
LOCATION: キーリングの Cloud Key Management Service のロケーション。例:globalKEY_RING: キーリングの名前。PROJECT_ID: ストレージ バケットが存在する Google Cloud プロジェクト ID。
次の手順を実行して、非対称復号鍵を作成します。
Google Cloud Console
Google Cloud コンソールで [暗号鍵] ページに移動します。
鍵を作成するキーリングの名前をクリックします。
[鍵を作成] をクリックします。
[作成する鍵の種類] で [生成された鍵] を選択します。
[鍵名] フィールドに、鍵の名前を入力します。
[保護レベル] プルダウンをクリックし、[ソフトウェア] を選択します。
[目的] プルダウンをクリックし、[非対称復号] を選択します。
[アルゴリズム] プルダウンをクリックし、[4096 ビット RSA - OAEP パディング - SHA256 ダイジェスト] を選択します。
[作成] をクリックします。
コマンドライン
次のコマンドを実行して、非対称復号鍵を作成します。
gcloud kms keys create KEY --keyring=KEY_RING \ --location=LOCATION --purpose=asymmetric-encryption \ --default-algorithm=rsa-decrypt-oaep-4096-sha256 \ --project=PROJECT_ID
この例では、
KEY: Cloud Key Management Service 鍵の名前。 例:ta-keyKEY_RING: キーリングの名前。LOCATION: キーリングの Cloud Key Management Service のロケーション。例:globalPROJECT_ID: ストレージ バケットが存在する Google Cloud プロジェクト ID。
次の手順に従い、セッション サービス アカウントをプリンシパルとして非対称鍵に追加します。
Google Cloud Console
Google Cloud コンソールで [暗号鍵] ページに移動します。
非対称鍵を含むキーリングをクリックします。
使用する鍵のチェックボックスをオンにします。
情報パネルで [プリンシパルを追加] をクリックします。
[プリンシパルを追加] が表示されます。
[新しいプリンシパル] フィールドに、Transfer Appliance チームが提供するセッション サービス アカウントを入力します。次のような形式です。
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comこの例で、
SESSION_IDは、この転送に固有のセッション ID です。[ロールを選択] フィールドに、[Cloud KMS 暗号鍵の公開鍵閲覧者] ロールを追加します。
[別の役割を追加] をクリックします。
[ロールを選択] フィールドに [クラウド KMS 暗号鍵の復号化] ロールを追加します。
[保存] をクリックします。
コマンドライン
次のコマンドを実行して、セッション サービス アカウントに
roles/cloudkms.cryptoKeyDecrypterロールを付与します。gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyDecrypter
この例では、次のようになります。
KEY: Cloud Key Management Service 鍵の名前。 例:ta-keyKEY_RING: キーリングの名前。LOCATION: キーリングの Cloud Key Management Service のロケーション。例:globalSESSION_ID: この転送に固有のセッション ID。
次のコマンドを実行して、セッション サービス アカウントに
roles/cloudkms.publicKeyViewerロールを付与します。gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.publicKeyViewer
この例では、次のようになります。
KEY: Cloud Key Management Service 鍵の名前。 例:ta-keyKEY_RING: キーリングの名前。LOCATION: キーリングの Cloud Key Management Service のロケーション。例:globalSESSION_ID: この転送に固有のセッション ID。
次の手順を実行して、非対称鍵のパスを取得します。
Google Cloud Console
Google Cloud コンソールで暗号鍵のページに移動します。
非対称復号鍵を含むキーリングをクリックします。
非対称復号鍵の名前をクリックします。
目的の鍵バージョンを選択して、その他アイコン(more_vert)をクリックします。
[リソース名をコピーする] をクリックします。
鍵の形式の例を次に示します。
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
この例では、
PROJECT_ID: ストレージ バケットが存在する Google Cloud プロジェクト ID。LOCATION: キーリングの Cloud Key Management Service のロケーション。KEY_RING: キーリングの名前。KEY: Cloud Key Management Service 鍵の名前。VERSION_NUMBER: 鍵のバージョン番号。
Transfer Appliance チームでは、バージョン番号を含む鍵のパス全体が必要とされるため、正しい鍵をデータに適用できます。
コマンドライン
次のコマンドを実行して、バージョン番号を含む非対称鍵のフルパスを一覧表示します。
gcloud kms keys versions list --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
この例では、
KEY_RING: キーリングの名前。KEY: 非対称鍵の名前LOCATION: キーリングの Google Cloud のロケーション。PROJECT_ID: ストレージ バケットが存在する Google Cloud プロジェクト ID。
次のレスポンスのサンプルは、返される出力に似ています。
NAME STATE projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER ENABLED
この例では、
PROJECT_ID: ストレージ バケットが存在する Google Cloud プロジェクト ID。LOCATION: キーリングの Cloud Key Management Service のロケーション。KEY_RING: キーリングの名前。KEY: Cloud Key Management Service 鍵の名前。VERSION_NUMBER: 鍵のバージョン番号。
Transfer Appliance チームでは、
NAMEの下にある/cryptoKeyVersions/VERSION_NUMBERで終わる文字列が必要です(VERSION_NUMBERは鍵のバージョン番号)。
Transfer Appliance チームにバケット構成データを提供する
Cloud Storage バケットに関する情報を収集するため、「Google Transfer Appliance の準備権限とストレージ」というタイトルのメールを送信します。提供された情報を使用して、Transfer Appliance から Cloud Storage への転送を構成します。
そのメールからリンクされているフォームに、次の情報を入力します。
- Google Cloud プロジェクト ID
- [暗号化] で次のいずれかを選択します。
- Google が管理する暗号鍵(Google に暗号鍵の管理を任せた場合)。
- 顧客管理の暗号鍵: 独自の暗号鍵を管理することを選択した場合。[顧客管理の暗号鍵を選択] プルダウン メニューから目的の暗号鍵を選択します。
- この転送に使用される Google Cloud Storage の転送先バケット名。
- 省略可: オブジェクト接頭辞。オブジェクト接頭辞がない場合、オブジェクトはファイルシステム上のファイル名の前にソースのパス(ルートパスは含まない)を付けて、Cloud Storage に転送されます。たとえば、次のファイルがあるとします。
/source_root_path/file1.txt/source_root_path/dirA/file2.txt/source_root_path/dirA/dirB/file3.txt
file1.txtdirA/file2.txtdirA/dirB/file3.txt
/文字の後ろで、かつオブジェクトの転送元のパス名(ソースのルートパスは含まない)の前になります。これにより、他の転送ジョブから転送されたオブジェクトを区別できるようになります。 次の表に、ソース オブジェクトのパスが/source_root_path/sub_folder_name/object_nameの場合の、オブジェクト接頭辞と Cloud Storage 内のオブジェクト名の例を示します。接頭辞 転送先のオブジェクト名 なし /destination_bucket/sub_folder_name/object_nameprefix//destination_bucket/prefix/sub_folder_name/object_name
次のステップ
Transfer Appliance がネットワーク上で機能するように IP ネットワーク ポートを構成します。