In diesem Dokument wird Schritt für Schritt die Konfiguration von Google Cloud-Berechtigungen und Cloud Storage beschrieben, einschließlich:
- Cloud Storage-Ziel-Bucket vorbereiten
- Cloud Key Management Service-Schlüssel zum Schutz Ihrer Daten vorbereiten
- Cloud Storage-Bucket-Konfigurationsdaten für das Transfer Appliance-Team bereitstellen
Hinweis
Sie benötigen eine E-Mail vom Transfer Appliance-Team mit dem Betreff Google Transfer Appliance – Berechtigungen und Speicher vorbereiten Diese E-Mail enthält:
Die Namen der Dienstkonten, die für die Übertragung erforderlich sind.
Eine Sitzungs-ID, die Sie zum Konfigurieren Ihrer Appliance benötigen.
Ein Formular, das Sie ausfüllen, nachdem Sie Ihr Konto konfiguriert haben.
Cloud Storage-Ziel-Bucket vorbereiten
Sie müssen einen Bucket vorbereiten, um Ihre Daten in Cloud Storage zu speichern. Buckets sind die grundlegenden Container in Cloud Storage, die Ihre Daten enthalten.
Wir verwenden zwei Dienstkonten, um Ihre Daten von Transfer Appliance in den von Ihnen vorbereiteten Cloud Storage-Ziel-Bucket zu verschieben. Dienstkonten sind spezielle Konten, die von einer Anwendung und nicht von einer Person zum Arbeiten verwendet werden. In diesem Fall gestatten die Dienstkonten Transfer Appliance, in Ihrem Namen Cloud Storage-Ressourcen zu verwenden, um Daten von der Appliance in Ihren Cloud Storage-Bucket zu kopieren. Sie erteilen diesen Konten die erforderlichen Rollen, um Daten von der Appliance in Ihren Cloud Storage-Bucket zu kopieren.
So bereiten Sie den Cloud Storage-Ziel-Bucket vor:
In einer E-Mail mit dem Betreff Google Transfer Appliance Prepare Destination Bucket stellt das Transfer Appliance-Team folgende Dienstkonten bereit:
Ein Sitzungsdienstkonto, das mit dieser bestimmten Übertragung verbunden ist. Es sieht in etwa so aus:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn diesem Beispiel ist
SESSION_IDdie Sitzungs-ID für diese bestimmte Übertragung.Ein Dienst-Agent, der an den Übertragungsdienst für den Transfer Service for On Premises Data-Dienst gebunden ist. Wir verwenden ihn, um Daten von der Appliance in Ihren Cloud Storage-Bucket zu übertragen. Das sieht in etwa so aus:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn diesem Beispiel ist
TENANT_IDENTIFIEReine für dieses Projekt spezifische Nummer.
Notieren Sie sich die Dienstkonten für die nächsten Schritte.
Die Dienstkonten ermöglichen der Transfer Appliance, Google Cloud-Ressourcen in Ihrem Namen zu bearbeiten, also Daten aus der Appliance in Cloud Storage kopieren. Sie erteilen diesen Konten die erforderlichen Rollen, um Daten von der Appliance in Ihren Cloud Storage-Bucket zu kopieren.
Cloud Storage-Buckets sind an Google Cloud-Projekte gebunden. Der Bucket, den Sie select muss sich im selben Projekt befinden, mit dem die Appliance bestellt wurde.
Wenn Sie keinen Cloud Storage-Bucket haben, erstellen Sie einen:
Google Cloud Console
Öffnen Sie in der Google Cloud Console die Seite „Cloud Storage-Buckets“.
Klicken Sie auf Bucket erstellen, um das Formular zum Erstellen eines Buckets zu öffnen.
Geben Sie die Bucket-Informationen ein und klicken Sie zum Ausführen der einzelnen Schritte jeweils auf Weiter:
Legen Sie einen Namen fest, der die Anforderungen für Bucket-Namen erfüllt.
Wählen Sie eine Standardspeicherklasse für den Bucket aus. Die Standardspeicherklasse wird standardmäßig allen in den Bucket hochgeladenen Objekten zugewiesen. Wählen Sie als Nächstes einen Standort für die Bucket-Daten aus.
Wählen Sie ein Zugriffssteuerungsmodell aus, das den Zugriff auf die Objekte des Buckets steuert.
Optional können Sie Bucket-Labels und wählen Sie eine Verschlüsselungsmethode aus.
Legen Sie keine Aufbewahrungsrichtlinie für den Bucket fest.
Klicken Sie auf Fertig.
Befehlszeile
Führen Sie den Befehl
gcloud storage buckets createaus:gcloud storage buckets create gs://BUCKET_NAME --uniform-bucket-level-access --location=LOCATION --project=PROJECT_ID
In diesem Fall gilt Folgendes:
BUCKET_NAME: Der Name des Buckets, den Sie erstellen. Beachten Sie dabei die Anforderungen für Bucket-Namen.LOCATION: Der gewünschte Bucket-Speicherort für Cloud Storage.PROJECT_ID: Die Projekt-ID, unter der Ihr Bucket erstellt wird.
Legen Sie keine Aufbewahrungsrichtlinie für den Bucket fest.
So gewähren Sie den Transfer Appliance-Dienstkonten die Berechtigung, Ihren Cloud Storage-Bucket zu verwenden:
Google Cloud Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie auf das Dreipunkt-Menü (
) des Buckets, für den Sie einem Hauptkonto eine Rolle zuweisen.Wählen Sie Bucket-Berechtigungen bearbeiten.
Klicken Sie auf die Schaltfläche + Hauptkonten hinzufügen.
Geben Sie im Feld Neue Hauptkonten die folgenden Identitäten ein:
Das Sitzungsdienstkonto. Es sieht in etwa so aus:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn diesem Beispiel ist
SESSION_IDdie Sitzungs-ID für diese bestimmte Übertragung.Der Transfer Service for On Premises-Dienst-Agent. Das sieht in etwa so aus:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn diesem Beispiel ist
TENANT_IDENTIFIEReine für dieses Projekt generierte spezifische Nummer.
Wählen Sie im Drop-down-Menü Rolle auswählen die Rolle Storage-Administrator aus.
Die ausgewählten Rollen werden in der Ansicht mit einer kurzen Beschreibung ihrer jeweiligen Berechtigungen angezeigt.
Klicken Sie auf Speichern.
Befehlszeile
Führen Sie den Befehl
gcloud storage buckets add-iam-policy-bindingaus:gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
In diesem Fall gilt Folgendes:
BUCKET_NAME: Der Name des Buckets, den Sie erstellen.SESSION_ID: Die Sitzungs-ID für diese bestimmte Übertragung.TENANT_IDENTIFIER: Eine generierte Nummer, die für dieses Projekt spezifisch ist.
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Cloud KMS-Schlüssel vorbereiten
Transfer Appliance schützt Ihre Daten auf der Appliance. Die Daten werden dazu verschlüsselt, bevor die Appliance an uns zurückgesendet wird. Ihrer Daten werden auf der Transfer Appliance mit einem öffentlichen Schlüssel des Cloud Key Management Service (Cloud KMS) verschlüsselt. Zum Entschlüsseln Ihrer Daten wird ein privater Schlüssel verwendet.
Wir verwenden das Sitzungsdienstkonto aus Cloud Storage-Ziel-Bucket vorbereiten, um die Daten von der Appliance in Ihren Cloud Storage-Bucket hochzuladen.
Sie haben folgende Möglichkeiten, Verschlüsselungsschlüssel zu verwalten:
Von Google verwaltete Verschlüsselungsschlüssel. Sie können die Erstellung und Verwaltung Ihrer Cloud KMS-Schlüssel durch uns beantragen. Wenn Sie diese Methode verwenden möchten, sind Sie mit der Konfiguration Ihres Google Cloud-Projekts fertig und können mit den unter Appliance erhalten beschriebenen Schritten fortfahren.
Verschlüsselungsschlüssel selbst erstellen und verwalten. Sie erstellen und verwalten die für Ihre Übertragung verwendeten Verschlüsselungsschlüssel selbst. Folgen Sie dazu der unten angegebenen Anleitung. Sie bereiten einen asymmetrischen Cloud KMS-Entschlüsselungsschlüssel vor und fügen dem Schlüssel das Sitzungsdienstkonto hinzu. Das Sitzungsdienstkonto verwendet den asymmetrischen Entschlüsselungsschlüssel, um Ihre Daten zu entschlüsseln und in Cloud Storage zu kopieren.
So bereiten Sie Cloud KMS-Schlüssel vor:
Wenn Sie keinen Schlüsselbund für den Cloud Key Management Service haben, gehen Sie so vor:
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.
Klicken Sie auf KeyRing erstellen.
Geben Sie im Feld Schlüsselbundname den gewünschten Namen für den Schlüsselbund ein.
Wählen Sie im Drop-down-Menü Schlüsselbundort einen Standort wie
"us-east1"aus.Klicken Sie auf Erstellen.
Befehlszeile
gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
In diesem Beispiel:
LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund. Beispiel:globalKEY_RING: Der Name des Schlüsselbunds.PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.
So erstellen Sie einen asymmetrischen Entschlüsselungsschlüssel:
Google Cloud Console
Rufen Sie die Seite Kryptografische Schlüssel in der Google Cloud Console
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen möchten.
Klicken Sie auf Schlüssel erstellen.
Wählen Sie im Abschnitt Welche Art von Schlüssel möchten Sie erstellen? die Option Generierter Schlüssel aus.
Geben Sie im Feld Schlüsselname einen Namen für den Schlüssel ein.
Klicken Sie auf das Drop-down-Menü Schutzstufe und wählen Sie Software aus.
Klicken Sie auf das Drop-down-Menü Zweck und wählen Sie Asymmetrische Entschlüsselung aus.
Klicken Sie auf das Drop-down-Menü Algorithmus und wählen Sie 4.096-Bit-RSA – OAEP-Padding – SHA256-Digest aus.
Klicken Sie auf Erstellen.
Befehlszeile
Führen Sie den folgenden Befehl aus, um einen asymmetrischen Entschlüsselungsschlüssel zu erstellen:
gcloud kms keys create KEY --keyring=KEY_RING \ --location=LOCATION --purpose=asymmetric-encryption \ --default-algorithm=rsa-decrypt-oaep-4096-sha256 \ --project=PROJECT_ID
In diesem Beispiel:
KEY: Der Name des Cloud Key Management Service-Schlüssels. Beispiel:ta-keyKEY_RING: Der Name des Schlüsselbunds.LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund. Beispiel:global.PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.
Fügen Sie dem asymmetrischen Schlüssel das Sitzungsdienstkonto als Hauptkonto hinzu. Gehen Sie dazu so vor:
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.
Klicken Sie auf den Schlüsselbund, der Ihren asymmetrischen Schlüssel enthält.
Klicken Sie auf das Kästchen für den asymmetrischen Schlüssel.
Klicken Sie im Infofeld auf Hauptkonto hinzufügen.
Hauptkonten hinzufügen wird angezeigt.
Geben Sie im Feld Neue Hauptkonten das vom Transfer Appliance-Team bereitgestellte Sitzungsdienstkonto ein. Es sieht in etwa so aus:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn diesem Beispiel ist
SESSION_IDdie Sitzungs-ID für diese bestimmte Übertragung.Fügen Sie im Feld Rolle auswählen die Rolle Cloud KMS CryptoKey Public Key Viewer hinzu.
Klicken Sie auf Weitere Rolle hinzufügen.
Fügen Sie im Feld Rolle auswählen die Rolle Cloud KMS CryptoKey Decrypter hinzu.
Klicken Sie auf Speichern.
Befehlszeile
Führen Sie den folgenden Befehl aus, um dem Sitzungsdienstkonto die Rolle
roles/cloudkms.cryptoKeyDecrypterzuzuweisen:gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyDecrypter
In diesem Beispiel:
KEY: Der Name des Cloud Key Management Service-Schlüssels. Beispiel:ta-keyKEY_RING: Der Name des Schlüsselbunds.LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund. Beispiel:global.SESSION_ID: Die Sitzungs-ID für diese bestimmte Übertragung.
Führen Sie den folgenden Befehl aus, um dem Sitzungsdienstkonto die Rolle
roles/cloudkms.publicKeyViewerzuzuweisen:gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.publicKeyViewer
In diesem Beispiel:
KEY: Der Name des Cloud Key Management Service-Schlüssels. Beispiel:ta-keyKEY_RING: Der Name des Schlüsselbunds.LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund. Beispiel:global.SESSION_ID: Die Sitzungs-ID für diese bestimmte Übertragung.
So rufen Sie den Pfad eines asymmetrischen Schlüssels ab:
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.
Klicken Sie auf den Schlüsselbund, der Ihren asymmetrischen Entschlüsselungsschlüssel enthält.
Klicken Sie auf den Namen des asymmetrischen Entschlüsselungsschlüssels.
Wählen Sie die gewünschte Schlüsselversion aus und klicken Sie auf das Dreipunkt-Menü more_vert.
Klicken Sie auf Ressourcennamen kopieren.
Ein Beispiel für das Schlüsselformat:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
In diesem Beispiel:
PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund.KEY_RING: Der Name des Schlüsselbunds.KEY: Der Name des Cloud Key Management Service-Schlüssels.VERSION_NUMBER: Die Versionsnummer des Schlüssels.
Das Transfer Appliance-Team benötigt den gesamten Schlüsselpfad einschließlich der Versionsnummer, damit der richtige Schlüssel auf Ihre Daten angewendet werden kann.
Befehlszeile
Führen Sie den folgenden Befehl aus, um den vollständigen Pfad Ihres asymmetrischen Schlüssels einschließlich seiner Versionsnummer aufzulisten:
gcloud kms keys versions list --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
In diesem Beispiel:
KEY_RING: Name des Schlüsselbunds.KEY: Der Name Ihres asymmetrischen Schlüssels.LOCATION: Der Google Cloud-Speicherort des Schlüsselbunds.PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.
Die folgende Beispielantwort sieht ungefähr so aus wie die zurückgegebene Ausgabe:
NAME STATE projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER ENABLED
In diesem Beispiel:
PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund.KEY_RING: Der Name des Schlüsselbunds.KEY: Der Name des Cloud Key Management Service-Schlüssels.VERSION_NUMBER: Die Versionsnummer des Schlüssels.
Das Transfer Appliance-Team benötigt den String unter
NAME, der auf/cryptoKeyVersions/VERSION_NUMBERendet. Dabei istVERSION_NUMBERdie Versionsnummer Ihres Schlüssels.
Bucket-Konfigurationsdaten für das Transfer Appliance-Team bereitstellen
Sie erhalten eine E-Mail mit dem Betreff Google Transfer Appliance Prepare Permissions and Storage, um Informationen zu Ihrem Cloud Storage-Bucket zu erfassen. Wir verwenden die von Ihnen bereitgestellten Informationen, um die Übertragung von Transfer Appliance zu Cloud Storage zu konfigurieren.
Geben Sie in das über diese E-Mail verlinkte Formular die folgenden Informationen ein:
- Die Google Cloud-Projekt-ID.
- Treffen Sie eine Auswahl für Verschlüsselung:
- Von Google verwalteter Verschlüsselungsschlüssel, wenn Sie Ihren Verschlüsselungsschlüssel von Google verwalten lassen.
- Vom Kunden verwalteter Verschlüsselungsschlüssel, wenn Sie Ihren eigenen Verschlüsselungsschlüssel verwalten. Wählen Sie den gewünschten Verschlüsselungsschlüssel aus dem Drop-down-Menü Vom Kunden verwalteten Verschlüsselungsschlüssel auswählen aus.
- Den Google Cloud Storage-Ziel-Bucket-Namen, der für diese Übertragung verwendet wird.
- Optional: Ein Objektpräfix. Ohne Objektpräfix werden Objekte mit dem Pfad der Quelle in Cloud Storage übertragen, ohne dass der Stammpfad vor dem Dateinamen im Dateisystem enthalten ist. Angenommen, Sie haben die folgenden Dateien:
/source_root_path/file1.txt/source_root_path/dirA/file2.txt/source_root_path/dirA/dirB/file3.txt
file1.txtdirA/file2.txtdirA/dirB/file3.txt
/des Ziel-Bucket-Namens und vor den Namen von Pfaden hinzugefügt, aus denen das Objekt übertragen wurde. Bei diesen Pfaden handelt es sich nicht um den Stammpfad der Quelle. Hiermit können Sie besser zwischen Objekten unterscheiden, die von anderen Übertragungsjobs übertragen wurden. In der folgenden Tabelle werden mehrere Beispiele für Objektpräfixe und ihre resultierenden Objektnamen in Cloud Storage dargestellt, wenn der Pfad des Quellobjekts/source_root_path/sub_folder_name/object_nameist:Präfix Name des Zielobjekts – /destination_bucket/sub_folder_name/object_nameprefix//destination_bucket/prefix/sub_folder_name/object_name
Nächste Schritte
Konfigurieren Sie IP-Netzwerkports, damit Transfer Appliance in Ihrem Netzwerk funktioniert.