En este documento, se describe cómo configurar Google Cloud permisos y Cloud Storage con la aplicación Appliance Cloud Setup.
La aplicación de configuración de la nube del dispositivo te solicitará información, como tu ID de sesión de transferencia, el bucket de Cloud Storage y las preferencias de Cloud Key Management Service (Cloud KMS). Con la información que proporcionas, la aplicación de configuración de Cloud del dispositivo configura tus permisos de Google Cloud , tu bucket de Cloud Storage preferido y tu clave de Cloud KMS para la transferencia.
Antes de comenzar
Asegúrate de tener lo siguiente:
El nombre del proyecto y la ubicación de la empresa que se usaron para pedir el electrodoméstico.
El ID del dispositivo, el ID de sesión, el nombre del bucket y la clave de encriptación que se especificaron cuando se solicitó el dispositivo. Puedes encontrarlos en el correo electrónico titulado Permisos de Google Transfer Appliance.
El agente de servicio del Servicio de transferencia de almacenamiento que se indica en el correo electrónico titulado Permisos de Google Transfer Appliance Se verá parecido al siguiente ejemplo:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comEn este ejemplo,
TENANT_IDENTIFIERes un número generado específico para este proyecto en particular.Usamos el Servicio de transferencia de almacenamiento para transferir datos entre tu bucket de Cloud Storage y el dispositivo.
Asigna funciones IAM
Debes tener los roles de IAM correctos en el proyecto y el bucket de Cloud Storage.
Si eres el propietario del proyecto, roles/owner es suficiente. Ve a la siguiente sección, Descarga la aplicación de configuración de Cloud de Appliance.
Si no tienes roles/owner, debes tener los siguientes roles:
roles/storagetransfer.admin: Para crear la cuenta de servicio de Servicio de transferencia de almacenamientoroles/transferappliance.viewer: Para recuperar detalles del bucket de Cloud Storage y de la clave de Cloud Key Management Serviceroles/storage.admin: Se puede otorgar a nivel del proyecto si no creaste un bucket de Cloud Storage o a nivel del bucket si usas un bucket de Cloud Storage existente.roles/cloudkms.admin: Se puede otorgar a nivel del proyecto si no creaste una clave de Cloud KMS o a nivel de la clave si usas una clave de Cloud KMS existente.
Cómo ver roles
Para ver los roles de IAM que tienen tus principales en un proyecto y sus recursos, haz lo siguiente:
En la consola de Google Cloud , ve a la página IAM.
En la página, se muestran todos los principales que tienen roles de IAM en tu proyecto.
Descarga la aplicación de configuración de Cloud de Appliance
Para descargar la aplicación de configuración de Cloud de Appliance, haz lo siguiente:
Abre la página de bienvenida de la consola de Google Cloud .
Verifica que el nombre del proyecto que se usó para la transferencia aparezca en el selector de proyectos. El selector de proyectos te indica en qué proyecto estás trabajando en este momento.
Si no ves el nombre del proyecto que usas para la transferencia, haz clic en el selector de proyecto y, luego, selecciona el proyecto correcto.
Haz clic en Activar Cloud Shell.
En Cloud Shell, usa el comando
wgetpara descargar la aplicación de configuración de Cloud de Appliance:wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Ejecuta la aplicación de configuración de Cloud de Appliance
En Cloud Shell, ejecuta el siguiente comando para iniciar la aplicación de configuración de Cloud del dispositivo:
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
La app te guiará por los pasos necesarios para configurar tu proyecto.
Resultado de la aplicación
La aplicación de configuración de Cloud de Appliance completa las siguientes acciones:
- Otorga permisos a las cuentas de servicio del dispositivo que se usan para exportar datos de tu bucket de Cloud Storage.
- Solo se admiten las claves de encriptación administradas por el cliente para exportar datos de tu bucket de Cloud Storage. Otorga permiso a las cuentas de servicio del dispositivo para acceder a los datos de la clave de Cloud KMS.
Muestra la siguiente información:
- El Google Cloud nombre del recurso de la clave criptográfica
- El nombre del bucket de destino de Cloud Storage.Google Cloud
La información que se muestra también se almacena en el directorio principal de Cloud Shell, llamado SESSION_ID-output.txt, donde SESSION_ID es el ID de sesión de esta transferencia en particular.
Los nombres de las cuentas de servicio a las que se otorgó permiso para esta transferencia en particular se almacenan en el directorio principal de Cloud Shell, con el nombre cloudsetup.log.
Envía información de CMEK a Google
Envíanos la información clave. Para ello, completa el formulario al que se vincula el correo electrónico titulado Permisos de Google Transfer Appliance.
Soluciona problemas
Error 400: La cuenta de servicio no existe
Problema:
La aplicación de configuración de Cloud de Transfer Appliance muestra el siguiente mensaje:
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Aquí, SESSION_ID es el ID de sesión que se proporciona a la aplicación de configuración de Appliance Cloud.
Solution:
Verifica el ID de sesión de tu transferencia. El equipo de Transfer Appliance comparte el ID de sesión, que es único para cada sesión de transferencia. Si no recibiste un ID de sesión, comunícate con data-support@google.com.
Error: No se pudieron enumerar las ubicaciones de KMS
Problema:
La aplicación de configuración de Cloud de Transfer Appliance muestra el siguiente mensaje:
Error: listing kms locations
Solution:
En Cloud Shell, haz lo siguiente:
Vuelve a autenticarte ejecutando
gcloud auth login.Vuelve a intentar la aplicación de configuración de Cloud de Transfer Appliance.
Si el error persiste, comunícate con el equipo de Transfer Appliance a data-support@google.com.
Error: Se produjo un error al crear la restricción de la clave de Cloud KMS
Problema:
La aplicación de configuración de la nube del dispositivo muestra un mensaje similar al siguiente:
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Solution:
Es posible que tu proyecto Google Cloud tenga políticas de la organización que no permitan crear claves de Cloud Key Management Service en ciertas ubicaciones. Estas son algunas soluciones posibles:
- Elige otra ubicación para crear la clave de Cloud Key Management Service.
- Actualiza la política de la organización para permitir la creación de claves de Cloud Key Management Service en la ubicación que desees.
Para obtener más información, consulta Restringe las ubicaciones de recursos.