Configurar el proyecto Google Cloud para exportar datos de Cloud Storage al dispositivo mediante la aplicación de configuración

En este documento se describe cómo configurar los permisos y Cloud Storage mediante la aplicación de configuración en la nube de Transfer Appliance. Google Cloud

La aplicación de configuración de la nube del dispositivo te pedirá información, como el ID de sesión de transferencia, el segmento de Cloud Storage y las preferencias de Cloud Key Management Service (Cloud KMS). Con la información que proporciones, la aplicación de configuración en la nube del dispositivo configurará tus Google Cloud permisos, el segmento de Cloud Storage que prefieras y la clave de Cloud KMS para tu transferencia.

Antes de empezar

Asegúrate de que tienes lo siguiente:

  • El nombre del proyecto y la ubicación de la empresa que se han usado para pedir el dispositivo.

  • El ID del dispositivo, el ID de sesión, el nombre del contenedor y la clave de cifrado especificados al pedir el dispositivo. Puedes encontrarlos en el correo titulado Permisos de Google Transfer Appliance.

  • El agente de servicio del Servicio de transferencia de Storage que se indica en el correo titulado Permisos de Google Transfer Appliance. Tiene un aspecto similar al siguiente ejemplo:

    project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

    En este ejemplo, TENANT_IDENTIFIER es un número generado específico de este proyecto concreto.

    Usamos el Servicio de transferencia de Storage para transferir datos entre tu segmento de Cloud Storage y el dispositivo.

Asignar roles de gestión de identidades y accesos

Debes tener los roles de gestión de identidades y accesos correctos en el proyecto y en el segmento de Cloud Storage.

Si eres el propietario del proyecto, roles/owner es suficiente. Ve a la siguiente sección, Descargar la aplicación de configuración en la nube de Transfer Appliance.

Si no tienes roles/owner, debes tener los siguientes roles:

  • roles/storagetransfer.admin: para crear la cuenta de servicio del Servicio de transferencia de Storage.
  • roles/transferappliance.viewer: para obtener los detalles del segmento de Cloud Storage y de la clave de Cloud Key Management Service.
  • roles/storage.admin: se puede conceder a nivel de proyecto si no has creado un segmento de Cloud Storage o a nivel de segmento si estás usando uno que ya tengas.
  • roles/cloudkms.admin: se puede conceder a nivel de proyecto si no has creado una clave de Cloud KMS o a nivel de clave si estás usando una clave de Cloud KMS.

Ver roles

Para ver los roles de gestión de identidades y accesos que tienen tus principales en un proyecto y sus recursos, haz lo siguiente:

  1. En la consola, ve a la página IAM. Google Cloud

    Ir a la página de gestión de identidades y accesos

  2. En la página se muestran todas las entidades de seguridad que tienen roles de gestión de identidades y accesos en tu proyecto.

Descargar la aplicación de configuración en la nube de Transfer Appliance

Para descargar la aplicación de configuración en la nube de Transfer Appliance, sigue estos pasos:

  1. Abre la página de bienvenida de la consola. Google Cloud

    Abre la Google Cloud página de bienvenida de la consola

  2. Comprueba que el nombre del proyecto utilizado para la transferencia se muestre en el selector de proyectos. El selector de proyectos te indica en qué proyecto estás trabajando.

    Seleccionar un proyecto Google Cloud en el selector de proyectos

    Si no ves el nombre del proyecto que estás usando para la transferencia, haz clic en el selector de proyectos y, a continuación, selecciona el proyecto correcto.

  3. Haz clic en Activar Cloud Shell.

    Iniciar devshell desde la barra de menú.

  4. En Cloud Shell, usa el comando wget para descargar la aplicación de configuración en la nube de Appliance:

    wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux

Ejecutar la aplicación de configuración en la nube de Appliance

En Cloud Shell, ejecuta el siguiente comando para iniciar la aplicación de configuración de Appliance Cloud:

chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux

La aplicación te guiará por los pasos necesarios para configurar tu proyecto.

Salida de la aplicación

La aplicación de configuración en la nube de Transfer Appliance realiza las siguientes acciones:

  • Concede permisos a las cuentas de servicio de Transfer Appliance que se usan para exportar datos de tu segmento de Cloud Storage.
  • Solo se admiten claves de cifrado gestionadas por el cliente para exportar datos de tu segmento de Cloud Storage. Concede permiso a las cuentas de servicio de los dispositivos para acceder a los datos de las claves de Cloud KMS.

  • Muestra la siguiente información:

    • El Google Cloud nombre del recurso de clave criptográfica
    • El Google Cloud nombre del segmento de destino de Cloud Storage.

La información que se muestra también se almacena en el directorio principal de Cloud Shell, llamado SESSION_ID-output.txt, donde SESSION_ID es el ID de sesión de esta transferencia en concreto.

Los nombres de las cuentas de servicio a las que se ha concedido permiso para esta transferencia en concreto se almacenan en el directorio principal de Cloud Shell con el nombre cloudsetup.log.

Enviar información de CMEK a Google

Envíanos la información clave rellenando el formulario que aparece en el correo Permisos de Google Transfer Appliance.

Solución de problemas

Error 400: la cuenta de servicio no existe

Problema:

La aplicación de configuración en la nube de Transfer Appliance muestra el siguiente mensaje:

Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com
does not exist.

Donde SESSION_ID es el ID de sesión proporcionado a la aplicación de configuración en la nube de Transfer Appliance.

Solución:

Verifica el ID de sesión de tu transferencia. El ID de sesión es único para cada sesión de transferencia y lo comparte el equipo de Transfer Appliance. Si no has recibido un ID de sesión, ponte en contacto con data-support@google.com.

Error: Listing KMS locations

Problema:

La aplicación de configuración en la nube de Transfer Appliance muestra el siguiente mensaje:

Error: listing kms locations

Solución:

En Cloud Shell, haz lo siguiente:

  1. Vuelve a autenticarte ejecutando gcloud auth login.

  2. Vuelve a probar la aplicación de configuración en la nube de Transfer Appliance.

Si el error persiste, ponte en contacto con el equipo de Transfer Appliance a través de la dirección data-support@google.com.

Error: Creating Cloud KMS key constraint error

Problema:

La aplicación de configuración en la nube de Transfer Appliance muestra un mensaje similar al siguiente:

Error: creating cloud kms key violates constraint error: code = FailedPrecondition
desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on
the resource 'projects/test/locations/europe-west6'

Solución:

Es posible que tu proyecto tenga políticas de organización que no permitan crear claves de Cloud Key Management Service en determinadas ubicaciones. Google Cloud Estas son algunas posibles soluciones:

  • Elige otra ubicación para crear la clave de Cloud Key Management Service.
  • Actualiza la política de la organización para permitir la creación de claves de Cloud Key Management Service en la ubicación que quieras.

Para obtener más información, consulta Restringir ubicaciones de recursos.