Configure o seu projeto Google Cloud para exportação de dados do Cloud Storage para o dispositivo através da aplicação de configuração

Este documento descreve a configuração das Google Cloud autorizações e do Cloud Storage através da aplicação de configuração na nuvem do dispositivo.

A aplicação de configuração na nuvem do dispositivo pede-lhe informações, como o ID da sessão de transferência, o contentor do Cloud Storage e as preferências do Cloud Key Management Service (Cloud KMS). Com as informações que fornece, a aplicação de configuração do Appliance Cloud configura as suas Google Cloud autorizações, o contentor do Cloud Storage preferido e a chave do Cloud KMS para a sua transferência.

Antes de começar

Certifique-se de que tem o seguinte:

  • O nome do projeto e a localização da empresa usados para encomendar o dispositivo.

  • O ID do dispositivo, o ID da sessão, o nome do contentor e a chave de encriptação especificados quando encomendou o dispositivo. Pode encontrá-las no email com o assunto Autorizações do Google Transfer Appliance.

  • O agente de serviço do Serviço de transferência de armazenamento indicado no email com o assunto Autorizações do Google Transfer Appliance. É semelhante ao seguinte exemplo:

    project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

    Neste exemplo, TENANT_IDENTIFIER é um número gerado específico deste projeto em particular.

    Usamos o Serviço de transferência de armazenamento para transferir dados entre o seu contentor do Cloud Storage e o dispositivo.

Atribua funções de IAM

Tem de ter as funções do IAM corretas no projeto e no contentor do Cloud Storage.

Se for o proprietário do projeto, roles/owner é suficiente. Passe para a secção seguinte, Transfira a aplicação de configuração na nuvem do dispositivo.

Se não tiver roles/owner, tem de ter as seguintes funções:

  • roles/storagetransfer.admin: para criar a conta de serviço do Serviço de transferência de armazenamento.
  • roles/transferappliance.viewer: para obter detalhes do contentor do Cloud Storage e da chave do Cloud Key Management Service.
  • roles/storage.admin: pode ser concedida ao nível do projeto se não tiver criado um contentor do Cloud Storage ou pode ser concedida ao nível do contentor se estiver a usar um contentor do Cloud Storage existente.
  • roles/cloudkms.admin: pode ser concedido ao nível do projeto se não tiver criado uma chave do Cloud KMS ou pode ser concedido ao nível da chave se estiver a usar uma chave do Cloud KMS existente.

Ver funções

Para ver as funções do IAM que os seus diretores têm para um projeto e os respetivos recursos, faça o seguinte:

  1. Na Google Cloud consola, aceda à página IAM.

    Aceda à página IAM

  2. A página apresenta todos os responsáveis que têm funções da IAM no seu projeto.

Transfira a aplicação de configuração na nuvem do dispositivo

Para transferir a aplicação de configuração da nuvem de eletrodomésticos:

  1. Abra a Google Cloud página de boas-vindas da consola.

    Abra a Google Cloud página de boas-vindas da consola

  2. Verifique se o nome do projeto usado para a transferência é apresentado no seletor de projetos. O seletor de projetos indica o projeto em que está a trabalhar atualmente.

    Selecionar um projeto Google Cloud no seletor de projetos

    Se não vir o nome do projeto que está a usar para a transferência, clique no seletor de projetos e, de seguida, selecione o projeto correto.

  3. Clique em Ativar Cloud Shell.

    Iniciar o devshell a partir da barra de menu.

  4. Na Cloud Shell, use o comando wget para transferir a aplicação de configuração do Appliance Cloud:

    wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux

Execute a aplicação de configuração na nuvem do dispositivo

No Cloud Shell, execute o seguinte comando para iniciar a aplicação de configuração na nuvem do dispositivo:

chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux

A app apresenta-lhe os passos necessários para configurar o seu projeto.

Resultado da aplicação

A aplicação de configuração na nuvem do dispositivo realiza as seguintes ações:

  • Concede autorizações às contas de serviço do dispositivo usadas para exportar dados do seu contentor do Cloud Storage.
  • Apenas as chaves de encriptação geridas pelo cliente são suportadas para exportar dados do seu contentor do Cloud Storage. Conceda autorização às contas de serviço do dispositivo para acederem aos dados das chaves do Cloud KMS.

  • Apresenta as seguintes informações:

    • O Google Cloud nome do recurso da chave criptográfica
    • O Google Cloud nome do contentor de destino do Cloud Storage.

As informações apresentadas também são armazenadas no diretório base do Cloud Shell, com o nome SESSION_ID-output.txt, onde SESSION_ID é o ID da sessão desta transferência específica.

Os nomes das contas de serviço às quais foi concedida autorização para esta transferência específica são armazenados no diretório principal no Cloud Shell, com o nome cloudsetup.log.

Envie informações de CMEK para a Google

Envie-nos as informações principais preenchendo o formulário acedido através do link no email com o assunto Autorizações do Google Transfer Appliance.

Resolução de problemas

Erro 400: a conta de serviço não existe

Problema:

A aplicação de configuração na nuvem do dispositivo apresenta a seguinte mensagem:

Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com
does not exist.

Em que SESSION_ID é o ID da sessão fornecido à aplicação de configuração na nuvem do dispositivo.

Solução:

Valide o ID da sessão da sua transferência. O ID da sessão é exclusivo de cada sessão de transferência e é partilhado pela equipa do Transfer Appliance. Se não tiver recebido um ID da sessão, contacte data-support@google.com.

Erro: listar localizações do KMS

Problema:

A aplicação de configuração na nuvem do dispositivo apresenta a seguinte mensagem:

Error: listing kms locations

Solução:

Faça o seguinte no Cloud Shell:

  1. Volte a autenticar executando o comando gcloud auth login.

  2. Tente novamente a aplicação de configuração do Appliance Cloud.

Se o erro persistir, contacte a equipa do Transfer Appliance através do endereço data-support@google.com.

Erro: erro ao criar restrição de chave do Cloud KMS

Problema:

A aplicação de configuração da nuvem de eletrodomésticos apresenta uma mensagem semelhante à seguinte:

Error: creating cloud kms key violates constraint error: code = FailedPrecondition
desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on
the resource 'projects/test/locations/europe-west6'

Solução:

O seu Google Cloud projeto pode ter políticas organizacionais que não permitem a criação de chaves do Cloud Key Management Service em determinadas localizações. Seguem-se as soluções possíveis:

  • Escolha uma localização diferente para criar a chave do Cloud Key Management Service.
  • Atualize a política da organização para permitir a criação de chaves do Cloud Key Management Service na localização pretendida.

Para mais informações, consulte o artigo Restringir localizações de recursos.