Questo documento descrive la configurazione passo passo delle autorizzazioni e di Cloud Storage, tra cui: Google Cloud
- Preparazione del bucket Cloud Storage.
- Preparazione di una chiave Cloud Key Management Service per proteggere i dati.
- Fornire al team Transfer Appliance i dati di configurazione del bucket Cloud Storage.
Prima di iniziare
Assicurati di aver ricevuto un'email dal team di Transfer Appliance con oggetto Autorizzazioni di Google Transfer Appliance. Questa email contiene:
I nomi dei service account necessari per il trasferimento.
Un ID sessione necessario per configurare l'appliance.
Un modulo che compilerai dopo aver configurato l'account.
Prepara le autorizzazioni per il bucket Cloud Storage
Utilizziamo due service account per trasferire i tuoi dati. I service account sono account speciali utilizzati da un'applicazione, non da una persona, per svolgere il lavoro. In questo caso, gli account di servizio consentono a Transfer Appliance di utilizzare le risorse Cloud Storage per tuo conto per trasferire dati tra Cloud Storage e l'appliance. Concedi a questi account i ruoli necessari per trasferire i dati.
Per preparare il bucket Cloud Storage:
In un'email intitolata Autorizzazioni Google Transfer Appliance, il team di Transfer Appliance ti fornisce i seguenti service account:
Un service account per la sessione collegato a questo trasferimento specifico. Avrà un aspetto simile al seguente esempio:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè l'ID sessione per questo trasferimento specifico.Un agente di servizio collegato al servizio Transfer Service for On Premises Data, che utilizziamo per trasferire dati tra Cloud Storage e l'appliance. Avrà un aspetto simile al seguente esempio:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn questo esempio,
TENANT_IDENTIFIERè un numero generato specifico per questo progetto.
Prendi nota dei service account per i passaggi successivi.
Gli account di servizio consentono a Transfer Appliance di manipolare le risorseGoogle Cloud per tuo conto, ovvero di trasferire dati tra Cloud Storage e l'appliance. Concedi a questi account i ruoli necessari per trasferire i dati tra Cloud Storage e l'appliance.
I bucket Cloud Storage sono collegati ai Google Cloud progetti. Il bucket che selezioni deve trovarsi nello stesso progetto utilizzato per ordinare l'appliance.
Per concedere ai service account Transfer Appliance l'autorizzazione a utilizzare il tuo bucket Cloud Storage:
Google Cloud Console
- Nella console Google Cloud , vai alla pagina Bucket in Cloud Storage.
Fai clic sul menu Overflow bucket (
)
associato al bucket a cui stai concedendo un ruolo all'entità.Scegli Modifica autorizzazioni bucket.
Fai clic sul pulsante + Aggiungi entità.
Nel campo Nuove entità, inserisci le seguenti identità:
Il account di servizio per la sessione. Avrà un aspetto simile al seguente esempio:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè l'ID sessione per questo trasferimento specifico.L'agente di servizio Transfer Service for On Premises Data. Avrà un aspetto simile al seguente esempio:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn questo esempio,
TENANT_IDENTIFIERè un numero generato specifico per questo progetto.
Dal menu a discesa Seleziona un ruolo, seleziona il ruolo Amministratore Storage.
I ruoli selezionati vengono visualizzati nel riquadro con una breve descrizione delle autorizzazioni che concedono.
Fai clic su Salva.
Riga di comando
Utilizza il comando
gcloud storage buckets add-iam-policy-binding:gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
In questo esempio:
BUCKET_NAME: il nome del bucket che stai creando.SESSION_ID: l'ID sessione per questo trasferimento specifico.TENANT_IDENTIFIER: un numero generato specifico per questo progetto in particolare.
- Nella console Google Cloud , vai alla pagina Bucket in Cloud Storage.
Prepara la chiave Cloud KMS
Transfer Appliance protegge i tuoi dati sull'appliance criptandoli. Una chiave pubblica di Cloud Key Management Service (Cloud KMS) viene utilizzata per criptare i dati su Transfer Appliance, mentre una chiave privata viene utilizzata per decriptarli.
Utilizziamo il account di servizio di sessione di Prepara le autorizzazioni sul bucket Cloud Storage per caricare i dati dal bucket Cloud Storage all'appliance.
Per gestire le chiavi di crittografia, hai a disposizione la seguente opzione:
- Crea e gestisci tu stesso le chiavi di crittografia. Crea e gestisci le chiavi di crittografia utilizzate per il trasferimento seguendo le istruzioni riportate di seguito. Prepara una chiave di decrittografia asimmetrica Cloud KMS e aggiungi l'account di servizio della sessione alla chiave.
Per preparare le chiavi Cloud KMS:
Se non hai un keyring Cloud Key Management Service, procedi nel seguente modo per crearne uno:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella consoleGoogle Cloud .
Fai clic su Crea keyring.
Nel campo Nome portachiavi, inserisci il nome che vuoi dare al portachiavi.
Dal menu a discesa Posizione del keyring, seleziona una posizione come
"us-east1".Fai clic su Crea.
Riga di comando
gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
In questo esempio:
LOCATION: la posizione di Cloud Key Management Service per l'anello di chiavi. Ad esempio,global.KEY_RING: il nome delle chiavi automatizzate.PROJECT_ID: l' Google Cloud ID progetto in cui si trova il bucket di archiviazione.
Crea una chiave di decriptazione asimmetrica seguendo questi passaggi:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella consoleGoogle Cloud .
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
Nella sezione Che tipo di chiave vuoi creare?, scegli Chiave generata.
Nel campo Nome chiave, inserisci il nome della chiave.
Fai clic sul menu a discesa Livello di protezione e seleziona Software.
Fai clic sul menu a discesa Scopo e seleziona Decrittografia asimmetrica.
Fai clic sul menu a discesa Algoritmo e seleziona RSA a 4096 bit - Padding OAEP - Digest SHA256.
Fai clic su Crea.
Riga di comando
Esegui questo comando per creare una chiave di decriptazione asimmetrica:
gcloud kms keys create KEY --keyring=KEY_RING \ --location=LOCATION --purpose=asymmetric-encryption \ --default-algorithm=rsa-decrypt-oaep-4096-sha256 \ --project=PROJECT_ID
In questo esempio:
KEY: Il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: il nome delle chiavi automatizzate.LOCATION: la posizione di Cloud Key Management Service per l'anello di chiavi. Ad esempio,global.PROJECT_ID: l' Google Cloud ID progetto in cui si trova il bucket di archiviazione.
Aggiungi l'account di servizio della sessione come entità alla chiave asimmetrica procedendo nel seguente modo:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella console Google Cloud .
Fai clic sul keyring che contiene la chiave asimmetrica.
Seleziona la casella di controllo per la chiave asimmetrica.
Nel riquadro Informazioni, fai clic su Aggiungi entità.
Viene visualizzato il riquadro Aggiungi entità.
Nel campo Nuove entità, inserisci il account di servizio di sessione fornito dal team di Transfer Appliance. Avrà un aspetto simile al seguente esempio:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè l'ID sessione per questo trasferimento specifico.Nel campo Seleziona un ruolo, aggiungi il ruolo Cloud KMS CryptoKey Public Key Viewer.
Fai clic su Salva.
Riga di comando
Esegui questo comando per concedere all'account di servizio di sessione il ruolo
roles/cloudkms.publicKeyViewer:gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.publicKeyViewer
In questo esempio:
KEY: Il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: il nome delle chiavi automatizzate.LOCATION: la posizione di Cloud Key Management Service per l'anello di chiavi. Ad esempio,global.SESSION_ID: l'ID sessione per questo trasferimento specifico.
Ottieni il percorso della chiave asimmetrica procedendo nel seguente modo:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella console Google Cloud .
Fai clic sul keyring contenente la chiave di decriptazione asimmetrica.
Fai clic sul nome della chiave di decriptazione asimmetrica.
Seleziona la versione della chiave che preferisci e fai clic su Altro more_vert.
Fai clic su Copia nome risorsa.
Un esempio di formato della chiave è:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
In questo esempio:
PROJECT_ID: l' Google Cloud ID progetto in cui si trova il bucket di archiviazione.LOCATION: la posizione di Cloud Key Management Service per l'anello di chiavi.KEY_RING: il nome delle chiavi automatizzate.KEY: Il nome della chiave Cloud Key Management Service.VERSION_NUMBER: Il numero di versione della chiave.
Il team di Transfer Appliance richiede l'intero percorso della chiave, incluso il numero di versione, per poter applicare la chiave corretta ai tuoi dati.
Riga di comando
Esegui questo comando per elencare il percorso completo della chiave asimmetrica, incluso il numero di versione:
gcloud kms keys versions list --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
In questo esempio:
KEY_RING: il nome del tuo keyring.KEY: il nome della chiave asimmetrica.LOCATION: la Google Cloud posizione delle chiavi automatizzate.PROJECT_ID: L'ID progetto Google Cloud in cui si trova il bucket di archiviazione.
La seguente risposta di esempio è simile all'output restituito:
NAME STATE projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER ENABLED
In questo esempio:
PROJECT_ID: l' Google Cloud ID progetto in cui si trova il bucket di archiviazione.LOCATION: la posizione di Cloud Key Management Service per l'anello di chiavi.KEY_RING: il nome delle chiavi automatizzate.KEY: Il nome della chiave Cloud Key Management Service.VERSION_NUMBER: Il numero di versione della chiave.
Il team di Transfer Appliance richiede la stringa sotto
NAMEche termina con/cryptoKeyVersions/VERSION_NUMBER, doveVERSION_NUMBERè il numero di versione della chiave.
Fornire al team di Transfer Appliance i dati di configurazione del bucket
Inviamo un'email con oggetto Autorizzazioni Google Transfer Appliance per raccogliere informazioni sul tuo bucket Cloud Storage. Utilizziamo le informazioni che fornisci per configurare il trasferimento dei dati tra Cloud Storage e Transfer Appliance.
Nel modulo collegato all'email, inserisci le seguenti informazioni:
- L'Google Cloud ID progetto.
- Seleziona l'opzione che preferisci per la crittografia:
- Chiave di crittografia gestita dal cliente, seleziona la chiave di crittografia dal menu a discesa Seleziona una chiave di crittografia gestita dal cliente.
- Il Google Cloud nome del bucket Cloud Storage utilizzato per questo trasferimento.
Passaggi successivi
Configura le porte di rete IP per Transfer Appliance in modo che funzioni sulla tua rete.