Cloud Storage からアプライアンスへのデータ エクスポート用に Google Cloud の権限と Cloud Storage をステップ バイ ステップで構成する

このドキュメントでは、次の手順を含む、 Google Cloud の権限と Cloud Storage の構成について説明します。

  • Cloud Storage バケットを準備する。
  • データを保護するための Cloud Key Management Service 鍵の準備。
  • Transfer Appliance チームに Cloud Storage バケットの構成データを提供します。

準備

Transfer Appliance チームからのメールが Google Transfer Appliance の権限 という名であることを確認します。このメールの内容は 次のとおりです。

  • 転送に必要なサービス アカウントの名前。

  • アプライアンスの構成に必要なセッション ID。

  • アカウントの設定が完了したら入力するフォーム。

Cloud Storage バケットの権限を準備する

2 つのサービス アカウントを使用してデータを転送します。サービス アカウントは、人ではなく、作業を行うためにアプリケーションで使用される特別なアカウントです。このガイドでは、サービス アカウントを使用することで、Transfer Appliance が Cloud Storage リソースを使用して、Cloud Storage とアプライアンスの間でデータを転送します。これらのアカウントに、データの転送に必要なロールを付与します。

Cloud Storage バケットを準備するには、次の手順に従います。

  1. 「Google Transfer Appliance の権限」というタイトルのメールで、Transfer Appliance チームにより次のサービス アカウントが用意されます。

    • この転送に紐付けられたセッション サービス アカウント。次のような形式です。

      ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      この例で、SESSION_ID は、この転送に固有のセッション ID です。

    • Transfer Service for On Premises Data サービスに紐付けられたサービス エージェント。これは Cloud Storage とアプライアンスの間でデータを転送するために使用します。次のような形式です。

      project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

      この例で、TENANT_IDENTIFIER は、この特定のプロジェクトに固有の生成された番号です。

    次の手順で使用するため、上記サービス アカウントをメモします。

    サービス アカウントを使用すると、Transfer Appliance でユーザーに代わってGoogle Cloud リソースを操作し、Cloud Storage とアプライアンスの間でデータを転送できます。Cloud Storage とアプライアンスの間でデータを転送するためにこれらのアカウントが必要とするロールを付与します。

  2. Cloud Storage バケットは Google Cloud プロジェクトに関連付けられています。選択するバケットは、アプライアンスの注文に使用したプロジェクトと同じプロジェクトに存在している必要があります。

  3. Cloud Storage バケットを使用する権限を Transfer Appliance サービス アカウントに付与するには、次の操作を行います。

    Google Cloud コンソール

    1. Google Cloud コンソールで Cloud Storage の [バケット] ページに移動します。

      [バケット] に移動

    2. プリンシパルにロールが付与されるバケットに関連付けられた [バケット オーバーフロー] メニュー()をクリックします。

    3. [バケットの権限を編集] を選択します。

    4. [+ プロジェクトを追加] ボタンをクリックします。

    5. [新しいプリンシパル] フィールドに、次の ID を入力します。

      • セッションのサービス アカウント。次のような形式です。

        ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

        この例で、SESSION_ID は、この転送に固有のセッション ID です。

      • Transfer Service for On Premises Data サービス エージェント。次のような形式です。

        project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

        この例で、TENANT_IDENTIFIER は、この特定のプロジェクトに固有の生成された番号です。

    6. [ロールを選択] プルダウン メニューから [ストレージ管理者] ロールを選択します。

      選択した役割と付与する権限の簡単な説明がパネルに表示されます。

    7. [保存] をクリックします。

    コマンドライン

    gcloud storage buckets add-iam-policy-binding コマンドを次のように使用します。

    gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
--role=roles/storage.admin
     
    gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
--member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \
--role=roles/storage.admin

    この例では、次のようになります。

    • BUCKET_NAME: 作成するバケットの名前。
    • SESSION_ID: この転送に固有のセッション ID。
    • TENANT_IDENTIFIER: この特定のプロジェクトに固有の生成された番号。

Cloud KMS 鍵の準備

Transfer Appliance では、データを暗号化してアプライアンス上のデータを保護します。Transfer Appliance では、データの暗号化に Cloud Key Management Service(Cloud KMS)の公開を使用し、データの復号に秘密鍵を使用します。

Cloud Storage バケットの権限を準備するのセッション サービス アカウントを使用して、Cloud Storage バケットからアプライアンスにデータをアップロードします。

暗号鍵の管理には次のオプションがあります。

  • 暗号鍵を自分で作成して管理します。転送に使用する暗号鍵は、次の手順で作成して管理します。Cloud KMS 非対称復号鍵を準備し、セッション サービス アカウントを鍵に追加します。

Cloud KMS 鍵を準備する手順は次のとおりです。

  1. Cloud Key Management Service キーリングがない場合は、次の手順で作成します。

    Google Cloud コンソール

    1. Google Cloud コンソールで [暗号鍵] ページに移動します。

      [暗号鍵] ページに移動

    2. [キーリングを作成] をクリックします。

    3. [キーリングの名前] フィールドに、キーリングの名前を入力します。

    4. [鍵リングの場所] プルダウンから、"us-east1" などの場所を選択します。

    5. [作成] をクリックします。

    コマンドライン

    gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID

    この例では、

    • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
    • KEY_RING: キーリングの名前。
    • PROJECT_ID: ストレージ バケットが属する Google Cloud プロジェクト ID。

  2. 次の操作を行って、非対称復号鍵を作成します。

    Google Cloud コンソール

    1. Google Cloud コンソールで [暗号鍵] ページに移動します。

      [暗号鍵] ページに移動

    2. 鍵を作成するキーリングの名前をクリックします。

    3. [鍵を作成] をクリックします。

    4. [作成する鍵の種類] で [生成された鍵] を選択します。

    5. [鍵名] フィールドに、鍵の名前を入力します。

    6. [保護レベル] プルダウンをクリックし、[ソフトウェア] を選択します。

    7. [目的] プルダウンをクリックし、[非対称復号] を選択します。

    8. [アルゴリズム] プルダウンをクリックし、[4096 ビット RSA - OAEP パディング - SHA256 ダイジェスト] を選択します。

    9. [作成] をクリックします。

    コマンドライン

    次のコマンドを実行して、非対称復号鍵を作成します。

    gcloud kms keys create KEY --keyring=KEY_RING \
--location=LOCATION --purpose=asymmetric-encryption \
--default-algorithm=rsa-decrypt-oaep-4096-sha256 \
--project=PROJECT_ID

    この例では、

    • KEY: Cloud Key Management Service 鍵の名前。例: ta-key
    • KEY_RING: キーリングの名前。
    • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
    • PROJECT_ID: ストレージ バケットが属する Google Cloud プロジェクト ID。

  3. 次の手順に従い、セッション サービス アカウントをプリンシパルとして非対称鍵に追加します。

    Google Cloud コンソール

    1. Google Cloud コンソールで [暗号鍵] ページに移動します。

      [暗号鍵] ページに移動

    2. 非対称鍵を含むキーリングをクリックします。

    3. 使用する鍵のチェックボックスをオンにします。

    4. 情報パネルで [プリンシパルを追加] をクリックします。

      [プリンシパルの追加] が表示されます。

    5. [新しいプリンシパル] フィールドに、Transfer Appliance チームから提供されたセッション サービス アカウントを入力します。次のような形式です。

      ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      この例で、SESSION_ID は、この転送に固有のセッション ID です。

    6. [ロールを選択] フィールドに、[Cloud KMS 暗号鍵の公開鍵閲覧者] ロールを追加します。

    7. [保存] をクリックします。

    コマンドライン

    1. 次のコマンドを実行して、セッション サービス アカウントに roles/cloudkms.publicKeyViewer ロールを付与します。

      gcloud kms keys add-iam-policy-binding KEY \
--keyring=KEY_RING --location=LOCATION \
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
--role=roles/cloudkms.publicKeyViewer

      この例では、次のようになります。

      • KEY: Cloud Key Management Service 鍵の名前。例: ta-key
      • KEY_RING: キーリングの名前。
      • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
      • SESSION_ID: この転送に固有のセッション ID。

  4. 次の手順を実行して、非対称鍵のパスを取得します。

    Google Cloud コンソール

    1. Google Cloud コンソールで [暗号鍵] ページに移動します。

      [暗号鍵] ページに移動

    2. 非対称復号鍵を含むキーリングをクリックします。

    3. 非対称復号鍵の名前をクリックします。

    4. 目的の鍵バージョンを選択して、その他アイコン()をクリックします。

    5. [リソース名をコピーする] をクリックします。

      鍵の形式の例を次に示します。

      projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER

      この例では、次のようになります。

      • PROJECT_ID: ストレージ バケットが属する Google Cloud プロジェクト ID。
      • LOCATION: キーリングの Cloud Key Management Service のロケーション。
      • KEY_RING: キーリングの名前。
      • KEY: Cloud Key Management Service 鍵の名前。
      • VERSION_NUMBER: 鍵のバージョン番号。

      Transfer Appliance チームでは、バージョン番号を含む鍵パス全体が必要です。これにより、データに正しい鍵を適用できます。

    コマンドライン

    次のコマンドを実行して、非対称鍵のフルパス(バージョン番号を含む)を一覧表示します。

    gcloud kms keys versions list --keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

    この例では、

    • KEY_RING: キーリングの名前。
    • KEY: 非対称鍵の名前。
    • LOCATION: キーリングの Google Cloud ロケーション。
    • PROJECT_ID: ストレージ バケットが属する Google Cloud プロジェクト ID。

    次のレスポンスのサンプルは、返される出力に似ています。

    NAME STATE
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
ENABLED

    この例では、次のようになります。

    • PROJECT_ID: ストレージ バケットが属する Google Cloud プロジェクト ID。
    • LOCATION: キーリングの Cloud Key Management Service のロケーション。
    • KEY_RING: キーリングの名前。
    • KEY: Cloud Key Management Service 鍵の名前。
    • VERSION_NUMBER: 鍵のバージョン番号。

    Transfer Appliance チームでは、NAME の下にある /cryptoKeyVersions/VERSION_NUMBER で終わる文字列が必要です(VERSION_NUMBER は鍵のバージョン番号)。

Transfer Appliance チームにバケット構成データを提供する

Cloud Storage バケットに関する情報を収集するため、「Google Transfer Appliance の権限」というタイトルのメールを送信します。入力された情報は、Cloud Storage と Transfer Appliance 間の転送データを構成するために使用されます。

メールに記載されているリンクからアクセスできるフォームに、次の情報を入力します。

  • Google Cloud プロジェクト ID
  • [暗号化] で選択します。
    • [顧客管理の暗号鍵]: [顧客管理の暗号鍵を選択] プルダウン メニューから暗号鍵を選択します。
  • この転送に使用される Google Cloud Cloud Storage バケット名

次のステップ

ネットワーク上で動作するように Transfer Appliance の IP ネットワーク ポートを構成します。