Este documento descreve a configuração das Google Cloud autorizações e do Cloud Storage passo a passo, incluindo:
- A preparar o seu contentor do Cloud Storage.
- Preparar uma chave do Cloud Key Management Service para proteger os seus dados.
- Fornecer à equipa do Transfer Appliance os dados de configuração do contentor do Cloud Storage.
Antes de começar
Certifique-se de que tem um email da equipa do Transfer Appliance com o título Autorizações do Transfer Appliance da Google. Este email contém:
Os nomes das contas de serviço necessárias para a sua transferência.
Um ID da sessão que tem de configurar no seu dispositivo.
Um formulário que vai preencher depois de configurar a sua conta.
Prepare as autorizações no contentor do Cloud Storage
Usamos duas contas de serviço para transferir os seus dados. As contas de serviço são contas especiais usadas por uma aplicação, e não por uma pessoa, para realizar tarefas. Neste caso, as contas de serviço permitem que o Transfer Appliance use recursos do Cloud Storage em seu nome para transferir dados entre o Cloud Storage e o dispositivo. Concede a estas contas as funções necessárias para transferir dados.
Para preparar o contentor do Cloud Storage, siga estes passos:
Num email com o título Autorizações do Google Transfer Appliance, a equipa do Transfer Appliance envia-lhe as seguintes contas de serviço:
Uma conta de serviço de sessão associada a esta transferência específica. Tem o seguinte aspeto:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comNeste exemplo,
SESSION_IDé o ID da sessão para esta transferência específica.Um agente de serviço associado ao serviço de dados no local do serviço de transferência, que usamos para transferir dados entre o Cloud Storage e o dispositivo. Tem um aspeto semelhante ao seguinte exemplo:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comNeste exemplo,
TENANT_IDENTIFIERé um número gerado específico deste projeto em particular.
Tome nota das contas de serviço para os passos seguintes.
As contas de serviço permitem que o Transfer Appliance manipule Google Cloud recursos em seu nome, nomeadamente para transferir dados entre o Cloud Storage e o dispositivo. Concede a estas contas as funções necessárias para transferir dados entre o Cloud Storage e o dispositivo.
Os contentores do Cloud Storage estão associados a projetos do Google Cloud . O contentor que selecionar tem de estar no mesmo projeto que foi usado para encomendar o eletrodoméstico.
Para conceder autorização às contas de serviço do Transfer Appliance para usar o seu contentor do Cloud Storage, faça o seguinte:
Google Cloud Consola
- Na Google Cloud consola, aceda à página Recipientes do Cloud Storage.
Clique no menu Adicional do contentor (
)
associado ao contentor ao qual está a conceder uma função ao principal.Escolha Editar autorizações do contentor.
Clique no botão + Adicionar diretores.
No campo Novos responsáveis, introduza as seguintes identidades:
A conta de serviço da sessão. Tem o seguinte aspeto:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comNeste exemplo,
SESSION_IDé o ID da sessão para esta transferência específica.O serviço de transferência para o agente de serviço de dados nas instalações. Tem um aspeto semelhante ao seguinte exemplo:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comNeste exemplo,
TENANT_IDENTIFIERé um número gerado específico deste projeto em particular.
No menu pendente Selecionar uma função, selecione a função Administrador de armazenamento.
As funções que selecionar aparecem no painel com uma breve descrição das autorizações que concedem.
Clique em Guardar.
Linha de comandos
Use o comando
gcloud storage buckets add-iam-policy-binding:gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
Neste exemplo:
BUCKET_NAME: o nome do contentor que está a criar.SESSION_ID: o ID da sessão desta transferência específica.TENANT_IDENTIFIER: um número gerado específico deste projeto em particular.
- Na Google Cloud consola, aceda à página Recipientes do Cloud Storage.
Prepare a chave do Cloud KMS
O Transfer Appliance protege os seus dados no dispositivo encriptando-os. É usada uma chave pública do Cloud Key Management Service (Cloud KMS) para encriptar os seus dados no Transfer Appliance, e é usada uma chave privada para desencriptar os seus dados.
Usamos a conta de serviço da sessão de Preparar as autorizações no contentor do Cloud Storage para carregar os dados do seu contentor do Cloud Storage para o dispositivo.
Tem a seguinte opção para gerir chaves de encriptação:
- Crie e faça a gestão das chaves de encriptação. Siga as instruções abaixo para criar e gerir as chaves de encriptação usadas para a sua transferência. Prepara uma chave de desencriptação assimétrica do Cloud KMS e adiciona a conta de serviço da sessão à chave.
Para preparar as chaves do Cloud KMS, faça o seguinte:
Se não tiver um conjunto de chaves do Cloud Key Management Service, faça o seguinte para criar um:
Google Cloud Consola
Aceda à página Chaves criptográficas na Google Cloud consola.
Clique em Criar conjunto de chaves.
No campo Nome do conjunto de chaves, introduza o nome pretendido para o conjunto de chaves.
No menu pendente Localização do porta-chaves, selecione uma localização, como
"us-east1".Clique em Criar.
Linha de comandos
gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
Neste exemplo:
LOCATION: a localização do Cloud Key Management Service para o conjunto de chaves. Por exemplo,global.KEY_RING: o nome do conjunto de chaves.PROJECT_ID: o Google Cloud ID do projeto no qual o seu contentor de armazenamento se encontra.
Crie uma chave de desencriptação assimétrica da seguinte forma:
Google Cloud Consola
Aceda à página Chaves criptográficas na Google Cloud consola.
Clique no nome do conjunto de chaves para o qual quer criar uma chave.
Clique em Criar chave.
Na secção Que tipo de chave quer criar?, escolha Chave gerada.
No campo Nome da chave, introduza o nome da chave.
Clique no menu pendente Nível de proteção e selecione Software.
Clique no menu pendente Finalidade e selecione Desencriptação assimétrica.
Clique no menu pendente Algoritmo e selecione RSA de 4096 bits – Preenchimento OAEP – Resumo SHA256
Clique em Criar.
Linha de comandos
Execute o seguinte comando para criar uma chave de desencriptação assimétrica:
gcloud kms keys create KEY --keyring=KEY_RING \ --location=LOCATION --purpose=asymmetric-encryption \ --default-algorithm=rsa-decrypt-oaep-4096-sha256 \ --project=PROJECT_ID
Neste exemplo:
KEY: o nome da chave do Cloud Key Management Service. Por exemplo,ta-key.KEY_RING: o nome do conjunto de chaves.LOCATION: a localização do Cloud Key Management Service para o conjunto de chaves. Por exemplo,global.PROJECT_ID: o Google Cloud ID do projeto no qual o seu contentor de armazenamento se encontra.
Adicione a conta de serviço da sessão como principal à chave assimétrica da seguinte forma:
Google Cloud Consola
Aceda à página Chaves criptográficas na Google Cloud consola.
Clique no conjunto de chaves que contém a sua chave assimétrica.
Selecione a caixa de verificação da chave assimétrica.
No painel de informações, clique em Adicionar diretor.
É apresentado o ecrã Adicionar diretores.
No campo Novos membros, introduza o endereço de email da conta de serviço da sessão fornecido pela equipa do Transfer Appliance. Tem o seguinte aspeto:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comNeste exemplo,
SESSION_IDé o ID da sessão para esta transferência específica.No campo Selecionar uma função, adicione a função Visualizador de chaves públicas de CryptoKey do Cloud KMS.
Clique em Guardar.
Linha de comandos
Execute o seguinte comando para conceder à conta de serviço da sessão a função
roles/cloudkms.publicKeyViewer:gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.publicKeyViewer
Neste exemplo:
KEY: o nome da chave do Cloud Key Management Service. Por exemplo,ta-key.KEY_RING: o nome do conjunto de chaves.LOCATION: a localização do Cloud Key Management Service para o conjunto de chaves. Por exemplo,global.SESSION_ID: o ID da sessão desta transferência específica.
Faça o seguinte para obter o caminho da sua chave assimétrica:
Google Cloud Consola
Aceda à página Chaves criptográficas na Google Cloud consola.
Clique no conjunto de chaves que contém a sua chave de desencriptação assimétrica.
Clique no nome da chave de desencriptação assimétrica.
Selecione a versão da chave pretendida e clique em Mais more_vert.
Clique em Copiar nome do recurso.
Um exemplo do formato da chave é:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
Neste exemplo:
PROJECT_ID: o Google Cloud ID do projeto no qual o seu contentor de armazenamento se encontra.LOCATION: a localização do Cloud Key Management Service para o conjunto de chaves.KEY_RING: o nome do conjunto de chaves.KEY: o nome da chave do Cloud Key Management Service.VERSION_NUMBER: o número da versão da chave.
A equipa do Transfer Appliance requer o caminho completo da chave, incluindo o número da versão, para poder aplicar a chave correta aos seus dados.
Linha de comandos
Execute o seguinte comando para apresentar o caminho completo da sua chave assimétrica, incluindo o número da versão:
gcloud kms keys versions list --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
Neste exemplo:
KEY_RING: o nome do seu conjunto de chaves.KEY: o nome da sua chave assimétrica.LOCATION: a Google Cloud localização do conjunto de chaves.PROJECT_ID: O ID do projeto no qual se encontra o seu contentor de armazenamento. Google Cloud
A seguinte resposta de exemplo assemelha-se ao resultado devolvido:
NAME STATE projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER ENABLED
Neste exemplo:
PROJECT_ID: o Google Cloud ID do projeto no qual o seu contentor de armazenamento se encontra.LOCATION: a localização do Cloud Key Management Service para o conjunto de chaves.KEY_RING: o nome do conjunto de chaves.KEY: o nome da chave do Cloud Key Management Service.VERSION_NUMBER: o número da versão da chave.
A equipa do Transfer Appliance precisa da string abaixo de
NAMEque termina em/cryptoKeyVersions/VERSION_NUMBER, ondeVERSION_NUMBERé o número da versão da sua chave.
Faculte à equipa do Transfer Appliance dados de configuração do contentor
Enviamos um email com o título Autorizações do Google Transfer Appliance para recolher informações sobre o seu contentor do Cloud Storage. Usamos as informações que faculta para configurar os dados de transferência entre o Cloud Storage e o Transfer Appliance.
No formulário com o link desse email, introduza as seguintes informações:
- O Google Cloud ID do projeto.
- Selecione a sua escolha para Encriptação:
- Chave de encriptação gerida pelo cliente, selecione a chave de encriptação no menu pendente Selecionar uma chave de encriptação gerida pelo cliente.
- O Google Cloud nome do contentor do Cloud Storage usado para esta transferência.
O que se segue?
Configure as portas de rede IP para que o Transfer Appliance funcione na sua rede.