En este documento, se describe cómo configurar Google Cloud permisos y Cloud Storage con la aplicación Appliance Cloud Setup.
La aplicación de configuración de la nube del dispositivo te solicitará información, como el ID de la sesión de transferencia, el bucket de Cloud Storage de destino y las preferencias de Cloud Key Management Service (Cloud KMS). Con la información que proporcionas, la aplicación de configuración de Cloud del dispositivo configura tus permisos de Google Cloud , tu bucket de Cloud Storage preferido y tu clave de Cloud KMS para la transferencia.
Antes de comenzar
Asegúrate de tener lo siguiente:
El nombre del proyecto y la ubicación de la empresa que se usaron para pedir el electrodoméstico.
El ID del dispositivo, el ID de sesión, el nombre del bucket, el prefijo del bucket y la clave de encriptación que se especificaron cuando se solicitó el dispositivo. Puedes encontrarlos en el correo electrónico titulado Google Transfer Appliance Prepare Permissions and Storage.
El agente de servicio del Servicio de transferencia de almacenamiento que se indica en el correo electrónico titulado Google Transfer Appliance Prepare Permissions and Storage Se verá parecido al siguiente ejemplo:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comEn este ejemplo,
TENANT_IDENTIFIERes un número generado específico para este proyecto en particular.Usamos el Servicio de transferencia de almacenamiento para transferir datos del dispositivo a tu bucket de Cloud Storage.
Asigna funciones IAM
Debes tener los roles de IAM correctos en el proyecto y el bucket de Cloud Storage.
Si eres el propietario del proyecto, roles/owner es suficiente. Ve a la siguiente sección, Descarga la aplicación de configuración de Cloud de Appliance.
Si no tienes roles/owner, debes tener los siguientes roles:
roles/serviceusage.serviceUsageAdmin: Para habilitar las APIs necesarias en el proyectoroles/iam.serviceAccountCreator: Para crear cuentas de servicio nuevasroles/iam.serviceAccountKeyAdmin: Para crear y descargar claves de cuentas de servicio Se puede otorgar a nivel del proyecto o a la cuenta de servicio del dispositivo una vez que la app de permisos la haya creado.roles/storagetransfer.admin: Para crear la cuenta de servicio de Servicio de transferencia de almacenamientoroles/transferappliance.viewer: Para recuperar detalles del bucket de Cloud Storage y de la clave de Cloud Key Management Serviceroles/storage.admin: Se puede otorgar a nivel del proyecto si no creaste un bucket de Cloud Storage o a nivel del bucket si usas un bucket de Cloud Storage existente.roles/cloudkms.admin: Se puede otorgar a nivel del proyecto si no creaste una clave de Cloud KMS o a nivel de la clave si usas una clave de Cloud KMS existente.
Cómo ver roles
Para ver los roles de IAM que tienen tus principales en un proyecto y sus recursos, haz lo siguiente:
En la consola de Google Cloud , ve a la página IAM.
En la página, se muestran todos los principales que tienen roles de IAM en tu proyecto.
Descarga la aplicación de configuración de Cloud de Appliance
Para descargar la aplicación de configuración de Cloud de Appliance, haz lo siguiente:
Abre la página de bienvenida de la consola de Google Cloud .
Verifica que el nombre del proyecto que se usó para la transferencia aparezca en el selector de proyectos. El selector de proyectos te indica en qué proyecto estás trabajando en este momento.
Si no ves el nombre del proyecto que usas para la transferencia, haz clic en el selector de proyecto y, luego, selecciona el proyecto correcto.
Haz clic en Activar Cloud Shell.
En Cloud Shell, usa el comando
wgetpara descargar la aplicación de configuración de Cloud de Appliance:wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Ejecuta la aplicación de configuración de Cloud de Appliance
En Cloud Shell, ejecuta el siguiente comando para iniciar la aplicación de configuración de Cloud del dispositivo:
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
La app te guiará por los pasos necesarios para configurar tu proyecto.
Resultado de la aplicación
La aplicación de configuración de Cloud de Appliance completa las siguientes acciones:
- Otorga permisos a las cuentas de servicio del dispositivo que se usan para transferir datos a tu bucket de Cloud Storage.
- Si elegiste usar una clave de encriptación administrada por el cliente, otorga permiso a las cuentas de servicio del dispositivo para acceder a los datos de la clave de Cloud KMS.
Muestra la siguiente información:
- El Google Cloud nombre del recurso de la clave criptográfica, si elegiste usar una clave de encriptación de Cloud KMS administrada por el cliente.
- El nombre del bucket de destino de Cloud Storage.Google Cloud
- Un prefijo del bucket de destino de Cloud StorageGoogle Cloud , si proporcionaste uno
- Si corresponde, el nombre de la cuenta de servicio de Transferencia en línea y el nombre del agente de servicio del Servicio de transferencia de almacenamiento
La información que se muestra también se almacena en el directorio principal de Cloud Shell, llamado SESSION_ID-output.txt, donde SESSION_ID es el ID de sesión de esta transferencia en particular.
Los nombres de las cuentas de servicio a las que se otorgó permiso para esta transferencia en particular se almacenan en el directorio principal de Cloud Shell, con el nombre cloudsetup.log.
Envía información de CMEK a Google
Si especificaste una clave de encriptación administrada por el cliente, completa el formulario al que se vincula el correo electrónico titulado Google Transfer Appliance: Prepare Permissions and Storage y envíanos la información de la clave.
Descarga claves de cuentas de servicio
Descarga y guarda una clave de cuenta de servicio para la cuenta de servicio de Online Transfer.
gcloud iam service-accounts keys create key.json \ --iam-account=APPLIANCE_SERVICE_ACCOUNT_EMAIL
El valor de APPLIANCE_SERVICE_ACCOUNT_EMAIL se muestra en el resultado de la app de permisos:
...
Appliance Service Account Name:
example-sa@example-project.iam.gserviceaccount.com
Cuando recibas el dispositivo, sube la clave al directorio /tmp del dispositivo.
Soluciona problemas
Error 400: La cuenta de servicio no existe
Problema:
La aplicación de configuración de Cloud de Transfer Appliance muestra el siguiente mensaje:
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Aquí, SESSION_ID es el ID de sesión que se proporciona a la aplicación de configuración de Appliance Cloud.
Solution:
Verifica el ID de sesión de tu transferencia. El equipo de Transfer Appliance comparte el ID de sesión, que es único para cada sesión de transferencia. Si no recibiste un ID de sesión, comunícate con data-support@google.com.
Error: No se pudieron enumerar las ubicaciones de KMS
Problema:
La aplicación de configuración de Cloud de Transfer Appliance muestra el siguiente mensaje:
Error: listing kms locations
Solution:
En Cloud Shell, haz lo siguiente:
Vuelve a autenticarte ejecutando
gcloud auth login.Vuelve a intentar la aplicación de configuración de Cloud de Transfer Appliance.
Si el error persiste, comunícate con el equipo de Transfer Appliance a data-support@google.com.
Error: Se produjo un error al crear la restricción de la clave de Cloud KMS
Problema:
La aplicación de configuración de la nube del dispositivo muestra un mensaje similar al siguiente:
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Solution:
Es posible que tu proyecto Google Cloud tenga políticas de la organización que no permitan crear claves de Cloud Key Management Service en ciertas ubicaciones. Estas son algunas soluciones posibles:
- Elige otra ubicación para crear la clave de Cloud Key Management Service.
- Actualiza la política de la organización para permitir la creación de claves de Cloud Key Management Service en la ubicación que desees.
Para obtener más información, consulta Restringe las ubicaciones de recursos.