En este documento, se describe cómo configurar los permisos de Google Cloud y Cloud Storage con la aplicación de configuración de Appliance Cloud.
La aplicación de configuración de la nube de la Appliance te solicita información, como el ID de la sesión de transferencia, el bucket de Cloud Storage de destino y las preferencias de Cloud Key Management Service (Cloud KMS). Con la información que proporciona, la La aplicación de configuración de Cloud en el dispositivo configura tus permisos de Google Cloud, los que prefieras bucket de Cloud Storage y clave de Cloud KMS para la transferencia.
Antes de comenzar
Asegúrate de tener lo siguiente:
El nombre del proyecto y la ubicación de la empresa que se usa para pedir la de Google.
El ID del dispositivo, el ID de sesión, el nombre del bucket, el prefijo del bucket y la clave de encriptación que se especifica al pedir el dispositivo. Puedes encontrarlas en el correo electrónico titulado Preparación de permisos y almacenamiento de Google Transfer Appliance.
El agente de servicio del Servicio de transferencia de almacenamiento que aparece en el correo electrónico titulado Preparación de permisos y almacenamiento de Google Transfer Appliance. Parece similar al siguiente ejemplo:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comEn este ejemplo,
TENANT_IDENTIFIERes un valor generado específico para este proyecto en particular.Usamos el Servicio de transferencia de almacenamiento para transferir datos del dispositivo a tu bucket de Cloud Storage.
Asigna funciones IAM
Debes tener la configuración Roles de IAM en el proyecto bucket de Cloud Storage.
Si eres el propietario del proyecto, roles/owner es suficiente. Pasar a la siguiente
sección, Descargar la aplicación de configuración de Cloud para el dispositivo.
Si no tienes roles/owner, debes tener los siguientes roles:
roles/serviceusage.serviceUsageAdmin: Para habilitar las APIs necesarias en el proyectoroles/iam.serviceAccountCreator: Para crear cuentas de servicio nuevasroles/iam.serviceAccountKeyAdmin: Crea y descarga una cuenta de servicio. claves. Se puede otorgar a nivel de proyecto o se puede otorgar al dispositivo de servicio una vez que la haya creado la app de permisos.roles/storagetransfer.admin: Crea el Servicio de transferencia de almacenamiento. de servicio predeterminada.roles/transferappliance.viewer: Para recuperar el bucket de Cloud Storage y Detalles de la clave de Cloud Key Management Service.roles/storage.admin: Se puede otorgar a nivel de proyecto si no lo hiciste. creó un bucket de Cloud Storage o se puede otorgar a nivel de bucket si que usas un bucket existente de Cloud Storage.roles/cloudkms.admin: Se puede otorgar a nivel de proyecto si no lo hiciste. creó una clave de Cloud KMS o puede otorgarse al nivel de la clave si o si usas una clave de Cloud KMS existente.
Visualiza los roles
Para ver los roles de IAM que tienen las principales en un proyecto y sus recursos, haz lo siguiente:
En la consola de Google Cloud, ve a la página IAM.
En la página, se muestran todos los principales que tienen roles de IAM en tu proyecto.
Descargue la aplicación de configuración de Cloud Appliance
Para descargar la aplicación de configuración de Cloud de dispositivo, haz lo siguiente:
Abre la página de bienvenida de la consola de Google Cloud.
Verifica que el nombre del proyecto que se usa para la transferencia aparezca en el selector de proyectos. El selector de proyectos te indica en qué proyecto estás trabajando actualmente.
Si no ves el nombre del proyecto que estás usando para la transferencia, haz clic en el selector de proyectos y, luego, elige el proyecto correcto.
Haz clic en Activar Cloud Shell.
En Cloud Shell, usa el comando
wgetpara descargar la aplicación de configuración de Cloud del dispositivo:wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux
Ejecutar la aplicación de configuración de Cloud de dispositivo
En Cloud Shell, ejecuta el siguiente comando para iniciar la aplicación de configuración de Cloud del dispositivo:
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux
La app te guía a través de los pasos necesarios para configurar tu proyecto.
Salida de la aplicación
La aplicación de configuración de Cloud Platform del dispositivo completa las siguientes acciones:
- Otorga permisos a las cuentas de servicio del dispositivo que se usan para transferir datos a tu bucket de Cloud Storage.
- Si eliges usar una clave de encriptación administrada por el cliente, otorga permiso para las cuentas de servicio del dispositivo para acceder a los datos de claves de Cloud KMS.
Se muestra la siguiente información:
- El nombre del recurso de la clave criptográfica de Google Cloud, si lo elegiste para usar una clave de encriptación de Cloud KMS administrada por el cliente.
- El nombre del bucket de destino de Google Cloud Storage.
- Un prefijo del bucket de destino de Google Cloud Storage, si que proporcionaste.
- Si corresponde, el nombre de la cuenta de servicio de transferencia en línea El nombre del agente de servicio del Servicio de transferencia de almacenamiento.
La información que se muestra también se almacena en el directorio principal de Cloud Shell, llamado SESSION_ID-output.txt, en el que SESSION_ID es el ID de sesión de esta transferencia en particular.
Los nombres de las cuentas de servicio a las que se les otorgó permiso para esta cuenta
de datos se almacenan en el directorio principal de Cloud Shell,
cloudsetup.log
Envía información de CMEK a Google
Si especificaste una clave de encriptación administrada por el cliente, envíanos la información de la clave completando el formulario vinculado en el correo electrónico titulado Google Transfer Appliance Preparar permisos y almacenamiento
Descarga claves de cuentas de servicio
Descarga y guarda una clave de cuenta de servicio para la cuenta del servicio de transferencia en línea.
gcloud iam service-accounts keys create key.json \ --iam-account=APPLIANCE_SERVICE_ACCOUNT_EMAIL
El valor de APPLIANCE_SERVICE_ACCOUNT_EMAIL se muestra en Resultado de la app de permisos:
...
Appliance Service Account Name:
example-sa@example-project.iam.gserviceaccount.com
Cuando recibas el dispositivo, sube la clave al directorio /tmp de la
de Google.
Soluciona problemas
Error 400: La cuenta de servicio no existe
Problema:
La aplicación de configuración de Cloud del dispositivo muestra el siguiente mensaje:
Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Donde SESSION_ID es el ID de sesión proporcionado a
Aplicación de configuración de Cloud del dispositivo.
Solution:
Verifica el ID de sesión de la transferencia. El ID de sesión es único para cada de Cloud Storage y las comparte el equipo de Transfer Appliance. Si aún no lo hiciste si recibiste un ID de sesión, comunícate con data-support@google.com.
Error: Se muestran las ubicaciones de KMS
Problema:
La aplicación de configuración de Cloud del dispositivo muestra el siguiente mensaje:
Error: listing kms locations
Solution:
Haz lo siguiente en Cloud Shell:
Ejecuta
gcloud auth loginpara volver a autenticarte.Reintentar la aplicación de configuración de Cloud del dispositivo.
Si el error persiste, comunícate con el equipo de Transfer Appliance. data-support@google.com.
Error: Se produjo un error al crear la restricción de claves de Cloud KMS
Problema:
La aplicación de configuración de Cloud del dispositivo muestra un mensaje similar al siguiente:
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Solution:
Es posible que tu proyecto de Google Cloud tenga políticas de la organización que no permitan crear Claves de Cloud Key Management Service en determinadas ubicaciones. Las siguientes son soluciones posibles:
- Elige una ubicación diferente para crear la clave de Cloud Key Management Service.
- Actualiza la política de la organización para permitir la creación de claves de Cloud Key Management Service en la ubicación que deseas.
Para obtener más información, consulta Restringe ubicaciones de recursos.