Neste tópico, descrevemos como configurar permissões do Google Cloud e o Cloud Storage usando o aplicativo de configuração de nuvem do Transfer Appliance.
O aplicativo de configuração de nuvem do Transfer Appliance solicita informações, como o ID da sessão de transferência, o bucket de destino do Cloud Storage e as preferências do Cloud Key Management Service (Cloud KMS). Com base nas informações fornecidas, o aplicativo de configuração de nuvem do Appliance do Transfer configura suas permissões do Google Cloud, o bucket preferido do Cloud Storage e a chave do Cloud KMS para sua transferência.
Antes de começar
Verifique se você tem o seguinte:
O nome do projeto usado para a transferência.
O ID da sessão do e-mail da equipe do Transfer Appliance chamado Credenciais de acesso do Google Transfer Appliance. Você preencherá o formulário neste e-mail, que a equipe do Transfer Appliance usa para configurar a transferência.
Os papéis do IAM corretos.
Se você é o proprietário do projeto, basta roles/owner.
Se você não tiver roles/owner e estiver criando um bucket do Cloud Storage e uma chave do Cloud KMS por meio do aplicativo de configuração de nuvem do Transfer Appliance, precisará ter os papéis roles/storage.admin e roles/cloudkms.admin do projeto do Google Cloud.
Se você não tiver roles/owner e estiver usando um bucket do Cloud Storage e uma chave do Cloud KMS, será necessário ter o papel roles/storage.admin no bucket do Cloud Storage e roles/cloudkms.admin na chave do Cloud KMS que você está usando para a transferência.
Para ver os papéis do IAM que os principais têm em um projeto e nos recursos dele, faça o seguinte:
No Console do Cloud, acesse a página IAM.
A página exibe todos os principais que têm papéis do IAM no projeto.
O agente de serviços que está vinculado ao serviço de transferência de dados locais. Esse agente de serviço está listado em um e-mail intitulado Bucket de destino de preparação do Google Transfer Appliance e é semelhante ao seguinte exemplo:
project-IDENTIFIER@storage-transfer-service.gserviceaccount.comNeste exemplo,
IDENTIFIERé um número gerado específico para este projeto específico.Usamos o serviço de transferência de dados locais para transferir dados do dispositivo para o bucket do Cloud Storage.
Conceder permissões ao agente de serviço
Para conceder permissões ao agente de serviço, faça o seguinte:
Console do Google Cloud
- No Console do Cloud, acesse a página Navegador do Cloud Storage.
Clique no menu flutuante do bucket (
) associado ao bucket ao qual você está concedendo ao principal um papel.Selecione Editar permissões do bucket.
Clique no botão + Adicionar membros.
No campo Novos assinantes, digite o agente de serviço. O exemplo é semelhante a este:
project-IDENTIFIER@storage-transfer-service.gserviceaccount.comNeste exemplo,
IDENTIFIERé um número gerado específico para este projeto.No menu suspenso Selecionar um papel, selecione o papel Administrador do Storage.
Os papéis selecionados são exibidos no painel com uma breve descrição das permissões que eles concedem.
Clique em Save.
Linha de comando
Use o comando gsutil iam ch:
gsutil iam ch \ serviceAccount:project-IDENTIFIER@storage-transfer-service.gserviceaccount.com:storageAdmin \ gs://BUCKET_NAME
Neste exemplo:
IDENTIFIER: um número gerado específico para este projeto.BUCKET_NAME: o nome do bucket que você está usando.
Fazer o download do aplicativo de configuração de nuvem do Transfer Appliance
Para fazer o download do aplicativo de configuração de nuvem do Transfer Appliance:
Abra o painel do Console do Cloud.
Verifique se o nome do projeto usado para a transferência é exibido no seletor de projetos. O seletor de projetos informa em qual projeto você está trabalhando atualmente.
Se você não vir o nome do projeto que está usando para a transferência, clique no seletor do projeto e selecione o projeto correto.
Clique em Ativar o Cloud Shell.
No Cloud Shell, use o comando
wgetpara fazer o download do aplicativo de configuração de nuvem do Transfer Appliance:wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux
Executar o aplicativo de configuração de nuvem do Transfer Appliance
No Cloud Shell, execute o seguinte comando para iniciar o aplicativo de configuração de nuvem do Transfer Appliance:
chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linuxO aplicativo de configuração de nuvem do Transfer Appliance solicita os seguintes itens:
O agente de serviço vinculado ao serviço de transferência de dados locais. O resultado será semelhante a este:
project-IDENTIFIER@storage-transfer-service.gserviceaccount.comNeste exemplo,
IDENTIFIERé um número gerado específico para este projeto específico.O ID da sessão, do e-mail da equipe do Transfer Appliance intitulado Credenciais de acesso do Google Transfer Appliance.
Se você quer usar um bucket atual:
Se você selecionar Sim, uma lista de buckets será exibida para escolher.
Se você selecionar Não, será necessário fornecer um nome para o bucket. Uma lista de locais de bucket é exibida para você escolher.
[Opcional] Um prefixo de objeto. Sem essa informação, os objetos são transferidos para o Cloud Storage com o caminho de origem, sem incluir o caminho raiz, antes do nome do arquivo no sistema. Por exemplo, se você tiver os seguintes arquivos:
/source_root_path/file1.txt/source_root_path/dirA/file2.txt/source_root_path/dirA/dirB/file3.txt
file1.txtdirA/file2.txtdirA/dirB/file3.txt
/do nome do bucket de destino e antes dos nomes de caminhos de onde o objeto foi transferido, sem incluir o caminho raiz da origem. Isso pode ajudar você a distinguir entre objetos transferidos de outros jobs de transferência. A tabela a seguir demonstra vários exemplos de prefixos de objetos e os nomes de objetos resultantes no Cloud Storage, se o caminho do objeto de origem for/source_root_path/sub_folder_name/object_name:Prefixo Nome do objeto de destino Nenhum /destination_bucket/sub_folder_name/object_nameprefix//destination_bucket/prefix/sub_folder_name/object_nameSe você quer usar uma chave do Cloud KMS gerenciada pelo Google ou pelo cliente:
Se você selecionar uma chave do Cloud KMS gerenciada pelo cliente, o aplicativo de configuração de nuvem do Transfer Appliance perguntará se você prefere usar uma chave atual do Cloud KMS:
- Se você selecionar Sim, serão solicitados o local do keyring do Cloud KMS, o keyring do Cloud KMS e a chave do Cloud KMS usada nessa sessão.
- Se você selecionar Não, o local do keyring do Cloud KMS será solicitado. O aplicativo de configuração de nuvem para o Transfer Appliance cria a chave do Cloud KMS no local selecionado.
Sessão de exemplo
Veja a seguir uma sessão de exemplo:
Please enter the session ID (The session ID is shared separately by the Transfer Appliance support team) CUS-1120-TEST [Optional] Please enter the Google-managed service account if it was shared by the Transfer Appliance support team: project-12345@storage-transfer-service.gserviceaccount.com Would you like to use an existing storage bucket where your data will arrive? Choose Yes or No: Yes ▸No Name your bucket. Pick a globally unique, permanent name. Naming guidelines: https://cloud.google.com/storage/docs/naming-buckets 2021-05-transfer-set Please wait. Fetching the list of available locations, this can take a few seconds.. Use the arrow keys to navigate: ↓ ↑ → ← ? Choose Cloud Storage Location: ▸ asia-east1 asia-east2 asia-northeast1 asia-northeast2 ↓ asia-northeast3 [Optional] Enter an object prefix or press enter to skip: test Please select the encryption key type Use the arrow keys to navigate: ↓ ↑ → ← ? Choose Key Type: Google-managed encryption key ▸ Customer-managed encryption key Would you like to use an existing Cloud KMS key? Use the arrow keys to navigate: ↓ ↑ → ← ? Choose Yes or No: Yes ▸No Please wait. Fetching the list of available KMS locations, this can take a few seconds.. Use the arrow keys to navigate: ↓ ↑ → ← ? Choose key ring location: ▸ asia asia-east1 asia-east2 asia-northeast1 ↓ asia-northeast2 Cloud Setup is complete. Next Steps.. Please complete the form received in the email titled Google Transfer Appliance Access Credentials sent by the Transfer Appliance Team with the following information: Session ID: CUS-1120-TEST Google Cloud Platform Project ID: customer-test Encryption: Customer-managed encryption key Google Cloud Storage Destination Bucket Name: 2021-05-tranfsfer-set Google Cloud Storage Destination Object Bucket Prefix (optional): Online Enabled: NoO aplicativo de configuração de nuvem do Transfer Appliance faz o seguinte ao ser concluído:
- Concede permissões às contas de serviço do Transfer Appliance usadas para transferir dados para o bucket do Cloud Storage.
- Concede permissão às contas de serviço do Transfer Appliance para acessar os dados de chave do Cloud KMS necessários se você tiver escolhido Chave gerenciada pelo cliente.
Exibe as seguintes informações:
- O nome do recurso de chave criptográfica do Google Cloud, se você escolheu usar uma chave de criptografia do Cloud KMS gerenciada pelo cliente.
- O nome do bucket de destino do Google Cloud Storage.
- Um prefixo de bucket de destino do Google Cloud Storage, se você tiver fornecido um.
As informações exibidas também são armazenadas no diretório inicial do Cloud Shell, denominado
SESSION_ID-output.txt, em queSESSION_IDé o ID da sessão dessa transferência específica.Os nomes das contas de serviço que receberam permissão para essa transferência específica são armazenados no diretório inicial no Cloud Shell, chamado
cloudsetup.log.
Você receberá um e-mail da equipe do Transfer Appliance, com o nome Permissões e armazenamento de preparação do Google Transfer Appliance. Preencha o formulário vinculado a esse e-mail com as seguintes informações:
- O ID do projeto do Google Cloud Platform.
- Escolha sua opção para Criptografia:
- Chave de criptografia gerenciada pelo Google, se você optou por deixar o Google gerenciar sua chave.
- Chave de criptografia gerenciada pelo cliente, se você escolheu gerenciar sua própria chave de criptografia. Selecione a chave de criptografia no menu suspenso Selecionar uma chave de criptografia gerenciada pelo cliente.
- O nome do bucket de destino do Google Cloud Storage usado para essa transferência.
- Opcional: um prefixo do bucket de destino do Google Cloud Storage
Solução de problemas
Erro 400: a conta de serviço não existe.
Problema:
O aplicativo de configuração de nuvem do Transfer Appliance exibe a seguinte mensagem:
Service account SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com does not exist.
Em que SESSION_ID é o ID da sessão fornecido para
o aplicativo de configuração de nuvem do Transfer Appliance.
Solução:
Verifique o ID da sessão para a transferência. Ele é exclusivo para cada sessão de transferência e compartilhado pela equipe do Transfer Appliance. Se você não recebeu um ID de sessão, entre em contato pelo e-mail data-support@google.com.
Erro: listagem de locais do KMS
Problema:
O aplicativo de configuração de nuvem do Transfer Appliance exibe a seguinte mensagem:
Error: listing kms locations
Solução:
Faça o seguinte no Cloud Shell:
Execute
gcloud auth loginpara autenticar novamente.Tente novamente o aplicativo de configuração de nuvem do Transfer Appliance.
Se o erro persistir, entre em contato com a equipe do Transfer Appliance pelo e-mail data-support@google.com.
Erro: criação do erro de restrição de chave do Cloud KMS
Problema:
O aplicativo de configuração de nuvem do Transfer Appliance exibe uma mensagem semelhante a esta:
Error: creating cloud kms key violates constraint error: code = FailedPrecondition desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on the resource 'projects/test/locations/europe-west6'
Solução:
O projeto do Google Cloud pode ter políticas da organização que não permitem a criação de chaves do Cloud Key Management Service em determinados locais. Veja as possíveis soluções a seguir:
- Escolha outro local para criar a chave do Cloud Key Management Service.
- Atualize a política da organização para permitir a criação de chaves do Cloud Key Management Service no local desejado.
Para mais informações, consulte Como restringir locais de recursos.