Questo documento descrive la configurazione passo passo delle autorizzazioni e di Cloud Storage, tra cui: Google Cloud
- Preparazione del bucket Cloud Storage di destinazione.
- Preparazione di una chiave Cloud Key Management Service per proteggere i dati.
- Fornire al team Transfer Appliance i dati di configurazione del bucket Cloud Storage.
Prima di iniziare
Assicurati di aver ricevuto un'email dal team di Transfer Appliance con oggetto Google Transfer Appliance Prepare Permissions and Storage. Questa email contiene:
I nomi dei service account necessari per il trasferimento.
Un ID sessione necessario per configurare l'appliance.
Un modulo che compilerai dopo aver configurato l'account.
Prepara il bucket Cloud Storage di destinazione
Per archiviare i dati in Cloud Storage, devi preparare un bucket. I bucket sono i container di base in cui vengono archiviati i dati in Cloud Storage.
Utilizziamo due service account per spostare i dati da Transfer Appliance al bucket Cloud Storage di destinazione che prepari. I service account sono account speciali utilizzati da un'applicazione, non da una persona, per svolgere il lavoro. In questo caso, gli account di servizio consentono a Transfer Appliance di utilizzare le risorse Cloud Storage per tuo conto per copiare i dati dall'appliance al tuo bucket Cloud Storage. Concedi a questi account i ruoli necessari per copiare i dati dall'appliance al tuo bucket Cloud Storage.
Per preparare il bucket Cloud Storage di destinazione:
In un'email con oggetto Google Transfer Appliance Prepare Destination Bucket, il team di Transfer Appliance ti fornisce i seguenti service account:
Un service account per la sessione collegato a questo trasferimento specifico. Avrà un aspetto simile al seguente esempio:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè l'ID sessione per questo trasferimento specifico.Un service agent collegato al servizio Transfer Service for On Premises Data, che utilizziamo per trasferire i dati dall'appliance al tuo bucket Cloud Storage. Avrà un aspetto simile al seguente esempio:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn questo esempio,
TENANT_IDENTIFIERè un numero generato specifico per questo progetto.
Prendi nota dei service account per i passaggi successivi.
Gli account di servizio consentono a Transfer Appliance di manipolare le risorseGoogle Cloud per tuo conto, ovvero di copiare i dati dall'appliance a Cloud Storage. Concedi a questi account i ruoli necessari per copiare i dati dall'appliance al tuo bucket Cloud Storage.
I bucket Cloud Storage sono collegati ai Google Cloud progetti. Il bucket che selezioni deve trovarsi nello stesso progetto utilizzato per ordinare l'appliance.
Se non hai un bucket Cloud Storage, creane uno:
Google Cloud Console
Apri la pagina Bucket Cloud Storage nella console Google Cloud .
Fai clic su Crea bucket per aprire il modulo di creazione del bucket.
Inserisci le informazioni sul bucket e fai clic su Continua per completare ogni passaggio:
Specifica un nome, soggetto ai requisiti per l'assegnazione dei nomi ai bucket.
Seleziona una classe di archiviazione predefinita per il bucket. La classe di archiviazione predefinita viene assegnata per impostazione predefinita a tutti gli oggetti caricati nel bucket. Successivamente, seleziona una posizione per i dati del bucket.
Seleziona un modello di controllo dell'accesso per determinare come controllare l'accesso agli oggetti del bucket.
Se vuoi, puoi aggiungere etichette bucket e scegliere un metodo di crittografia.
Non impostare un criterio di conservazione nel bucket.
Fai clic su Fine.
Riga di comando
Utilizza il comando
gcloud storage buckets create:gcloud storage buckets create gs://BUCKET_NAME --uniform-bucket-level-access --location=LOCATION --project=PROJECT_ID
In questo esempio:
BUCKET_NAME: il nome del bucket che stai creando, soggetto ai requisiti di denominazione dei bucket.LOCATION: la posizione del bucket Cloud Storage che preferisci.PROJECT_ID: l'ID progetto in cui creare il bucket.
Non impostare un criterio di conservazione nel bucket.
Per concedere ai service account Transfer Appliance l'autorizzazione a utilizzare il tuo bucket Cloud Storage:
Google Cloud Console
- Nella console Google Cloud , vai alla pagina Bucket in Cloud Storage.
Fai clic sul menu Overflow bucket (
)
associato al bucket a cui stai concedendo un ruolo all'entità.Scegli Modifica autorizzazioni bucket.
Fai clic sul pulsante + Aggiungi entità.
Nel campo Nuove entità, inserisci le seguenti identità:
Il account di servizio per la sessione. Avrà un aspetto simile al seguente esempio:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè l'ID sessione per questo trasferimento specifico.L'agente di servizio Transfer Service for On Premises Data. Avrà un aspetto simile al seguente esempio:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comIn questo esempio,
TENANT_IDENTIFIERè un numero generato specifico per questo progetto.
Dal menu a discesa Seleziona un ruolo, seleziona il ruolo Amministratore Storage.
I ruoli selezionati vengono visualizzati nel riquadro con una breve descrizione delle autorizzazioni che concedono.
Fai clic su Salva.
Riga di comando
Utilizza il comando
gcloud storage buckets add-iam-policy-binding:gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
In questo esempio:
BUCKET_NAME: il nome del bucket che stai creando.SESSION_ID: l'ID sessione per questo trasferimento specifico.TENANT_IDENTIFIER: un numero generato specifico per questo progetto in particolare.
- Nella console Google Cloud , vai alla pagina Bucket in Cloud Storage.
Prepara la chiave Cloud KMS
Transfer Appliance protegge i tuoi dati sull'appliance criptandoli prima che tu la rispedisca a Google. Una chiave pubblica di Cloud Key Management Service (Cloud KMS) viene utilizzata per criptare i dati su Transfer Appliance, mentre una chiave privata viene utilizzata per decriptarli.
Utilizziamo l'account di servizio della sessione di Prepara il bucket Cloud Storage di destinazione per caricare i dati dall'appliance al tuo bucket Cloud Storage.
Per gestire le chiavi di crittografia, hai a disposizione le seguenti opzioni:
Google-owned and Google-managed encryption keys. Puoi richiedere la creazione e la gestione delle chiavi Cloud KMS. Se vuoi utilizzare questo metodo, hai terminato la configurazione del tuo progetto Google Cloud e puoi continuare con i passaggi descritti in Ricevere l'appliance.
Crea e gestisci tu stesso le chiavi di crittografia. Crea e gestisci le chiavi di crittografia utilizzate per il trasferimento seguendo le istruzioni riportate di seguito. Prepara una chiave di decrittografia asimmetrica Cloud KMS e aggiungi l'account di servizio della sessione alla chiave. Il account di servizio di sessione utilizza la chiave di decrittografia asimmetrica per decriptare e copiare i dati in Cloud Storage.
Per preparare le chiavi Cloud KMS:
Se non hai un keyring Cloud Key Management Service, procedi nel seguente modo per crearne uno:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella consoleGoogle Cloud .
Fai clic su Crea keyring.
Nel campo Nome portachiavi, inserisci il nome che vuoi dare al portachiavi.
Dal menu a discesa Posizione del keyring, seleziona una posizione come
"us-east1".Fai clic su Crea.
Riga di comando
gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
In questo esempio:
LOCATION: la posizione di Cloud Key Management Service per l'anello di chiavi. Ad esempio,global.KEY_RING: il nome delle chiavi automatizzate.PROJECT_ID: l' Google Cloud ID progetto in cui si trova il bucket di archiviazione.
Crea una chiave di decriptazione asimmetrica seguendo questi passaggi:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella consoleGoogle Cloud .
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
Nella sezione Che tipo di chiave vuoi creare?, scegli Chiave generata.
Nel campo Nome chiave, inserisci il nome della chiave.
Fai clic sul menu a discesa Livello di protezione e seleziona Software.
Fai clic sul menu a discesa Scopo e seleziona Decrittografia asimmetrica.
Fai clic sul menu a discesa Algoritmo e seleziona RSA a 4096 bit - Padding OAEP - Digest SHA256.
Fai clic su Crea.
Riga di comando
Esegui questo comando per creare una chiave di decriptazione asimmetrica:
gcloud kms keys create KEY --keyring=KEY_RING \ --location=LOCATION --purpose=asymmetric-encryption \ --default-algorithm=rsa-decrypt-oaep-4096-sha256 \ --project=PROJECT_ID
In questo esempio:
KEY: Il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: il nome delle chiavi automatizzate.LOCATION: la posizione di Cloud Key Management Service per l'anello di chiavi. Ad esempio,global.PROJECT_ID: l' Google Cloud ID progetto in cui si trova il bucket di archiviazione.
Aggiungi l'account di servizio della sessione come entità alla chiave asimmetrica procedendo nel seguente modo:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella console Google Cloud .
Fai clic sul keyring che contiene la chiave asimmetrica.
Seleziona la casella di controllo per la chiave asimmetrica.
Nel riquadro Informazioni, fai clic su Aggiungi entità.
Viene visualizzato il riquadro Aggiungi entità.
Nel campo Nuove entità, inserisci il account di servizio di sessione fornito dal team di Transfer Appliance. Avrà un aspetto simile al seguente esempio:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comIn questo esempio,
SESSION_IDè l'ID sessione per questo trasferimento specifico.Nel campo Seleziona un ruolo, aggiungi il ruolo Cloud KMS CryptoKey Public Key Viewer.
Fai clic su Aggiungi un altro ruolo.
Nel campo Seleziona un ruolo, aggiungi il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.
Fai clic su Salva.
Riga di comando
Esegui questo comando per concedere all'account di servizio di sessione il ruolo
roles/cloudkms.cryptoKeyDecrypter:gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyDecrypter
In questo esempio:
KEY: Il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: il nome delle chiavi automatizzate.LOCATION: la posizione di Cloud Key Management Service per l'anello di chiavi. Ad esempio,global.SESSION_ID: l'ID sessione per questo trasferimento specifico.
Esegui questo comando per concedere all'account di servizio di sessione il ruolo
roles/cloudkms.publicKeyViewer:gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.publicKeyViewer
In questo esempio:
KEY: Il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: il nome delle chiavi automatizzate.LOCATION: la posizione di Cloud Key Management Service per l'anello di chiavi. Ad esempio,global.SESSION_ID: l'ID sessione per questo trasferimento specifico.
Ottieni il percorso della chiave asimmetrica procedendo nel seguente modo:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella console Google Cloud .
Fai clic sul keyring contenente la chiave di decriptazione asimmetrica.
Fai clic sul nome della chiave di decriptazione asimmetrica.
Seleziona la versione della chiave che preferisci e fai clic su Altro more_vert.
Fai clic su Copia nome risorsa.
Un esempio di formato della chiave è:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
In questo esempio:
PROJECT_ID: l' Google Cloud ID progetto in cui si trova il bucket di archiviazione.LOCATION: la posizione di Cloud Key Management Service per l'anello di chiavi.KEY_RING: il nome delle chiavi automatizzate.KEY: Il nome della chiave Cloud Key Management Service.VERSION_NUMBER: Il numero di versione della chiave.
Il team di Transfer Appliance richiede l'intero percorso della chiave, incluso il numero di versione, per poter applicare la chiave corretta ai tuoi dati.
Riga di comando
Esegui questo comando per elencare il percorso completo della chiave asimmetrica, incluso il numero di versione:
gcloud kms keys versions list --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
In questo esempio:
KEY_RING: il nome del tuo keyring.KEY: il nome della chiave asimmetrica.LOCATION: la Google Cloud posizione delle chiavi automatizzate.PROJECT_ID: L'ID progetto Google Cloud in cui si trova il bucket di archiviazione.
La seguente risposta di esempio è simile all'output restituito:
NAME STATE projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER ENABLED
In questo esempio:
PROJECT_ID: l' Google Cloud ID progetto in cui si trova il bucket di archiviazione.LOCATION: la posizione di Cloud Key Management Service per l'anello di chiavi.KEY_RING: il nome delle chiavi automatizzate.KEY: Il nome della chiave Cloud Key Management Service.VERSION_NUMBER: Il numero di versione della chiave.
Il team di Transfer Appliance richiede la stringa sotto
NAMEche termina con/cryptoKeyVersions/VERSION_NUMBER, doveVERSION_NUMBERè il numero di versione della chiave.
Fornire al team di Transfer Appliance i dati di configurazione del bucket
Inviamo un'email con oggetto Google Transfer Appliance Prepare Permissions and Storage per raccogliere informazioni sul tuo bucket Cloud Storage. Utilizziamo le informazioni che fornisci per configurare il trasferimento da Transfer Appliance a Cloud Storage.
Nel modulo collegato all'email, inserisci le seguenti informazioni:
- L'Google Cloud ID progetto.
- Seleziona l'opzione che preferisci per la crittografia:
- Google-owned and Google-managed encryption key, se hai scelto che Google gestisca la tua chiave di crittografia.
- Chiave di crittografia gestita dal cliente, se hai scelto di gestire la tua chiave di crittografia. Seleziona la chiave di crittografia desiderata dal menu a discesa Seleziona una chiave di crittografia gestita dal cliente.
- Il Google Cloud nome del bucket di destinazione Cloud Storage utilizzato per questo trasferimento.
- (Facoltativo) Un prefisso oggetto. Senza un prefisso dell'oggetto, gli oggetti vengono trasferiti
a Cloud Storage con il percorso dell'origine, escluso il percorso principale, prima
del nome file nel file system. Ad esempio, se hai i seguenti file:
/source_root_path/file1.txt/source_root_path/dirA/file2.txt/source_root_path/dirA/dirB/file3.txt
file1.txtdirA/file2.txtdirA/dirB/file3.txt
/del nome del bucket di destinazione e prima di eventuali nomi di percorso da cui è stato trasferito l'oggetto, escluso il percorso radice dell'origine. In questo modo puoi distinguere gli oggetti trasferiti da altri job di trasferimento. La seguente tabella mostra diversi esempi di prefissi oggetto e i nomi degli oggetti risultanti in Cloud Storage, se il percorso dell'oggetto di origine è/source_root_path/sub_folder_name/object_name:Prefisso Nome oggetto di destinazione Nessuno /destination_bucket/sub_folder_name/object_nameprefix//destination_bucket/prefix/sub_folder_name/object_name
Passaggi successivi
Configura le porte di rete IP per Transfer Appliance in modo che funzioni sulla tua rete.