Configure seu projeto do Google Cloud para exportação de dados do Cloud Storage para o dispositivo usando o aplicativo de configuração

Este documento descreve a configuração de permissões do Google Cloud e do Cloud Storage usando o aplicativo de configuração na nuvem do dispositivo.

O aplicativo de configuração do Cloud do Appliance solicita informações, como o ID da sessão de transferência, o bucket do Cloud Storage e as preferências do Cloud Key Management Service (Cloud KMS). Com as informações fornecidas, o aplicativo de configuração do Appliance Cloud configura as permissões do Google Cloud, o bucket preferido do Cloud Storage e a chave do Cloud KMS para a transferência.

Antes de começar

Verifique se você tem o seguinte:

  • O nome do projeto e o local da empresa usado para solicitar o dispositivo.

  • O ID do dispositivo, o ID da sessão, o nome do bucket e a chave de criptografia especificados ao solicitar o dispositivo. Elas podem ser encontradas no e-mail intitulado Permissões do Google Transfer Appliance.

  • O agente de serviço do Serviço de transferência do Cloud Storage listado no e-mail intitulado Permissões do Google Transfer Appliance. Ele é parecido com este exemplo:

    project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

    Neste exemplo, TENANT_IDENTIFIER é um número gerado específico para este projeto específico.

    Usamos o Serviço de transferência do Cloud Storage para transferir dados entre o bucket do Cloud Storage e o dispositivo.

Atribuir papéis do IAM

É preciso ter os papéis do IAM corretos no projeto e no bucket do Cloud Storage.

Se você é o proprietário do projeto, roles/owner é suficiente. Pule para a próxima seção, Fazer o download do aplicativo de configuração do Cloud Appliance.

Se você não tiver roles/owner, será necessário ter os seguintes papéis:

  • roles/storagetransfer.admin: para criar a conta de serviço do Serviço de transferência do Cloud Storage.
  • roles/transferappliance.viewer: para buscar detalhes da chave do Cloud Key Management Service e do bucket do Cloud Storage.
  • roles/storage.admin: pode ser concedido no nível do projeto se você não criou um bucket do Cloud Storage ou no nível do bucket se estiver usando um bucket atual do Cloud Storage.
  • roles/cloudkms.admin: pode ser concedido no nível do projeto se você não criou uma chave do Cloud KMS, ou no nível da chave se você estiver usando uma chave atual do Cloud KMS.

Como conferir os papéis

Para ver os papéis do IAM que os principais têm em um projeto e nos recursos dele, faça o seguinte:

  1. No console do Google Cloud, abra a página IAM.

    Acessar a página IAM

  2. A página exibe todos os principais que têm papéis do IAM no projeto.

Faça o download do aplicativo de configuração do dispositivo Cloud

Para fazer o download do aplicativo de configuração da nuvem do dispositivo:

  1. Abra a página de boas-vindas do Console do Google Cloud.

    Abra a página de boas-vindas do console do Google Cloud

  2. Verifique se o nome do projeto usado para a transferência é exibido no seletor de projetos. O seletor de projetos informa em qual projeto você está trabalhando atualmente.

    Como selecionar um projeto do Google Cloud no seletor de projetos

    Se você não vir o nome do projeto que está usando para a transferência, clique no seletor do projeto e selecione o projeto correto.

  3. Clique em Ativar o Cloud Shell.

    Iniciando o devshell na barra de menus.

  4. No Cloud Shell, use o comando wget para fazer o download do aplicativo de configuração do Cloud do dispositivo:

    wget https://storage.googleapis.com/transferappliance/cloudsetup/ta_cloudsetup_x86_64-linux -O ta_cloudsetup_x86_64-linux

Execute o aplicativo de configuração do Cloud na ferramenta

No Cloud Shell, execute o seguinte comando para iniciar o aplicativo de configuração do Cloud Appliance:

chmod 0777 ta_cloudsetup_x86_64-linux && ./ta_cloudsetup_x86_64-linux

O app mostra as etapas necessárias para configurar seu projeto.

Saída do aplicativo

O aplicativo de configuração da nuvem do dispositivo conclui as seguintes ações:

  • Concede permissões às contas de serviço do dispositivo usadas para exportar dados do bucket do Cloud Storage.
  • Apenas chaves de criptografia gerenciadas pelo cliente podem exportar dados do bucket do Cloud Storage. Conceda permissão às contas de serviço do dispositivo para acessar dados importantes do Cloud KMS.

  • Exibe as seguintes informações:

    • O nome do recurso da chave criptográfica do Google Cloud
    • O nome do bucket de destino do Google Cloud Storage.

As informações exibidas também são armazenadas no diretório inicial do Cloud Shell, denominado SESSION_ID-output.txt, em que SESSION_ID é o ID da sessão dessa transferência específica.

Os nomes das contas de serviço que receberam permissão para essa transferência específica são armazenados no diretório inicial no Cloud Shell, chamado cloudsetup.log.

Enviar informações de CMEK para o Google

Envie as principais informações preenchendo o formulário vinculado no e-mail Permissões do Google Transfer Appliance.

Solução de problemas

Erro 400: a conta de serviço não existe.

Problema:

O aplicativo de configuração da nuvem do dispositivo exibe a seguinte mensagem:

Service account ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com
does not exist.

Em que SESSION_ID é o ID da sessão fornecido ao aplicativo de configuração do Appliance Cloud.

Solução:

Verifique o ID da sessão para a transferência. Ele é exclusivo para cada sessão de transferência e compartilhado pela equipe do Transfer Appliance. Se você não recebeu um ID de sessão, entre em contato pelo e-mail [email protected].

Erro: listagem de locais do KMS

Problema:

O aplicativo de configuração da nuvem do dispositivo exibe a seguinte mensagem:

Error: listing kms locations

Solução:

Faça o seguinte no Cloud Shell:

  1. Execute gcloud auth login para autenticar novamente.

  2. Tente novamente o aplicativo de configuração do Cloud do dispositivo.

Se o erro persistir, entre em contato com a equipe do Transfer Appliance pelo e-mail [email protected].

Erro: criação do erro de restrição de chave do Cloud KMS

Problema:

O aplicativo de configuração da nuvem do dispositivo exibe uma mensagem semelhante a esta:

Error: creating cloud kms key violates constraint error: code = FailedPrecondition
desc= europe-west6 violates constraint 'constraints/gcp.resourceLocations' on
the resource 'projects/test/locations/europe-west6'

Solução:

O projeto do Google Cloud pode ter políticas da organização que não permitem a criação de chaves do Cloud Key Management Service em determinados locais. Veja as possíveis soluções a seguir:

  • Escolha outro local para criar a chave do Cloud Key Management Service.
  • Atualize a política da organização para permitir a criação de chaves do Cloud Key Management Service no local desejado.

Para mais informações, consulte Como restringir locais de recursos.