In diesem Dokument wird Schritt für Schritt das Konfigurieren von Google Cloud-Berechtigungen und Cloud Storage beschrieben, einschließlich:
- Cloud Storage-Bucket wird vorbereitet.
- Cloud Key Management Service-Schlüssel zum Schutz Ihrer Daten vorbereiten
- Cloud Storage-Bucket-Konfigurationsdaten für das Transfer Appliance-Team bereitstellen
Hinweise
Sie benötigen eine E-Mail vom Transfer Appliance-Team mit dem Betreff Google Transfer Appliance-Berechtigungen. Diese E-Mail enthält:
Die Namen der Dienstkonten, die für Ihre Übertragung erforderlich sind.
Eine Sitzungs-ID, die Sie zum Konfigurieren der Appliance benötigen.
Ein Formular, das Sie ausfüllen, nachdem Sie Ihr Konto konfiguriert haben.
Berechtigungen für Cloud Storage-Bucket vorbereiten
Wir verwenden zwei Dienstkonten zur Übertragung Ihrer Daten. Dienstkonten sind spezielle Konten, die von einer Anwendung und nicht von einer Person zum Arbeiten verwendet werden. In diesem Fall ermöglichen die Dienstkonten der Transfer Appliance, in Ihrem Namen Cloud Storage-Ressourcen zu verwenden, um Daten zwischen Cloud Storage und der Appliance zu übertragen. Sie gewähren diesen Konten die erforderlichen Rollen zum Übertragen von Daten.
So bereiten Sie den Cloud Storage-Bucket vor:
In der E-Mail mit dem Betreff Google Transfer Appliance-Berechtigungen stellt Ihnen das Transfer Appliance-Team die folgenden Dienstkonten zur Verfügung:
Ein Sitzungsdienstkonto, das mit dieser bestimmten Übertragung verbunden ist. Es sieht in etwa so aus:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com
In diesem Beispiel ist
SESSION_ID
die Sitzungs-ID für diese bestimmte Übertragung.Ein Dienst-Agent, der an den Transfer Service for On Premises Data-Dienst gebunden ist, mit dem wir Daten zwischen Cloud Storage und der Appliance übertragen. Das sieht in etwa so aus:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com
In diesem Beispiel ist
TENANT_IDENTIFIER
eine für dieses Projekt spezifische Nummer.
Notieren Sie sich die Dienstkonten für die nächsten Schritte.
Mit den Dienstkonten kann Transfer Appliance Google Cloud-Ressourcen in Ihrem Namen bearbeiten, d. h. Daten zwischen Cloud Storage und der Appliance übertragen. Sie gewähren diesen Konten die erforderlichen Rollen, um Daten zwischen Cloud Storage und der Appliance zu übertragen.
Cloud Storage-Buckets sind an Google Cloud-Projekte gebunden. Der ausgewählte Bucket muss sich im selben Projekt befinden, mit dem die Appliance bestellt wurde.
So gewähren Sie den Transfer Appliance-Dienstkonten die Berechtigung, Ihren Cloud Storage-Bucket zu verwenden:
Google Cloud Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie auf das Dreipunkt-Menü () des Buckets, für den Sie einem Hauptkonto eine Rolle zuweisen.
Wählen Sie Bucket-Berechtigungen bearbeiten.
Klicken Sie auf die Schaltfläche + Hauptkonten hinzufügen.
Geben Sie im Feld Neue Hauptkonten die folgenden Identitäten ein:
Das Sitzungsdienstkonto. Es sieht in etwa so aus:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com
In diesem Beispiel ist
SESSION_ID
die Sitzungs-ID für diese bestimmte Übertragung.Der Transfer Service for On Premises-Dienst-Agent. Das sieht in etwa so aus:
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com
In diesem Beispiel ist
TENANT_IDENTIFIER
eine für dieses Projekt generierte spezifische Nummer.
Wählen Sie im Drop-down-Menü Rolle auswählen die Rolle Storage-Administrator aus.
Die ausgewählten Rollen werden in der Ansicht mit einer kurzen Beschreibung ihrer jeweiligen Berechtigungen angezeigt.
Klicken Sie auf Speichern.
Befehlszeile
Führen Sie den Befehl
gsutil iam ch
aus:gsutil iam ch \ serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com:roles/storage.admin \ serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com:roles/storage.admin \ gs://BUCKET_NAME
In diesem Beispiel:
SESSION_ID
: Die Sitzungs-ID für diese bestimmte Übertragung.TENANT_IDENTIFIER
: Eine generierte Nummer, die für dieses Projekt spezifisch ist.BUCKET_NAME
: Der Name des Buckets, den Sie erstellen.
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Cloud KMS-Schlüssel vorbereiten
Transfer Appliance schützt Ihre Daten auf der Appliance durch Verschlüsselung der Daten. Ihrer Daten werden auf der Transfer Appliance mit einem öffentlichen Schlüssel des Cloud Key Management Service (Cloud KMS) verschlüsselt. Zum Entschlüsseln Ihrer Daten wird ein privater Schlüssel verwendet.
Wir verwenden das Sitzungsdienstkonto aus Berechtigungen für Cloud Storage-Bucket vorbereiten, um die Daten aus Ihrem Cloud Storage-Bucket in die Appliance hochzuladen.
Sie haben die folgende Option zum Verwalten von Verschlüsselungsschlüsseln:
- Verschlüsselungsschlüssel selbst erstellen und verwalten. Sie erstellen und verwalten die für Ihre Übertragung verwendeten Verschlüsselungsschlüssel selbst. Folgen Sie dazu der unten angegebenen Anleitung. Sie bereiten einen asymmetrischen Cloud KMS-Entschlüsselungsschlüssel vor und fügen dem Schlüssel das Sitzungsdienstkonto hinzu.
So bereiten Sie Cloud KMS-Schlüssel vor:
Wenn Sie keinen Schlüsselbund für den Cloud Key Management Service haben, gehen Sie so vor:
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.
Klicken Sie auf KeyRing erstellen.
Geben Sie im Feld Schlüsselbundname den gewünschten Namen für den Schlüsselbund ein.
Wählen Sie im Drop-down-Menü Schlüsselbundort einen Standort wie
"us-east1"
aus.Klicken Sie auf Erstellen.
Befehlszeile
gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
In diesem Beispiel:
LOCATION
: Der Standort des Cloud Key Management Service für den Schlüsselbund. Beispiel:global
.KEY_RING
: Der Name des Schlüsselbunds.PROJECT_ID
: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.
So erstellen Sie einen asymmetrischen Entschlüsselungsschlüssel:
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen möchten.
Klicken Sie auf Schlüssel erstellen.
Wählen Sie im Abschnitt Welche Art von Schlüssel möchten Sie erstellen? die Option Generierter Schlüssel aus.
Geben Sie im Feld Schlüsselname einen Namen für den Schlüssel ein.
Klicken Sie auf das Drop-down-Menü Schutzstufe und wählen Sie Software aus.
Klicken Sie auf das Drop-down-Menü Zweck und wählen Sie Asymmetrische Entschlüsselung aus.
Klicken Sie auf das Drop-down-Menü Algorithmus und wählen Sie 4.096-Bit-RSA – OAEP-Padding – SHA256-Digest aus.
Klicken Sie auf Erstellen.
Befehlszeile
Führen Sie den folgenden Befehl aus, um einen asymmetrischen Entschlüsselungsschlüssel zu erstellen:
gcloud kms keys create KEY --keyring=KEY_RING \ --location=LOCATION --purpose=asymmetric-encryption \ --default-algorithm=rsa-decrypt-oaep-4096-sha256 \ --project=PROJECT_ID
In diesem Beispiel:
KEY
: Der Name des Cloud Key Management Service-Schlüssels. Beispiel:ta-key
KEY_RING
: Der Name des Schlüsselbunds.LOCATION
: Der Standort des Cloud Key Management Service für den Schlüsselbund. Beispiel:global
.PROJECT_ID
: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.
Fügen Sie dem asymmetrischen Schlüssel das Sitzungsdienstkonto als Hauptkonto hinzu. Gehen Sie dazu so vor:
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.
Klicken Sie auf den Schlüsselbund, der Ihren asymmetrischen Schlüssel enthält.
Klicken Sie auf das Kästchen für den asymmetrischen Schlüssel.
Klicken Sie im Infofeld auf Hauptkonto hinzufügen.
Hauptkonten hinzufügen wird angezeigt.
Geben Sie im Feld Neue Hauptkonten das vom Transfer Appliance-Team bereitgestellte Sitzungsdienstkonto ein. Es sieht in etwa so aus:
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com
In diesem Beispiel ist
SESSION_ID
die Sitzungs-ID für diese bestimmte Übertragung.Fügen Sie im Feld Rolle auswählen die Rolle Betrachter von öffentlichen Schlüsseln von Cloud KMS CryptoKeys hinzu.
Klicken Sie auf Speichern.
Befehlszeile
Führen Sie den folgenden Befehl aus, um dem Sitzungsdienstkonto die Rolle
roles/cloudkms.publicKeyViewer
zuzuweisen:gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.publicKeyViewer
In diesem Beispiel:
KEY
: Der Name des Cloud Key Management Service-Schlüssels. Beispiel:ta-key
KEY_RING
: Der Name des Schlüsselbunds.LOCATION
: Der Standort des Cloud Key Management Service für den Schlüsselbund. Beispiel:global
.SESSION_ID
: Die Sitzungs-ID für diese bestimmte Übertragung.
So rufen Sie den Pfad eines asymmetrischen Schlüssels ab:
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.
Klicken Sie auf den Schlüsselbund, der Ihren asymmetrischen Entschlüsselungsschlüssel enthält.
Klicken Sie auf den Namen des asymmetrischen Entschlüsselungsschlüssels.
Wählen Sie die gewünschte Schlüsselversion aus und klicken Sie auf das Dreipunkt-Menü more_vert.
Klicken Sie auf Ressourcennamen kopieren.
Ein Beispiel für das Schlüsselformat:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
In diesem Beispiel:
PROJECT_ID
: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.LOCATION
: Der Standort des Cloud Key Management Service für den Schlüsselbund.KEY_RING
: Der Name des Schlüsselbunds.KEY
: Der Name des Cloud Key Management Service-Schlüssels.VERSION_NUMBER
: Die Versionsnummer des Schlüssels.
Das Transfer Appliance-Team benötigt den gesamten Schlüsselpfad einschließlich der Versionsnummer, damit der richtige Schlüssel auf Ihre Daten angewendet werden kann.
Befehlszeile
Führen Sie den folgenden Befehl aus, um den vollständigen Pfad Ihres asymmetrischen Schlüssels einschließlich seiner Versionsnummer aufzulisten:
gcloud kms keys versions list --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
In diesem Beispiel:
KEY_RING
: Name des Schlüsselbunds.KEY
: Der Name Ihres asymmetrischen Schlüssels.LOCATION
: Der Google Cloud-Speicherort des Schlüsselbunds.PROJECT_ID
: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.
Die folgende Beispielantwort sieht ungefähr so aus wie die zurückgegebene Ausgabe:
NAME STATE projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER ENABLED
In diesem Beispiel:
PROJECT_ID
: Die Google Cloud-Projekt-ID, unter der sich Ihr Storage-Bucket befindet.LOCATION
: Der Standort des Cloud Key Management Service für den Schlüsselbund.KEY_RING
: Der Name des Schlüsselbunds.KEY
: Der Name des Cloud Key Management Service-Schlüssels.VERSION_NUMBER
: Die Versionsnummer des Schlüssels.
Das Transfer Appliance-Team benötigt den String unter
NAME
, der auf/cryptoKeyVersions/VERSION_NUMBER
endet. Dabei istVERSION_NUMBER
die Versionsnummer Ihres Schlüssels.
Bucket-Konfigurationsdaten für das Transfer Appliance-Team bereitstellen
Wir senden Ihnen eine E-Mail mit dem Betreff Google Transfer Appliance-Berechtigungen, um Informationen zu Ihrem Cloud Storage-Bucket zu erfassen. Wir verwenden die von Ihnen bereitgestellten Informationen, um die Übertragungsdaten zwischen Cloud Storage und der Transfer Appliance zu konfigurieren.
Geben Sie in dem mit dieser E-Mail verlinkten Formular die folgenden Informationen ein:
- Die Google Cloud-Projekt-ID.
- Treffen Sie eine Auswahl für Verschlüsselung:
- Wählen Sie unter Vom Kunden verwalteter Verschlüsselungsschlüssel den Verschlüsselungsschlüssel aus dem Drop-down-Menü Vom Kunden verwalteten Verschlüsselungsschlüssel auswählen aus.
- Der für diese Übertragung verwendete Name des Google Cloud Storage-Bucket-Buckets.
Nächste Schritte
Konfigurieren Sie IP-Netzwerkports, damit Transfer Appliance in Ihrem Netzwerk funktioniert.