Ce document décrit la configuration détaillée des Google Cloud autorisations et de Cloud Storage, y compris :
- Préparer votre bucket Cloud Storage
- Préparer une clé Cloud Key Management Service pour sécuriser vos données
- Fournir à l'équipe Transfer Appliance les données de configuration du bucket Cloud Storage
Avant de commencer
Assurez-vous d'avoir reçu un e-mail de l'équipe Transfer Appliance intitulé Autorisations Google Transfer Appliance. Cet e-mail contient :
Les noms des comptes de service requis pour votre transfert
Un ID de session dont vous aurez besoin pour configurer votre serveur
Un formulaire que vous devrez remplir une fois votre compte configuré
Préparer les autorisations sur le bucket Cloud Storage
Nous utilisons deux comptes de service pour transférer vos données. Les comptes de service sont des comptes particuliers qui sont utilisés par une application, et non par une personne, pour effectuer des tâches. Dans le cas présent, les comptes de service autorisent Transfer Appliance à utiliser des ressources Cloud Storage en votre nom pour transférer des données entre Cloud Storage et le serveur. Vous accordez à ces comptes les rôles nécessaires pour transférer des données.
Pour préparer le bucket Cloud Storage, procédez comme suit :
Dans un e-mail intitulé Autorisations Google Transfer Appliance, l'équipe Transfer Appliance vous fournit les comptes de service suivants :
Un compte de service de session lié à ce transfert. En voici un exemple :
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comDans cet exemple,
SESSION_IDcorrespond à l'ID de session de ce transfert particulier.Un agent de service lié au service de transfert des données sur site, que nous utilisons pour transférer des données entre Cloud Storage et le serveur. Voici un exemple :
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comDans cet exemple,
TENANT_IDENTIFIERest un numéro généré spécifique à ce projet particulier.
Notez les comptes de service pour les étapes suivantes.
Les comptes de service permettent à Transfer Appliance de manipuler Google Cloud des ressources en votre nom, à savoir transférer des données entre Cloud Storage et le serveur. Vous accordez à ces comptes les rôles nécessaires pour transférer des données entre Cloud Storage et le serveur.
Les buckets Cloud Storage sont associés à des Google Cloud projets. Le bucket que vous sélectionnez doit se trouver dans le même projet que celui utilisé pour commander le serveur.
Pour accorder aux comptes de service Transfer Appliance l'autorisation d'utiliser votre bucket Cloud Storage, procédez comme suit :
Google Cloud Console
- Dans la console Google Cloud , accédez à la page Buckets de Cloud Storage.
Cliquez sur le menu à développer du bucket (
)
associé au bucket pour lequel vous attribuez un rôle au compte principal.Choisissez Modifier les autorisations relatives au bucket.
Cliquez sur le bouton + Ajouter des comptes principaux.
Dans le champ Nouveaux comptes principaux, saisissez les identités suivantes :
Le compte de service de session. En voici un exemple :
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comDans cet exemple,
SESSION_IDcorrespond à l'ID de session de ce transfert particulier.L'agent de service du service de transfert des données sur site. Voici un exemple :
project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.comDans cet exemple,
TENANT_IDENTIFIERest un numéro généré spécifique à ce projet particulier.
Dans le menu déroulant Sélectionner un rôle, sélectionnez le rôle Administrateur de l'espace de stockage.
Les rôles sélectionnés apparaissent dans le volet et sont accompagnés d'une brève description des autorisations auxquelles ils correspondent.
Cliquez sur Enregistrer.
Ligne de commande
Exécutez la
gcloud storage buckets add-iam-policy-bindingcommande :gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
Dans cet exemple :
BUCKET_NAME: nom du bucket que vous créez.SESSION_ID: ID de session pour ce transfert particulier.TENANT_IDENTIFIER: nombre généré spécifique à ce projet.
- Dans la console Google Cloud , accédez à la page Buckets de Cloud Storage.
Préparer la clé Cloud KMS
Transfer Appliance sécurise vos données sur le serveur en les chiffrant. Une clé publique Cloud KMS (Cloud Key Management Service) permet de chiffrer vos données sur Transfer Appliance, tandis qu'une clé privée est utilisée pour déchiffrer vos données.
Nous utilisons le compte de service de session évoqué dans la section Préparer les autorisations sur le bucket Cloud Storage pour importer les données de votre bucket Cloud Storage vers le serveur.
Vous disposez de l'option suivante pour gérer les clés de chiffrement :
- Créer et gérer vous-même les clés de chiffrement. Vous pouvez créer et gérer les clés de chiffrement utilisées pour votre transfert en suivant les instructions ci-dessous. Vous préparez une clé de déchiffrement asymétrique Cloud KMS et ajoutez-y le compte de service de session.
Pour préparer des clés Cloud KMS, procédez comme suit :
Si vous n'avez pas de trousseau de clés Cloud Key Management Service, procédez comme suit pour en créer un :
Google Cloud Console
Accédez à la page Clés cryptographiques dans la Google Cloud console.
Cliquez sur Créer un trousseau.
Dans le champ Key ring name (Nom du trousseau), saisissez le nom du trousseau de clés.
Dans la liste déroulante Key ring location (Emplacement du trousseau), sélectionnez un emplacement tel que
"us-east1".Cliquez sur Create (Créer).
Ligne de commande
gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID
Dans cet exemple :
LOCATION: emplacement Cloud Key Management Service du trousseau de clés Exemple :globalKEY_RING: nom du trousseau de clésPROJECT_ID: ID du projet dans lequel se trouve votre bucket de stockage Google Cloud
Créez une clé de déchiffrement asymétrique en procédant comme suit :
Google Cloud Console
Accédez à la page Clés cryptographiques dans la Google Cloud console.
Cliquez sur le nom du trousseau de clés pour lequel vous souhaitez créer une clé.
Cliquez sur Créer une clé.
Dans la section Quel type de clé souhaitez-vous créer ?, sélectionnez Clé générée.
Dans le champ Key name (Nom de la clé), saisissez le nom de votre clé.
Cliquez sur le menu déroulant Niveau de protection, puis sélectionnez Logiciel.
Cliquez sur le menu déroulant Objectif et sélectionnez Déchiffrement asymétrique.
Cliquez sur le menu déroulant Algorithme et sélectionnez RSA 4 096 bits - Remplissage OAEP - Condensé SHA256.
Cliquez sur Create (Créer).
Ligne de commande
Exécutez la commande suivante pour créer une clé de déchiffrement asymétrique :
gcloud kms keys create KEY --keyring=KEY_RING \ --location=LOCATION --purpose=asymmetric-encryption \ --default-algorithm=rsa-decrypt-oaep-4096-sha256 \ --project=PROJECT_ID
Dans cet exemple :
KEY: nom de la clé Cloud Key Management Service Exemple :ta-keyKEY_RING: nom du trousseau de clésLOCATION: emplacement Cloud Key Management Service du trousseau de clés Exemple :globalPROJECT_ID: ID du projet dans lequel se trouve votre bucket de stockage Google Cloud
Pour ajouter le compte de service de session en tant que compte principal à la clé asymétrique, procédez comme suit :
Google Cloud Console
Accédez à la page Clés cryptographiques dans Google Cloud la console.
Cliquez sur le trousseau contenant votre clé asymétrique.
Cochez la case correspondant à la clé souhaitée.
Dans le panneau d'informations, cliquez sur Ajouter un compte principal.
Ajouter des comptes principaux s'affiche.
Dans le champ Nouveaux comptes principaux, saisissez le compte de service de session fourni par l'équipe Transfer Appliance. En voici un exemple :
ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.comDans cet exemple,
SESSION_IDcorrespond à l'ID de session de ce transfert particulier.Dans le champ Sélectionner un rôle, ajoutez le rôle Lecteur de clé de chiffrement publique Cloud KMS.
Sélectionnez Ajouter un autre rôle , puis ajoutez le rôle Déchiffreur de clé de chiffrement Cloud KMS.
Cliquez sur Enregistrer.
Ligne de commande
Exécutez la commande suivante pour attribuer le rôle
roles/cloudkms.publicKeyViewerau compte de service de session :gcloud kms keys add-iam-policy-binding KEY \ --keyring=KEY_RING --location=LOCATION \ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/cloudkms.publicKeyViewer
Dans cet exemple :
KEY: nom de la clé Cloud Key Management Service Exemple :ta-keyKEY_RING: nom du trousseau de clésLOCATION: emplacement Cloud Key Management Service du trousseau de clés Exemple :globalSESSION_ID: ID de session pour ce transfert particulier.
Obtenez le chemin d'accès de votre clé asymétrique en procédant comme suit :
Google Cloud Console
Accédez à la page Clés cryptographiques dans la Google Cloud console.
Cliquez sur le trousseau contenant votre clé de déchiffrement asymétrique.
Cliquez sur le nom de la clé de déchiffrement asymétrique.
Sélectionnez la version de clé de votre choix, puis cliquez sur Plus more_vert.
Cliquez sur Copier le nom de la ressource.
Voici un exemple de format de clé :
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
Dans cet exemple :
PROJECT_ID: ID du projet dans lequel se trouve votre bucket de stockage Google CloudLOCATION: emplacement Cloud Key Management Service du trousseau de clésKEY_RING: nom du trousseau de clésKEY: nom de la clé Cloud Key Management ServiceVERSION_NUMBER: numéro de version de la clé
L'équipe Transfer Appliance a besoin du chemin d'accès complet de la clé, y compris du numéro de version, pour pouvoir appliquer la clé correcte à vos données.
Ligne de commande
Exécutez la commande suivante pour répertorier le chemin d'accès complet de votre clé asymétrique, y compris son numéro de version :
gcloud kms keys versions list --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
Dans cet exemple :
KEY_RING: nom de votre trousseau de clés.KEY: nom de votre clé asymétrique.LOCATION: emplacement du trousseau de clés. Google CloudPROJECT_ID: ID du projet dans lequel se trouve votre bucket de stockage. Google Cloud
L'exemple de réponse suivant ressemble au résultat renvoyé :
NAME STATE projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER ENABLED
Dans cet exemple :
PROJECT_ID: ID du projet dans lequel se trouve votre bucket de stockage Google CloudLOCATION: emplacement Cloud Key Management Service du trousseau de clésKEY_RING: nom du trousseau de clésKEY: nom de la clé Cloud Key Management ServiceVERSION_NUMBER: numéro de version de la clé
L'équipe Transfer Appliance a besoin de la chaîne sous
NAME, qui se termine par/cryptoKeyVersions/VERSION_NUMBER, oùVERSION_NUMBERest le numéro de version de votre clé.
Fournir à l'équipe Transfer Appliance les données de configuration du bucket Cloud Storage
Nous envoyons un e-mail intitulé Autorisations Google Transfer Appliance pour collecter des informations sur votre bucket Cloud Storage. Nous utilisons les informations que vous fournissez pour configurer le transfert de données entre Cloud Storage et Transfer Appliance.
Dans le formulaire accessible depuis cet e-mail, saisissez les informations suivantes :
- L'Google Cloud ID du projet.
- Sélectionnez une option de chiffrement :
- Clé de chiffrement gérée par le client : sélectionnez la clé de chiffrement dans le menu déroulant Sélectionner une clé de chiffrement gérée par le client.
- Le Google Cloud nom du bucket Cloud Storage utilisé pour ce transfert.
Étape suivante
Configurez les ports réseau IP pour que Transfer Appliance fonctionne sur votre réseau.