Mengonfigurasi izin Google Cloud dan Cloud Storage untuk ekspor data dari Cloud Storage ke appliance langkah demi langkah

Dokumen ini menjelaskan cara mengonfigurasi Google Cloud izin dan Cloud Storage langkah demi langkah, termasuk:

  • Menyiapkan bucket Cloud Storage.
  • Menyiapkan kunci Cloud Key Management Service untuk mengamankan data Anda.
  • Memberikan data konfigurasi bucket Cloud Storage Anda kepada Tim Transfer Appliance.

Sebelum memulai

Pastikan Anda telah menerima email dari Tim Transfer Appliance dengan judul Google Transfer Appliance Permissions. Email ini berisi:

  • Nama akun layanan yang diperlukan untuk transfer Anda.

  • ID sesi yang akan Anda perlukan untuk mengonfigurasi appliance.

  • Formulir yang akan Anda isi setelah mengonfigurasi akun.

Menyiapkan izin di bucket Cloud Storage

Kami menggunakan dua akun layanan untuk mentransfer data Anda. Akun layanan adalah akun khusus yang digunakan oleh aplikasi, bukan orang, untuk melakukan pekerjaan. Dalam hal ini, akun layanan memungkinkan Transfer Appliance menggunakan resource Cloud Storage atas nama Anda untuk mentransfer data antara Cloud Storage dan appliance. Anda memberikan peran yang diperlukan kepada akun ini untuk mentransfer data.

Untuk menyiapkan bucket Cloud Storage, ikuti langkah-langkah berikut:

  1. Dalam email berjudul Google Transfer Appliance Permissions, Tim Transfer Appliance akan memberikan akun layanan berikut kepada Anda:

    Catat akun layanan untuk langkah berikutnya.

    Akun layanan memungkinkan Transfer Appliance memanipulasi Google Cloud resource atas nama Anda, yaitu untuk mentransfer data antara Cloud Storage dan appliance. Anda memberikan peran yang diperlukan kepada akun ini untuk mentransfer data antara Cloud Storage dan appliance.

  2. Bucket Cloud Storage terikat dengan Google Cloud project. Bucket yang Anda pilih harus berada dalam project yang sama dengan yang digunakan untuk memesan appliance.

  3. Untuk memberikan izin kepada akun layanan Transfer Appliance agar dapat menggunakan bucket Cloud Storage Anda, lakukan hal berikut:

    Google Cloud Konsol

    1. Di Google Cloud konsol, buka halaman Buckets Cloud Storage.

      Buka Buckets

    2. Klik menu Bucket overflow () yang terkait dengan bucket yang Anda berikan peran utama.

    3. Pilih Edit bucket permissions.

    4. Klik tombol + Add principals.

    5. Di kolom New principals, masukkan identitas berikut:

      • Akun layanan sesi. Akun ini terlihat seperti contoh berikut:

        ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

        Dalam contoh ini, SESSION_ID adalah ID sesi untuk transfer tertentu ini.

      • Agen layanan Transfer Service untuk data lokal. Agen layanan ini terlihat mirip dengan contoh berikut:

        project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

        Dalam contoh ini, TENANT_IDENTIFIER adalah angka yang dibuat khusus untuk project tertentu ini.

    6. Dari menu drop-down Select a role, pilih peran Storage Admin.

      Peran yang Anda pilih akan muncul di panel dengan deskripsi singkat tentang izin yang diberikan.

    7. Klik Save.

    Command line

    Gunakan perintah gcloud storage buckets add-iam-policy-binding:

    gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
--role=roles/storage.admin
     
    gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
--member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \
--role=roles/storage.admin

    Dalam contoh ini:

    • BUCKET_NAME: Nama bucket yang Anda buat.
    • SESSION_ID: ID sesi untuk transfer tertentu ini.
    • TENANT_IDENTIFIER: Angka yang dibuat khusus untuk project tertentu ini.

Menyiapkan kunci Cloud KMS

Transfer Appliance mengamankan data Anda di appliance dengan mengenkripsi data. Kunci publik Cloud Key Management Service (Cloud KMS) digunakanuntuk mengenkripsi data Anda di Transfer Appliance, dan kunci pribadi digunakan untuk mendekripsi data Anda.

Kami menggunakan akun layanan sesi dari Menyiapkan izin di bucket Cloud Storage untuk mengupload data dari bucket Cloud Storage Anda ke appliance.

Anda memiliki opsi berikut untuk mengelola kunci enkripsi:

  • Membuat dan mengelola kunci enkripsi sendiri. Anda membuat dan mengelola kunci enkripsi yang digunakan untuk transfer Anda, dengan mengikuti petunjuk di bawah. Anda menyiapkan kunci dekripsi asimetris Cloud KMS dan menambahkan akun layanan sesi ke kunci tersebut.

Untuk menyiapkan kunci Cloud KMS, lakukan hal berikut:

  1. Jika Anda tidak memiliki key ring Cloud Key Management Service, lakukan hal berikut untuk membuatnya:

    Google Cloud Konsol

    1. Buka halaman Cryptographic Keys di Google Cloud konsol.

      Buka halaman Cryptographic Keys

    2. Klik Create key ring.

    3. Di kolom Key ring name, masukkan nama yang diinginkan untuk key ring Anda.

    4. Dari dropdown Key ring location, pilih lokasi seperti "us-east1".

    5. Klik Create.

    Command line

    gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID

    Dalam contoh ini:

    • LOCATION: Lokasi Cloud Key Management Service untuk key ring. Misalnya, global.
    • KEY_RING: Nama key ring.
    • PROJECT_ID: IDproject yang digunakan untuk bucket penyimpanan Anda. Google Cloud

  2. Buat kunci dekripsi asimetris dengan melakukan hal berikut:

    Google Cloud Konsol

    1. Buka halaman Cryptographic Keys di Google Cloud konsol.

      Buka halaman Cryptographic Keys

    2. Klik nama key ring yang ingin Anda buat kuncinya.

    3. Klik Create key.

    4. Di bagian What type of key do you want to create?, pilih Generated key.

    5. Di kolom Key name, masukkan nama untuk kunci Anda.

    6. Klik dropdown Protection level , lalu pilih Software.

    7. Klik dropdown Purpose , lalu pilih Asymmetric decrypt.

    8. Klik dropdown Algorithm , lalu pilih 4096-bit RSA - OAEP Padding - SHA256 Digest

    9. Klik Create.

    Command line

    Jalankan perintah berikut untuk membuat kunci dekripsi asimetris:

    gcloud kms keys create KEY --keyring=KEY_RING \
--location=LOCATION --purpose=asymmetric-encryption \
--default-algorithm=rsa-decrypt-oaep-4096-sha256 \
--project=PROJECT_ID

    Dalam contoh ini:

    • KEY: Nama kunci Cloud Key Management Service. Misalnya, ta-key.
    • KEY_RING: Nama key ring.
    • LOCATION: Lokasi Cloud Key Management Service untuk key ring. Misalnya, global.
    • PROJECT_ID: IDproject yang digunakan untuk bucket penyimpanan Anda. Google Cloud

  3. Tambahkan akun layanan sesi sebagai akun utama ke kunci asimetris dengan melakukan hal berikut:

    Google Cloud Konsol

    1. Buka halaman Cryptographic Keys di Google Cloud konsol.

      Buka halaman Cryptographic Keys

    2. Klik key ring yang berisi kunci asimetris Anda.

    3. Centang kotak untuk kunci asimetris.

    4. Di panel Info, klik Add principal.

      Add principals akan ditampilkan.

    5. Di kolom New principals, masukkan akun layanan sesi yang diberikan oleh Tim Transfer Appliance. Akun ini terlihat seperti contoh berikut:

      ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      Dalam contoh ini, SESSION_ID adalah ID sesi untuk transfer tertentu ini.

    6. Di kolom Select a role, tambahkan peran Cloud KMS CryptoKey Public Key Viewer.

    7. Pilih Add another role , lalu tambahkan peran Cloud KMS CryptoKey Decrypter.

    8. Klik Save.

    Command line

    1. Jalankan perintah berikut untuk memberikan peran roles/cloudkms.publicKeyViewer kepada akun layanan sesi:

      gcloud kms keys add-iam-policy-binding KEY \
--keyring=KEY_RING --location=LOCATION \
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
--role=roles/cloudkms.publicKeyViewer

      Dalam contoh ini:

      • KEY: Nama kunci Cloud Key Management Service. Misalnya, ta-key.
      • KEY_RING: Nama key ring.
      • LOCATION: Lokasi Cloud Key Management Service untuk key ring. Misalnya, global.
      • SESSION_ID: ID sesi untuk transfer tertentu ini.

  4. Dapatkan jalur kunci asimetris Anda dengan melakukan hal berikut:

    Google Cloud Konsol

    1. Buka halaman Cryptographic Keys di Google Cloud konsol.

      Buka halaman Cryptographic Keys

    2. Klik key ring yang berisi kunci dekripsi asimetris Anda.

    3. Klik nama kunci dekripsi asimetris.

    4. Pilih versi kunci yang Anda inginkan, lalu klik Lainnya .

    5. Klik Salin Nama Resource.

      Contoh format kunci adalah:

      projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER

      Dalam contoh ini:

      • PROJECT_ID: IDproject yang digunakan untuk bucket penyimpanan Anda. Google Cloud
      • LOCATION: Lokasi Cloud Key Management Service untuk key ring.
      • KEY_RING: Nama key ring.
      • KEY: Nama kunci Cloud Key Management Service.
      • VERSION_NUMBER: Nomor versi kunci.

      Tim Transfer Appliance memerlukan seluruh jalur kunci, termasuk nomor versi, sehingga mereka dapat menerapkan kunci yang benar ke data Anda.

    Command line

    Jalankan perintah berikut untuk mencantumkan jalur lengkap kunci asimetris Anda, termasuk nomor versinya:

    gcloud kms keys versions list --keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

    Dalam contoh ini:

    • KEY_RING: Nama key ring Anda.
    • KEY: Nama kunci asimetris Anda.
    • LOCATION: Lokasi key ring. Google Cloud
    • PROJECT_ID: IDproject yang digunakan untuk bucket penyimpanan Anda. Google Cloud

    Contoh respons berikut menyerupai output yang ditampilkan:

    NAME STATE
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
ENABLED

    Dalam contoh ini:

    • PROJECT_ID: IDproject yang digunakan untuk bucket penyimpanan Anda. Google Cloud
    • LOCATION: Lokasi Cloud Key Management Service untuk key ring.
    • KEY_RING: Nama key ring.
    • KEY: Nama kunci Cloud Key Management Service.
    • VERSION_NUMBER: Nomor versi kunci.

    Tim Transfer Appliance memerlukan string di bagian NAME yang diakhiri dengan /cryptoKeyVersions/VERSION_NUMBER, dengan VERSION_NUMBER adalah nomor versi kunci Anda.

Memberikan data konfigurasi bucket kepada Tim Transfer Appliance

Kami mengirimkan email berjudul Google Transfer Appliance Permissions untuk mengumpulkan informasi tentang bucket Cloud Storage Anda. Kami menggunakan informasi yang Anda berikan untuk mengonfigurasi data transfer antara Cloud Storage dan Transfer Appliance.

Di formulir yang ditautkan dari email tersebut, masukkan informasi berikut:

  • Google Cloud ID project.
  • Pilih opsi untuk Encryption:
    • Customer-managed encryption key, pilih kunci enkripsi dari Select a customer-managed encryption-key menu drop-down.
  • **Nama bucket Cloud Storage** yang digunakan untuk transfer ini.Google Cloud

Apa langkah selanjutnya?

Konfigurasi port jaringan IP agar Transfer Appliance dapat berfungsi di jaringan Anda.