Cloud Storage からアプライアンスへのデータ エクスポート用に Google Cloud の権限と Cloud Storage をステップ バイ ステップで構成する

このドキュメントでは、 Google Cloud 権限と Cloud Storage をステップごとに構成する方法について説明します。内容は次のとおりです。

  • Cloud Storage バケットを準備する。
  • データを保護するための Cloud Key Management Service 鍵を準備する。
  • Transfer Appliance チームに Cloud Storage バケットの構成データを提供する。

準備

Transfer Appliance チームからのメールが「 Google Transfer Appliance の権限 」という名であることを確認します。このメールの内容は 次のとおりです。

  • 転送に必要なサービス アカウントの名前。

  • アプライアンスの構成に必要なセッション ID。

  • アカウントの構成が完了したら入力するフォーム。

Cloud Storage バケットの権限を準備する

データの転送には 2 つの サービス アカウント を使用します。サービス アカウントは、人ではなく、作業を行うためにアプリケーションで使用される特別なアカウントです。このガイドでは、サービス アカウントを使用することで、Transfer Appliance が Cloud Storage リソースを使用して、Cloud Storage とアプライアンスの間でデータを転送します。 これらのアカウントに、データの転送に必要なロールを付与します。

Cloud Storage バケットを準備するには、次の手順に従います。

  1. Google Transfer Appliance の権限」というタイトルのメールで、Transfer Appliance チームにより次のサービス アカウントが用意されます。

    • この転送に紐付けられたセッション サービス アカウント。次のような形式です。

      ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      この例で、SESSION_ID は、この転送に固有のセッション ID です。

    • Transfer Service for On Premises Data サービスに紐付けられたサービス エージェント。これは Cloud Storage とアプライアンスの間でデータを転送するために使用します。次の例のような形式です。

      project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

      この例で、TENANT_IDENTIFIER は、この特定のプロジェクトに固有の生成された番号です。

    次の手順で使用するため、上記サービス アカウントをメモします。

    サービス アカウントを使用すると、Transfer Appliance で Google Cloud ユーザーに代わってリソースを操作し、Cloud Storage とアプライアンスの間でデータを転送できます。 これらのアカウントに、Cloud Storage とアプライアンスの間でデータを転送するために必要なロールを付与します。

  2. Cloud Storage バケットは Google Cloud プロジェクトに紐付けられています。選択するバケットは、アプライアンスの注文に使用したプロジェクトと同じプロジェクトに存在する必要があります。

  3. Transfer Appliance サービス アカウントに Cloud Storage バケットを使用する権限を付与するには、次の操作を行います。

    Google Cloud コンソール

    1. Google Cloud コンソールで Cloud Storage の [バケット] ページに移動します。

      [バケット] に移動

    2. プリンシパルにロールが付与されるバケットに関連付けられた [バケット オーバーフロー] メニュー()をクリックします。

    3. [バケットの権限を編集] を選択します。

    4. [+ プロジェクトを追加] ボタンをクリックします。

    5. [新しいプリンシパル] フィールドに、次の ID を入力します。

      • セッションのサービス アカウント。次のような形式です。

        ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

        この例で、SESSION_ID は、この転送に固有のセッション ID です。

      • Transfer Service for On Premises Data サービス エージェント。次の例のような形式です。

        project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com

        この例で、TENANT_IDENTIFIER は、この特定のプロジェクトに固有の生成された番号です。

    6. [ロールを選択] プルダウン メニューから [ストレージ管理者] ロールを選択します。

      選択したロールと付与する権限の簡単な説明がパネルに表示されます。

    7. [保存] をクリックします。

    コマンドライン

    gcloud storage buckets add-iam-policy-binding コマンドを次のように使用します。

    gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
--role=roles/storage.admin
     
    gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
--member=serviceAccount:project-TENANT_IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \
--role=roles/storage.admin

    この例では、次のようになります。

    • BUCKET_NAME: 作成するバケットの名前。
    • SESSION_ID: この転送に固有のセッション ID。
    • TENANT_IDENTIFIER: この特定のプロジェクトに固有の生成された番号。

Cloud KMS 鍵の準備

Transfer Appliance では、データを暗号化してアプライアンス上のデータを保護します。Transfer Appliance では、データの暗号化に Cloud Key Management Service(Cloud KMS)の公開を使用し、データの復号に秘密鍵を使用します。

Cloud Storage バケットの権限の準備のセッション サービス アカウントを使用して、Cloud Storage バケットからアプライアンスにデータをアップロードします。

暗号鍵の管理には、次のオプションがあります。

  • 暗号鍵を自分で作成して管理します。転送に使用する暗号鍵を作成して管理するには、次の手順を行います。 Cloud KMS 非対称復号鍵を準備し、セッション サービス アカウントを鍵に追加します。

Cloud KMS 鍵を準備するには、次の操作を行います。

  1. Cloud Key Management Service キーリングがない場合は、次の手順で作成します。

    Google Cloud コンソール

    1. [暗号鍵] ページに移動します。 Google Cloud

      [暗号鍵] ページに移動

    2. [キーリングを作成] をクリックします。

    3. [キーリングの名前] フィールドに、キーリングの名前を入力します。

    4. [鍵リングの場所] プルダウンから、"us-east1" などの場所を選択します。

    5. [作成] をクリックします。

    コマンドライン

    gcloud kms keyrings create KEY_RING --location=LOCATION --project=PROJECT_ID

    この例では、

    • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
    • KEY_RING: キーリングの名前。
    • PROJECT_ID: ストレージ バケットが存在する Google Cloud プロジェクト ID 。

  2. 次の操作を行って、非対称復号鍵を作成します。

    Google Cloud コンソール

    1. [暗号鍵] ページに移動します。 Google Cloud

      [暗号鍵] ページに移動

    2. 鍵を作成するキーリングの名前をクリックします。

    3. [鍵を作成] をクリックします。

    4. [作成する鍵の種類] で [生成された鍵] を選択します。

    5. [鍵名] フィールドに、鍵の名前を入力します。

    6. [保護レベル] プルダウンをクリックし、[ソフトウェア] を選択します。

    7. [目的] プルダウンをクリックし、[非対称復号] を選択します。

    8. [アルゴリズム] プルダウンをクリックし、[4096 ビット RSA - OAEP パディング - SHA256 ダイジェスト] を選択します。

    9. [作成] をクリックします。

    コマンドライン

    次のコマンドを実行して、非対称復号鍵を作成します。

    gcloud kms keys create KEY --keyring=KEY_RING \
--location=LOCATION --purpose=asymmetric-encryption \
--default-algorithm=rsa-decrypt-oaep-4096-sha256 \
--project=PROJECT_ID

    この例では、

    • KEY: Cloud Key Management Service 鍵の名前。例: ta-key
    • KEY_RING: キーリングの名前。
    • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
    • PROJECT_ID: ストレージ バケットが存在する Google Cloud プロジェクト ID 。

  3. 次の手順に従い、セッション サービス アカウントをプリンシパルとして非対称鍵に追加します。

    Google Cloud コンソール

    1. コンソールで [**暗号鍵**] ページに移動します。 Google Cloud

      [暗号鍵] ページに移動

    2. 非対称鍵を含むキーリングをクリックします。

    3. 使用する鍵のチェックボックスをオンにします。

    4. 情報パネルで [プリンシパルを追加] をクリックします。

      [プリンシパルを追加] が表示されます。

    5. [新しいプリンシパル] フィールドに、Transfer Appliance チームから提供されたセッション サービス アカウントを入力します。次のような形式です。

      ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      この例で、SESSION_ID は、この転送に固有のセッション ID です。

    6. [ロールを選択] フィールドに、[Cloud KMS 暗号鍵の公開鍵閲覧者] ロールを追加します。

    7. [別のロールを追加] を選択し、[Cloud KMS 暗号鍵の復号化] ロールを追加します。

    8. [保存] をクリックします。

    コマンドライン

    1. 次のコマンドを実行して、セッション サービス アカウントに roles/cloudkms.publicKeyViewer ロールを付与します。

      gcloud kms keys add-iam-policy-binding KEY \
--keyring=KEY_RING --location=LOCATION \
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
--role=roles/cloudkms.publicKeyViewer

      この例では、次のようになります。

      • KEY: Cloud Key Management Service 鍵の名前。例: ta-key
      • KEY_RING: キーリングの名前。
      • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
      • SESSION_ID: この転送に固有のセッション ID。

  4. 次の手順を実行して、非対称鍵のパスを取得します。

    Google Cloud コンソール

    1. コンソールで [暗号鍵] ページに移動します。 Google Cloud

      [暗号鍵] ページに移動

    2. 非対称復号鍵を含むキーリングをクリックします。

    3. 非対称復号鍵の名前をクリックします。

    4. 目的の鍵バージョンを選択して、その他アイコン()をクリックします。

    5. [リソース名をコピーする] をクリックします。

      鍵の形式の例は次のとおりです。

      projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER

      この例では、次のようになります。

      • PROJECT_ID: ストレージ バケットが存在する Google Cloud プロジェクト ID 。
      • LOCATION: キーリングの Cloud Key Management Service のロケーション。
      • KEY_RING: キーリングの名前。
      • KEY: Cloud Key Management Service 鍵の名前。
      • VERSION_NUMBER: 鍵のバージョン番号。

      Transfer Appliance チームは、バージョン番号を含む鍵パス全体を必要とします。これにより、データに正しい鍵を適用できます。

    コマンドライン

    次のコマンドを実行して、非対称鍵のフルパス(バージョン番号を含む)を一覧表示します。

    gcloud kms keys versions list --keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

    この例では、

    • KEY_RING: キーリングの名前。
    • KEY: 非対称鍵の名前。
    • LOCATION: キーリングのロケーション。 Google Cloud
    • PROJECT_ID: ストレージ バケットが存在する Google Cloud プロジェクト ID 。

    次のレスポンスのサンプルは、返される出力に似ています。

    NAME STATE
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/VERSION_NUMBER
ENABLED

    この例では、次のようになります。

    • PROJECT_ID: ストレージ バケットが存在する Google Cloud プロジェクト ID 。
    • LOCATION: キーリングの Cloud Key Management Service のロケーション。
    • KEY_RING: キーリングの名前。
    • KEY: Cloud Key Management Service 鍵の名前。
    • VERSION_NUMBER: 鍵のバージョン番号。

    Transfer Appliance チームでは、NAME の下にある /cryptoKeyVersions/VERSION_NUMBER で終わる文字列が必要です(VERSION_NUMBER は鍵のバージョン番号)。

Transfer Appliance チームにバケット構成データを提供する

Cloud Storage バケットに関する情報を収集するため、「 Google Transfer Appliance の権限 」というタイトルのメールを送信します。提供された情報を使用して、Cloud Storage と Transfer Appliance 間の転送データを構成します。

そのメールにリンクされているフォームに、次の情報を入力します。

  • Google Cloud プロジェクト ID
  • [Encryption] で選択します。
    • [**顧客管理の暗号鍵**] を選択し、 [**顧客管理の暗号鍵を選択**] プルダウン メニューから暗号鍵を選択します。
  • この転送に使用するGoogle Cloud Cloud Storage バケット名

次のステップ

IP ネットワーク ポートを構成して、 ネットワーク上で Transfer Appliance が動作するようにします。