Una vez que hayamos terminado de copiar tus datos de todos los dispositivos, te recomendamos que elimines el acceso que habías concedido a nuestras cuentas de servicio. De esta forma, se aplica la práctica del principio de privilegio mínimo a tus datos y se ayuda a garantizar su seguridad.
En esta sección se describe lo siguiente:
- Revocar el acceso de nuestras cuentas de servicio a tus segmentos de Cloud Storage.
- Revocar el acceso de nuestras cuentas de servicio a tus roles de Cloud KMS.
- Destruir la clave de Cloud KMS que se ha usado para cifrar tus datos en Transfer Appliance.
Espera a que copiemos todos tus datos en Cloud Storage antes de completar los pasos que se indican a continuación.
Una vez que se destruye la clave de Cloud KMS, no se pueden recuperar los datos cifrados de Transfer Appliance. Del mismo modo, una vez que revoques las cuentas de servicio de los segmentos de Cloud Storage y la clave de Cloud KMS, no se podrán copiar más datos del dispositivo a tus segmentos de Cloud Storage.
Revocar el acceso a la clave de Cloud KMS de la cuenta de servicio
Si revocas el acceso a la clave de Cloud KMS de la cuenta de servicio de Transfer Appliance, ya no podremos desencriptar los datos de Transfer Appliance en tu nombre.
Para revocar los roles Encargado de desencriptar claves de CryptoKey de Cloud KMS y Lector de claves públicas de CryptoKey de Cloud KMS de la cuenta de servicio, sigue estos pasos:
Google Cloud Consola
Ve a la página Claves criptográficas de la consola deGoogle Cloud .
Haga clic en el nombre del conjunto de claves que contiene la clave usada en Preparar la clave de Cloud KMS.
Marca la casilla de la clave cuyo acceso quieras revocar de la cuenta de servicio.
Haz clic en Mostrar panel de información.
Se muestra el panel de información.
Para revocar el rol Encargado de desencriptar claves de CryptoKey de Cloud KMS de la cuenta de servicio, haz lo siguiente:
En la pestaña Permisos, despliega Encargado de desencriptar CryptoKey de Cloud KMS.
Busca la cuenta de servicio. Tiene el siguiente aspecto:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.comEn este ejemplo,
PEOJECT_IDes el ID del proyecto en el que se encuentra tu clave.Google CloudHaz clic en Eliminar.
En la ventana de eliminación, selecciona la cuenta de servicio y haz clic en Quitar.
Para revocar el rol Lector de claves públicas de CryptoKey de Cloud KMS de la cuenta de servicio, haz lo siguiente:
En la pestaña Permisos, despliega el rol Lector de claves públicas de CryptoKey de Cloud KMS.
Busca la cuenta de servicio de la sesión. Tiene el siguiente aspecto:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.comEn este ejemplo,
PEOJECT_IDes el ID del proyecto en el que se encuentra tu clave.Google CloudHaz clic en Eliminar.
En la ventana de eliminación, selecciona la casilla situada junto a la cuenta de servicio y haz clic en Quitar.
Línea de comandos
Ejecuta el siguiente comando para revocar el rol roles/cloudkms.cryptoKeyDecrypter de la cuenta de servicio de la sesión:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyDecrypter
En este ejemplo:
KEY: nombre de la clave de Cloud Key Management Service. Por ejemplo,ta-key.KEY_RING: el nombre del conjunto de claves.LOCATION: la ubicación de Cloud Key Management Service del conjunto de claves. Por ejemplo,global.PROJECT_ID: el Google Cloud ID de proyecto al que pertenece tu clave.
Ejecuta el siguiente comando para revocar el rol roles/cloudkms.publicKeyViewer de la cuenta de servicio de sesión:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.publicKeyViewer
En este ejemplo:
KEY: nombre de la clave de Cloud Key Management Service. Por ejemplo,ta-key.KEY_RING: el nombre del conjunto de claves.LOCATION: la ubicación de Cloud Key Management Service del conjunto de claves. Por ejemplo,global.PROJECT_ID: el Google Cloud ID de proyecto al que pertenece tu clave.
Revocar el acceso al segmento de Cloud Storage de las cuentas de servicio
Al revocar el acceso a los segmentos de Cloud Storage de las cuentas de servicio de Transfer Appliance, nos aseguramos de que ya no podamos usar los recursos de Cloud Storage en tu nombre.
Para revocar el acceso al segmento de Cloud Storage de las cuentas de servicio de Transfer Appliance, haz lo siguiente:
Google Cloud Consola
- En la Google Cloud consola, ve a la página Segmentos de Cloud Storage.
Busca el segmento de Cloud Storage en el que se han copiado tus datos y marca la casilla situada junto al nombre del segmento.
Haz clic en Mostrar panel de información.
Se muestra el panel de información.
En la pestaña Permisos, despliega Rol de administrador de almacenamiento.
Busca las cuentas de servicio asociadas. Habrá entre 2 y 4 cuentas, según tu configuración. Las cuentas de servicio se describen en la guía de referencia rápida de cuentas de servicio.
Para cada cuenta de servicio:
Haz clic en Eliminar.
Para confirmar la eliminación, selecciona la casilla situada junto a la cuenta de servicio y haz clic en Quitar.
Línea de comandos
Usa el comando gcloud storage buckets remove-iam-policy-binding:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
Es posible que tengas más cuentas de servicio, en función de tu configuración. Consulta los detalles en la guía de referencia rápida de cuentas de servicio.
En este ejemplo:
SESSION_ID: el ID de sesión de esta transferencia concreta.IDENTIFIER: número generado específico de este proyecto.BUCKET_NAME: nombre de tu segmento de Cloud Storage.
Destruir la clave de Cloud KMS
Si destruye la clave de Cloud KMS, se asegura de que nadie pueda desencriptar los datos que se hayan encriptado con ella.
Para obtener más información sobre cómo destruir claves, consulta el artículo Destruir y restaurar versiones de clave.
Para destruir la clave de Cloud KMS, haz lo siguiente:
Google Cloud Consola
Ve a la página Claves criptográficas de la consola deGoogle Cloud .
Haz clic en el nombre del conjunto de claves que has usado para preparar la clave de Cloud KMS.
Busca la fila que contiene la clave que vas a destruir.
Selecciona Más > Destruir.
Aparecerá un cuadro de diálogo de confirmación.
En el cuadro de diálogo de confirmación, haz clic en Programar destrucción.
Línea de comandos
Usa el comando gcloud kms keys version destroy:
gcloud kms keys versions destroy VERSION_NUMBER --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
En este ejemplo:
VERSION_NUMBER: número de versión de la clave.KEY_RING: el nombre del conjunto de claves.KEY: el nombre de tu clave asimétrica.LOCATION: la Google Cloud ubicación del conjunto de claves.PROJECT_ID: el Google Cloud ID de proyecto al que pertenece tu clave.