Se usó la API de Cloud Translation para traducir esta página.

Borrar acceso

Cuando terminemos de copiar los datos de todos los dispositivos, te recomendamos quitar el acceso que se les otorgó anteriormente a nuestras cuentas de servicio. Esto aplica el de privilegio mínimo para tus datos y ayuda a garantizar su seguridad.

En esta sección, se describe lo siguiente:

Revocar nuestras cuentas de servicio para que no accedan a tus buckets de Cloud Storage
Revocar nuestras cuentas de servicio para que no accedan a tus roles de Cloud KMS
Destruye la clave de Cloud KMS que se usa para encriptar tus datos en Transfer Appliance.

Espera hasta que copiemos todos tus datos a Cloud Storage antes de completar el pasos a continuación.

Una vez que se destruye la clave de Cloud KMS, Transfer Appliance no se puede recuperar. De manera similar, una vez que revocar las cuentas de servicio de los buckets de Cloud Storage y Cloud KMS, ya no se pueden copiar más datos del dispositivo a tu buckets de Cloud Storage.

Revoca el acceso a la clave de Cloud KMS de la cuenta de servicio

Revoca el acceso a la clave de Cloud KMS para Transfer Appliance de servicio garantiza que ya no podamos desencriptar Transfer Appliance en tu nombre.

Revocar el desencriptador de CryptoKey de Cloud KMS y Cloud KMS Visualizador de claves CryptoKey públicas de la cuenta de servicio, sigue estos pasos:

Consola de Google Cloud

Ve a la página Claves criptográficas de la Consola de Google Cloud

Ir a la página Claves criptográficas
Haz clic en el nombre del llavero de claves que contiene la clave que se usa en Prepara la clave de Cloud KMS.
Selecciona la casilla de verificación de la clave cuyo acceso quieras revocar. la cuenta de servicio.
Haz clic en Mostrar panel de información.

Aparecerá el panel de información.
Para revocar el rol Desencriptador de CryptoKey de Cloud KMS del cuenta de servicio, haz lo siguiente:
1. En la pestaña Permisos, expande Desencriptador de CryptoKey de Cloud KMS.
2. Ubica la cuenta de servicio. Se ve de la siguiente manera: ejemplo:
  
  service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com
  
  En este ejemplo, PEOJECT_ID es el ID del proyecto de Google Cloud en el que se encuentra tu clave.
3. Haz clic en . Borrar.
4. En la ventana para borrar, selecciona la cuenta de servicio y haz clic en Quitar.
Revocar el rol Visualizador de claves CryptoKey públicas de Cloud KMS de la cuenta de servicio, haz lo siguiente:
1. En la pestaña Permisos, expande Cloud KMS CryptoKey. Visualizador de claves públicas.
2. Busca la cuenta de servicio de la sesión. Se ve de la siguiente manera: ejemplo:
  
  service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com
  
  En este ejemplo, PEOJECT_ID es el ID del proyecto de Google Cloud en el que se encuentra tu clave.
3. Haz clic en . Borrar.
4. En la ventana para borrar, selecciona la casilla de verificación junto a la cuenta de servicio. y haz clic en Quitar.

Línea de comandos

Ejecuta el siguiente comando para revocar el El rol roles/cloudkms.cryptoKeyDecrypter del servicio de sesión cuenta:
```
gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyDecrypter
```
En este ejemplo:
- KEY: Es el nombre de la clave de Cloud Key Management Service. Por ejemplo, ta-key
- KEY_RING: Es el nombre del llavero de claves.
- LOCATION: Es la ubicación de Cloud Key Management Service para el el llavero de claves. Por ejemplo, global
- PROJECT_ID: Es el ID del proyecto de Google Cloud que en la que se encuentra tu clave.
Ejecuta el siguiente comando para revocar el roles/cloudkms.publicKeyViewer de la cuenta de servicio de la sesión:
```
gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.publicKeyViewer
```
En este ejemplo:
- KEY: Es el nombre de la clave de Cloud Key Management Service. Por ejemplo, ta-key
- KEY_RING: Es el nombre del llavero de claves.
- LOCATION: Es la ubicación de Cloud Key Management Service para el el llavero de claves. Por ejemplo, global
- PROJECT_ID: Es el ID del proyecto de Google Cloud que en la que se encuentra tu clave.

Revoca el acceso al bucket de Cloud Storage para las cuentas de servicio

Revocar el acceso al bucket de Cloud Storage para de las cuentas de servicio de Transfer Appliance a usar los recursos de Cloud Storage por ti.

Revocar el acceso al bucket de Cloud Storage para el Para las cuentas de servicio de Transfer Appliance, haz lo siguiente:

Consola de Google Cloud

En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.
Ir a Buckets
Ubica el bucket de Cloud Storage al que se copiaron tus datos y selecciona la casilla de verificación junto al nombre del bucket.
Haz clic en Mostrar panel de información.

Aparecerá el panel de información.
En la pestaña Permisos, expande Rol de administrador de almacenamiento.
Ubica las cuentas de servicio asociadas. Habrá entre 2 y 4 cuentas. según tu configuración. Las cuentas de servicio se describen en Referencia rápida de cuentas de servicio.

Para cada cuenta de servicio:
1. Haz clic en . Borrar.
2. Para confirmar la eliminación, selecciona la casilla de verificación junto al servicio y haz clic en Quitar.

Línea de comandos

Usa el comando gcloud storage buckets remove-iam-policy-binding:

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
--role=roles/storage.admin

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:project-IDENTIFIER@storage-transfer-service.gserviceaccount.com \
--role=roles/storage.admin

Es posible que tengas cuentas de servicio adicionales, según tu configuración. Consulta las Referencia rápida de cuentas de servicio para conocer los detalles.

En este ejemplo:

SESSION_ID: Es el ID de sesión de esta transferencia en particular.
IDENTIFIER: un número generado específico para este proyecto en particular.
BUCKET_NAME: Es el nombre de tu Cloud Storage. bucket.

Destruye la clave de Cloud KMS

Destruir la clave de Cloud KMS garantiza que cualquier dato previamente encriptado por la clave ya no pueden ser desencriptados por nadie.

Para obtener más información sobre cómo destruir claves, consulta Destruye y restablece claves. versiones.

Para destruir la clave de Cloud KMS, haz lo siguiente:

Consola de Google Cloud

Ve a la página Claves criptográficas de la Consola de Google Cloud

Ir a la página Claves criptográficas
Haz clic en el nombre del llavero de claves que se usa para Prepara la clave de Cloud KMS.
Ubica la fila que contiene la clave que deseas destruir.
Seleccionar Más > Destruir.

Aparecerá un diálogo de confirmación.
En el diálogo de confirmación, haz clic en Programar destrucción.

Línea de comandos

Usa el comando gcloud kms keys version destroy:

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

En este ejemplo:

VERSION_NUMBER: El número de versión de la clave.
KEY_RING: Es el nombre del llavero de claves.
KEY: Es el nombre de la clave asimétrica.
LOCATION: La ubicación de Google Cloud de la clave de Google.
PROJECT_ID: Es el ID del proyecto de Google Cloud que en la que se encuentra tu clave.