Cómo limpiar el acceso

Después de que terminemos de copiar tus datos de todos los dispositivos, te recomendamos que quites el acceso otorgado anteriormente a nuestras cuentas de servicio. Esto aplica la práctica de privilegio mínimo a tus datos y ayuda a garantizar su seguridad.

En esta sección, se describe lo siguiente:

  • Revocar el acceso de nuestras cuentas de servicio a tus buckets de Cloud Storage
  • Revoca el acceso de nuestras cuentas de servicio a tus roles de Cloud KMS.
  • Destruir la clave de Cloud KMS que se usa para encriptar tus datos en Transfer Appliance

Espera a que copiemos todos tus datos en Cloud Storage antes de completar los pasos que se indican a continuación.

Una vez que se destruye la clave de Cloud KMS, no se pueden recuperar los datos encriptados en Transfer Appliance. Del mismo modo, una vez que revokes las cuentas de servicio de los buckets de Cloud Storage y la clave de Cloud KMS, no se podrán copiar más datos del dispositivo a tus buckets de Cloud Storage.

Cómo revocar el acceso a la clave de Cloud KMS de la cuenta de servicio

Si revocas el acceso a la clave de Cloud KMS de la cuenta de servicio de Transfer Appliance, nos aseguramos de que ya no podamos desencriptar los datos de Transfer Appliance en tu nombre.

Para revocar los roles de desencriptador de CryptoKey de Cloud KMS y de Visualizador de claves públicas de CryptoKey de Cloud KMS de la cuenta de servicio, sigue estos pasos:

  1. Ve a la página Claves criptográficas en la consola de Google Cloud.

    Ir a la página Claves criptográficas

  2. Haz clic en el nombre del llavero de claves que contiene la clave que se usó en Prepara la clave de Cloud KMS.

  3. Selecciona la casilla de verificación de la clave cuyo acceso revocarás de la cuenta de servicio.

  4. Haz clic en Mostrar panel de información.

    Se mostrará el panel de información.

  5. Para revocar el rol de Desencriptador de CryptoKey de Cloud KMS de la cuenta de servicio, haz lo siguiente:

    1. En la pestaña Permisos, expande Desencriptador de CryptoKeys de Cloud KMS.

    2. Ubica la cuenta de servicio. Se ve como el siguiente ejemplo:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      En este ejemplo, PEOJECT_ID es el Google Cloud ID del proyecto en el que se encuentra tu clave.

    3. Haz clic en Borrar.

    4. En la ventana de eliminación, selecciona la cuenta de servicio y haz clic en Quitar.

  6. Para revocar el rol de Visualizador de claves CryptoKey públicas de Cloud KMS de la cuenta de servicio, haz lo siguiente:

    1. En la pestaña Permisos, expande el rol de Visualizador de claves públicas de CryptoKey de Cloud KMS.

    2. Busca la cuenta de servicio de la sesión. Se ve como el siguiente ejemplo:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      En este ejemplo, PEOJECT_ID es el ID del proyectoGoogle Cloud en el que se encuentra tu clave.

    3. Haz clic en Borrar.

    4. En la ventana de eliminación, selecciona la casilla de verificación junto a la cuenta de servicio y haz clic en Quitar.

  1. Ejecuta el siguiente comando para revocar el rol roles/cloudkms.cryptoKeyDecrypter de la cuenta de servicio de sesión:

    gcloud kms keys remove-iam-policy-binding KEY \
      --keyring KEY_RING \
      --location LOCATION \
      --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
      --role roles/cloudkms.cryptoKeyDecrypter
    

    En este ejemplo:

    • KEY: Es el nombre de la clave de Cloud Key Management Service. Por ejemplo, ta-key
    • KEY_RING: Es el nombre del llavero de claves.
    • LOCATION: Es la ubicación de Cloud Key Management Service para el llavero de claves. Por ejemplo, global
    • PROJECT_ID: Es el Google Cloud ID del proyecto al que pertenece tu clave.
  2. Ejecuta el siguiente comando para revocar el rol roles/cloudkms.publicKeyViewer de la cuenta de servicio de la sesión:

    gcloud kms keys remove-iam-policy-binding KEY \
      --keyring KEY_RING \
      --location LOCATION \
      --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
      --role roles/cloudkms.publicKeyViewer
    

    En este ejemplo:

    • KEY: Es el nombre de la clave de Cloud Key Management Service. Por ejemplo, ta-key
    • KEY_RING: Es el nombre del llavero de claves.
    • LOCATION: Es la ubicación de Cloud Key Management Service para el llavero de claves. Por ejemplo, global
    • PROJECT_ID: Es el Google Cloud ID del proyecto al que pertenece tu clave.

Cómo revocar el acceso al bucket de Cloud Storage para las cuentas de servicio

Si revocas el acceso al bucket de Cloud Storage de las cuentas de servicio de Transfer Appliance, nos aseguramos de que ya no podamos usar los recursos de Cloud Storage en tu nombre.

Para revocar el acceso al bucket de Cloud Storage de las cuentas de servicio de Transfer Appliance, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  2. Busca el bucket de Cloud Storage al que se copiaron tus datos y selecciona la casilla de verificación junto al nombre del bucket.

  3. Haz clic en Mostrar panel de información.

    Se mostrará el panel de información.

  4. En la pestaña Permisos, expande Rol de administrador de almacenamiento.

  5. Ubica las cuentas de servicio asociadas. Habrá de 2 a 4 cuentas según tu configuración. Las cuentas de servicio se describen en la Guía de referencia rápida de cuentas de servicio.

    Para cada cuenta de servicio, haz lo siguiente:

    1. Haz clic en Borrar.

    2. Para confirmar la eliminación, selecciona la casilla de verificación junto a la cuenta de servicio y haz clic en Quitar.

Usa el comando gcloud storage buckets remove-iam-policy-binding:

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
--role=roles/storage.admin
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \
--role=roles/storage.admin

Es posible que tengas cuentas de servicio adicionales, según tu configuración. Consulta la referencia rápida de la cuenta de servicio para obtener más detalles.

En este ejemplo:

  • SESSION_ID: Es el ID de la sesión para esta transferencia en particular.
  • IDENTIFIER: Es un número generado específico para este proyecto en particular.
  • BUCKET_NAME: Es el nombre de tu bucket de Cloud Storage.

Destrucción de la clave de Cloud KMS

Destruir la clave de Cloud KMS garantiza que nadie pueda desencriptar los datos que esta clave encriptó anteriormente.

Para obtener más información sobre cómo destruir claves, consulta Destruye y restablece versiones de clave.

Para destruir la clave de Cloud KMS, haz lo siguiente:

  1. Ve a la página Claves criptográficas en la consola de Google Cloud.

    Ir a la página Claves criptográficas

  2. Haz clic en el nombre del llavero de claves que se usó para preparar la clave de Cloud KMS.

  3. Busca la fila que contiene la clave que quieres destruir.

  4. Selecciona Más> Destruir.

    Aparecerá un diálogo de confirmación.

  5. En el diálogo de confirmación, haz clic en Programar destrucción.

Usa el comando gcloud kms keys version destroy:

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

En este ejemplo:

  • VERSION_NUMBER: Es el número de versión de la clave.
  • KEY_RING: Es el nombre del llavero de claves.
  • KEY: Es el nombre de tu clave asimétrica.
  • LOCATION: Es la Google Cloud ubicación del llavero de claves.
  • PROJECT_ID: Es el Google Cloud ID del proyecto al que pertenece tu clave.