Después de que terminemos de copiar tus datos de todos los dispositivos, te recomendamos que quites el acceso que otorgaste anteriormente a nuestras cuentas de servicio. Esto aplica la práctica de privilegio mínimo a tus datos y ayuda a garantizar su seguridad.
En esta sección, se describe lo siguiente:
- Revocar el acceso de nuestras cuentas de servicio a tus buckets de Cloud Storage
- Revocar el acceso de nuestras cuentas de servicio a tus roles de Cloud KMS
- Destruir la clave de Cloud KMS que se usó para encriptar tus datos en Transfer Appliance
Espera a que copiemos todos tus datos a Cloud Storage antes de completar los pasos que se indican a continuación.
Una vez que se destruye la clave de Cloud KMS, no se pueden recuperar los datos encriptados en Transfer Appliance. Del mismo modo, una vez que revoques el acceso de las cuentas de servicio a los buckets de Cloud Storage y a la clave de Cloud KMS, no se podrán copiar más datos del dispositivo a tus buckets de Cloud Storage.
Revoca el acceso a la clave de Cloud KMS para la cuenta de servicio
Revocar el acceso a la clave de Cloud KMS para la cuenta de servicio de Transfer Appliance garantiza que ya no podamos desencriptar los datos de Transfer Appliance en tu nombre.
Para revocar las funciones de desencriptador de CryptoKey de Cloud KMS y de visualizador de claves CryptoKey públicas de Cloud KMS de la cuenta de servicio, sigue estos pasos:
Google Cloud Console
Ve a la página Claves criptográficas en la consola deGoogle Cloud .
Haz clic en el nombre del llavero de claves que contiene la clave que se usó en Prepara la clave de Cloud KMS.
Selecciona la casilla de verificación de la clave cuyo acceso revocarás de la cuenta de servicio.
Haz clic en Mostrar panel de información.
Se mostrará el panel de información.
Para revocar el rol de Desencriptador de CryptoKey de Cloud KMS de la cuenta de servicio, haz lo siguiente:
En la pestaña Permisos, expande Desencriptador de CryptoKey de Cloud KMS.
Ubica la cuenta de servicio. Se verá parecido al siguiente ejemplo:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.comEn este ejemplo,
PEOJECT_IDes el ID del proyectoGoogle Cloud en el que se encuentra tu clave.Haz clic en Borrar.
En la ventana de borrado, selecciona la cuenta de servicio y haz clic en Quitar.
Para revocar el rol de Visualizador de claves CryptoKey públicas de Cloud KMS de la cuenta de servicio, haz lo siguiente:
En la pestaña Permisos, expande el rol Visualizador de claves públicas de CryptoKey de Cloud KMS.
Ubica la cuenta de servicio de la sesión. Se verá parecido al siguiente ejemplo:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.comEn este ejemplo,
PEOJECT_IDes el ID del proyectoGoogle Cloud en el que se encuentra tu clave.Haz clic en Borrar.
En la ventana de eliminación, selecciona la casilla de verificación junto a la cuenta de servicio y haz clic en Quitar.
Línea de comandos
Ejecuta el siguiente comando para revocar el rol roles/cloudkms.cryptoKeyDecrypter de la cuenta de servicio de sesión:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyDecrypter
En este ejemplo:
KEY: Es el nombre de la clave de Cloud Key Management Service. Por ejemplo,ta-keyKEY_RING: Es el nombre del llavero de claves.LOCATION: Es la ubicación de Cloud Key Management Service para el llavero de claves. Por ejemplo,globalPROJECT_ID: Es el ID del proyecto Google Cloud en el que se encuentra tu clave.
Ejecuta el siguiente comando para revocar el rol roles/cloudkms.publicKeyViewer de la cuenta de servicio de sesión:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.publicKeyViewer
En este ejemplo:
KEY: Es el nombre de la clave de Cloud Key Management Service. Por ejemplo,ta-keyKEY_RING: Es el nombre del llavero de claves.LOCATION: Es la ubicación de Cloud Key Management Service para el llavero de claves. Por ejemplo,globalPROJECT_ID: Es el ID del proyecto Google Cloud en el que se encuentra tu clave.
Revoca el acceso al bucket de Cloud Storage para las cuentas de servicio
Si revocamos el acceso a bucket de Cloud Storage para las cuentas de servicio de Transfer Appliance, nos aseguramos de que ya no podamos usar los recursos de Cloud Storage en tu nombre.
Para revocar el acceso al bucket de Cloud Storage para las cuentas de servicio de Transfer Appliance, haz lo siguiente:
Google Cloud Console
- En la consola de Google Cloud , ve a la página Buckets de Cloud Storage.
Busca el bucket de Cloud Storage en el que se copiaron tus datos y selecciona la casilla de verificación junto al nombre del bucket.
Haz clic en Mostrar panel de información.
Se mostrará el panel de información.
En la pestaña Permisos, expande Rol de administrador de Storage.
Ubica las cuentas de servicio asociadas. Habrá de 2 a 4 cuentas, según tu configuración. Las cuentas de servicio se describen en Referencia rápida de cuentas de servicio.
Para cada cuenta de servicio, haz lo siguiente:
Haz clic en Borrar.
Para confirmar la eliminación, selecciona la casilla de verificación junto a la cuenta de servicio y haz clic en Quitar.
Línea de comandos
Usa el comando gcloud storage buckets remove-iam-policy-binding:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
Es posible que tengas cuentas de servicio adicionales, según tu configuración. Consulta la referencia rápida de la cuenta de servicio para obtener más detalles.
En este ejemplo:
SESSION_ID: Es el ID de la sesión para esta transferencia en particular.IDENTIFIER: Es un número generado específico para este proyecto en particular.BUCKET_NAME: Es el nombre de tu bucket de Cloud Storage.
Destruye la clave de Cloud KMS
La destrucción de la clave de Cloud KMS garantiza que nadie pueda desencriptar los datos que se encriptaron con ella.
Para obtener más información sobre cómo destruir claves, consulta Destruye y restablece versiones de claves.
Para destruir la clave de Cloud KMS, haz lo siguiente:
Google Cloud Console
Ve a la página Claves criptográficas en la consola deGoogle Cloud .
Haz clic en el nombre del llavero de claves que usaste para preparar la clave de Cloud KMS.
Ubica la fila que contiene la clave que destruirás.
Selecciona Más> Destruir.
Aparecerá un diálogo de confirmación.
En el diálogo de confirmación, haz clic en Programar destrucción.
Línea de comandos
Usa el comando gcloud kms keys version destroy:
gcloud kms keys versions destroy VERSION_NUMBER --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
En este ejemplo:
VERSION_NUMBER: Es el número de versión de la clave.KEY_RING: Es el nombre del llavero de claves.KEY: Es el nombre de tu clave asimétrica.LOCATION: Es la Google Cloud ubicación del llavero de claves.PROJECT_ID: Es el ID del proyecto Google Cloud en el que se encuentra tu clave.