Supprimer les droits d'accès inutiles

Une fois la copie de vos données terminée de tous les serveurs, nous vous recommandons de supprimer l'accès précédemment accordé à nos comptes de service. Cette méthode permet d'appliquer le principe du moindre privilège à vos données et de garantir leur sécurité.

Cette section décrit :

  • Révoquer l'accès à nos comptes de service de vos buckets Cloud Storage.
  • Révoquer l'accès à nos comptes de service pour vos rôles Cloud KMS.
  • Détruire la clé Cloud KMS employée pour chiffrer vos données sur Transfer Appliance.

Attendez que nous copions toutes vos données dans Cloud Storage avant d'effectuer les étapes ci-dessous.

Une fois la clé Cloud KMS détruite, les données chiffrées sur Transfer Appliance ne peuvent plus être récupérées. De même, une fois que vous avez révoqué les comptes de service des buckets Cloud Storage et de la clé Cloud KMS, aucune autre donnée ne peut être copiée depuis le serveur vers vos buckets Cloud Storage.

Révoquer l'accès à la clé Cloud KMS du compte de service

La révocation de l'accès aux clés Cloud KMS pour le compte de service Transfer Appliance nous permet de ne plus pouvoir déchiffrer les données Transfer Appliance en votre nom.

Pour révoquer les rôles de déchiffrement de CryptoKey et de lecteur de clé publique CryptoKey Cloud KMS du compte de service, procédez comme suit :

Google Cloud Console

  1. Accédez à la page Clés de chiffrement dans la console Google Cloud.

    Accéder à la page Clés de chiffrement

  2. Cliquez sur le nom du trousseau de clés contenant la clé utilisée dans Préparer la clé Cloud KMS.

  3. Cochez la case correspondant à la clé dont vous révoquez l'accès pour le compte de service.

  4. Cliquez sur Afficher le panneau d'informations.

    Le panneau d'informations s'affiche.

  5. Pour révoquer le rôle Déchiffreur de CryptoKey Cloud KMS du compte de service, procédez comme suit :

    1. Dans l'onglet Autorisations, développez Déchiffreur de clé CryptoKey Cloud KMS.

    2. Recherchez le compte de service. En voici un exemple :

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      Dans cet exemple, PEOJECT_ID correspond à l'ID de projetGoogle Cloud sous lequel se trouve votre clé.

    3. Cliquez sur Supprimer.

    4. Dans la fenêtre de suppression, sélectionnez le compte de service et cliquez sur Supprimer.

  6. Pour révoquer le rôle Lecteur de clé publique CryptoKey Cloud KMS du compte de service, procédez comme suit :

    1. Dans l'onglet Autorisations, développez les détails du rôle Lecteur de clé publique CryptoKey Cloud KMS.

    2. Recherchez le compte de service de session. En voici un exemple :

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      Dans cet exemple, PEOJECT_ID correspond à l'ID de projetGoogle Cloud sous lequel se trouve votre clé.

    3. Cliquez sur Supprimer.

    4. Dans la fenêtre de suppression, cochez la case en regard du compte de service et cliquez sur Supprimer.

Command line

  1. Exécutez la commande suivante pour révoquer le rôle roles/cloudkms.cryptoKeyDecrypter du compte de service de session :

    gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyDecrypter

    Dans cet exemple :

    • KEY : nom de la clé Cloud Key Management Service Exemple :ta-key
    • KEY_RING : nom du trousseau de clés
    • LOCATION : emplacement Cloud Key Management Service du trousseau de clés Exemple :global
    • PROJECT_ID: ID du Google Cloud projet dans lequel se trouve votre clé.

  2. Exécutez la commande suivante pour révoquer le rôle roles/cloudkms.publicKeyViewer au compte de service de session :

    gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.publicKeyViewer

    Dans cet exemple :

    • KEY : nom de la clé Cloud Key Management Service Exemple :ta-key
    • KEY_RING : nom du trousseau de clés
    • LOCATION : emplacement Cloud Key Management Service du trousseau de clés Exemple :global
    • PROJECT_ID: ID du Google Cloud projet dans lequel se trouve votre clé.

Révoquer l'accès au bucket Cloud Storage pour les comptes de service

La révocation de l'accès aux buckets Cloud Storage pour les comptes de service Transfer Appliance nous permet de ne plus utiliser les ressources Cloud Storage en votre nom.

Pour révoquer l'accès au bucket Cloud Storage pour les comptes de service Transfer Appliance, procédez comme suit :

Google Cloud Console

  1. Dans la console Google Cloud, accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  2. Recherchez le bucket Cloud Storage dans lequel vos données ont été copiées et cochez la case à côté du nom du bucket.

  3. Cliquez sur Afficher le panneau d'informations.

    Le panneau d'informations s'affiche.

  4. Dans l'onglet Autorisations, développez Rôle Administrateur de l'espace de stockage.

  5. Recherchez les comptes de service associés. Il y aura entre deux et quatre comptes, en fonction de votre configuration. Les comptes de service sont décrits dans la Présentation rapide des comptes de service.

    Pour chaque compte de service:

    1. Cliquez sur Supprimer.

    2. Pour confirmer la suppression, cochez la case à côté du compte de service, puis cliquez sur Supprimer.

Ligne de commande

Exécutez la commande gcloud storage buckets remove-iam-policy-binding :

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
--role=roles/storage.admin

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \
--role=roles/storage.admin

Vous pouvez disposer de comptes de service supplémentaires, en fonction de votre configuration. Pour en savoir plus, consultez la fiche récapitulative sur les comptes de service.

Dans cet exemple :

  • SESSION_ID : ID de session pour ce transfert particulier.
  • IDENTIFIER : nombre généré spécifique à ce projet.
  • BUCKET_NAME : nom du bucket Cloud Storage

Détruire la clé Cloud KMS

La destruction de la clé Cloud KMS garantit que toutes les données précédemment chiffrées par cette clé ne peuvent plus être déchiffrées.

Pour en savoir plus sur la destruction des clés, consultez la page Détruire et restaurer des versions de clé.

Pour détruire la clé Cloud KMS, procédez comme suit :

Google Cloud Console

  1. Accédez à la page Clés de chiffrement dans la console Google Cloud.

    Accéder à la page Clés de chiffrement

  2. Cliquez sur le nom du trousseau de clés utilisé pour préparer la clé Cloud KMS.

  3. Localisez la ligne contenant la clé que vous détruisez.

  4. Sélectionnez Plus > Détruire.

    Une boîte de dialogue de confirmation s'affiche.

  5. Dans la boîte de dialogue de confirmation, cliquez sur Programmer la destruction.

Command line

Exécutez la commande gcloud kms keys version destroy :

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

Dans cet exemple :

  • VERSION_NUMBER : numéro de version de la clé
  • KEY_RING : nom de votre trousseau de clés.
  • KEY : nom de votre clé asymétrique.
  • LOCATION: emplacement du trousseau. Google Cloud
  • PROJECT_ID: ID du Google Cloud projet dans lequel se trouve votre clé.