Setelah kami selesai menyalin data Anda dari semua peralatan, sebaiknya Anda menghapus akses yang sebelumnya diberikan ke akun layanan kami. Tindakan ini menerapkan praktik hak istimewa terendah pada data Anda dan membantu memastikan keamanan data Anda.
Bagian ini menjelaskan:
- Mencabut akses akun layanan kami dari bucket Cloud Storage Anda.
- Mencabut akses akun layanan kami dari peran Cloud KMS Anda.
- Menghancurkan kunci Cloud KMS yang digunakan untuk mengenkripsi data Anda di Transfer Appliance.
Tunggu hingga kami menyalin semua data Anda ke Cloud Storage sebelum menyelesaikan langkah-langkah di bawah.
Setelah kunci Cloud KMS dihancurkan, data terenkripsi apa pun di Transfer Appliance tidak dapat dipulihkan. Demikian pula, setelah Anda mencabut akun layanan dari bucket Cloud Storage dan kunci Cloud KMS, tidak ada lagi data yang dapat disalin dari appliance ke bucket Cloud Storage Anda.
Mencabut akses kunci Cloud KMS untuk akun layanan
Mencabut akses kunci Cloud KMS untuk akun layanan Transfer Appliance memastikan bahwa kami tidak dapat lagi mendekripsi data Transfer Appliance atas nama Anda.
Untuk mencabut peran Cloud KMS CryptoKey Decrypter dan Cloud KMS CryptoKey Public Key Viewer dari akun layanan, ikuti langkah-langkah berikut:
Google Cloud Console
Buka halaman Cryptographic Keys di konsol Google Cloud .
Klik nama key ring yang berisi kunci yang digunakan di Siapkan kunci Cloud KMS.
Centang kotak untuk kunci yang aksesnya Anda batalkan dari akun layanan.
Klik Tampilkan Panel Info.
Panel informasi ditampilkan.
Untuk mencabut peran Pendekripsi CryptoKey Cloud KMS dari akun layanan, lakukan hal berikut:
Di tab Izin, luaskan Pendekripsi CryptoKey Cloud KMS.
Temukan akun layanan. Tampilannya akan terlihat seperti contoh berikut:
service-PROJECT_ID@gcp-sa-transferappliance.Dalam contoh ini,
PEOJECT_IDadalah Google Cloud project ID tempat kunci Anda berada.Klik Hapus.
Di jendela hapus, pilih akun layanan, lalu klik Hapus.
Untuk mencabut peran Cloud KMS CryptoKey Public Key Viewer dari akun layanan, lakukan langkah-langkah berikut:
Di tab Izin, luaskan peran Cloud KMS CryptoKey Public Key Viewer.
Temukan akun layanan sesi. Tampilannya akan terlihat seperti contoh berikut:
service-PROJECT_ID@gcp-sa-transferappliance.Dalam contoh ini,
PEOJECT_IDadalah Google Cloud project ID tempat kunci Anda berada.Klik Hapus.
Di jendela hapus, centang kotak di samping akun layanan dan klik Hapus.
Command line
Jalankan perintah berikut untuk mencabut peran roles/cloudkms.cryptoKeyDecrypter dari akun layanan sesi:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance. \ --role roles/cloudkms.cryptoKeyDecrypter
Dalam contoh ini:
KEY: Nama kunci Cloud Key Management Service. Contoh,ta-key.KEY_RING: Nama key ring.LOCATION: Lokasi Cloud Key Management Service untuk key ring. Contoh,global.PROJECT_ID: Google Cloud Project ID tempat kunci Anda berada.
Jalankan perintah berikut untuk mencabut peran roles/cloudkms.publicKeyViewer dari akun layanan sesi:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance. \ --role roles/cloudkms.publicKeyViewer
Dalam contoh ini:
KEY: Nama kunci Cloud Key Management Service. Contoh,ta-key.KEY_RING: Nama key ring.LOCATION: Lokasi Cloud Key Management Service untuk key ring. Contoh,global.PROJECT_ID: Google Cloud Project ID tempat kunci Anda berada.
Mencabut akses bucket Cloud Storage untuk akun layanan
Mencabut akses bucket Cloud Storage untuk akun layanan Transfer Appliance memastikan bahwa kami tidak dapat lagi menggunakan resource Cloud Storage atas nama Anda.
Untuk mencabut akses bucket Cloud Storage bagi akun layanan Transfer Appliance, lakukan hal berikut:
Google Cloud Console
- Di Google Cloud konsol, buka halaman Bucket Cloud Storage.
Temukan bucket Cloud Storage tempat data Anda disalin dan pilih kotak centang di samping nama bucket.
Klik Tampilkan Panel Info.
Panel informasi ditampilkan.
Di tab Izin, luaskan Peran Admin Penyimpanan.
Temukan akun layanan terkait. Akan ada 2 hingga 4 akun, bergantung pada konfigurasi Anda. Akun layanan dijelaskan dalam Referensi cepat akun layanan.
Untuk setiap akun layanan:
Klik Hapus.
Untuk mengonfirmasi penghapusan, centang kotak di samping akun layanan, lalu klik Hapus.
Command line
Gunakan perintah gcloud storage buckets remove-iam-policy-binding:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru. \ --role=roles/storage.admin
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:project-IDENTIFIER@storage-transfer-service. \ --role=roles/storage.admin
Anda mungkin memiliki akun layanan tambahan, bergantung pada konfigurasi Anda. Lihat Referensi cepat akun layanan untuk mengetahui detailnya.
Dalam contoh ini:
SESSION_ID: ID sesi untuk transfer tertentu ini.IDENTIFIER: Nomor yang dihasilkan khusus untuk project tertentu ini.BUCKET_NAME: Nama bucket Cloud Storage Anda.
Menghancurkan kunci Cloud KMS
Menghancurkan kunci Cloud KMS memastikan bahwa data apa pun yang sebelumnya dienkripsi oleh kunci tersebut tidak dapat lagi didekripsi oleh siapa pun.
Untuk mengetahui informasi selengkapnya tentang menghancurkan kunci, lihat Menghancurkan dan memulihkan versi kunci.
Untuk menghancurkan kunci Cloud KMS, lakukan langkah-langkah berikut:
Google Cloud Console
Buka halaman Cryptographic Keys di konsol Google Cloud .
Klik nama key ring yang digunakan untuk Menyiapkan kunci Cloud KMS.
Cari baris yang berisi kunci yang Anda hapus.
Pilih Lainnya > Hancurkan.
Dialog konfirmasi akan ditampilkan.
Pada dialog konfirmasi, klik Jadwalkan penghancuran.
Command line
Gunakan perintah gcloud kms keys version destroy:
gcloud kms keys versions destroy VERSION_NUMBER --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
Dalam contoh ini:
VERSION_NUMBER: Nomor versi kunci.KEY_RING: Nama key ring Anda.KEY: Nama kunci asimetris Anda.LOCATION: Google Cloud Lokasi key ring.PROJECT_ID: Google Cloud Project ID tempat kunci Anda berada.