Setelah kami selesai menyalin data Anda dari semua peralatan, sebaiknya hapus akses yang sebelumnya diberikan ke akun layanan kami. Hal ini akan menerapkan praktik hak istimewa terendah ke data Anda dan membantu memastikan keamanan data Anda.
Bagian ini menjelaskan:
- Mencabut akun layanan kami agar tidak dapat mengakses bucket Cloud Storage Anda.
- Mencabut akun layanan kami agar tidak dapat mengakses peran Cloud KMS Anda.
- Menghancurkan kunci Cloud KMS yang digunakan untuk mengenkripsi data Anda di Transfer Appliance.
Tunggu hingga kami menyalin semua data Anda ke Cloud Storage sebelum menyelesaikan langkah-langkah di bawah ini.
Setelah kunci Cloud KMS dihancurkan, semua data yang dienkripsi di Transfer Appliance tidak dapat dipulihkan. Demikian pula, setelah Anda mencabut akun layanan dari bucket Cloud Storage dan kunci Cloud KMS, tidak ada data lebih lanjut yang dapat disalin dari peralatan ke bucket Cloud Storage Anda.
Mencabut akses kunci Cloud KMS untuk akun layanan
Mencabut akses kunci Cloud KMS untuk akun layanan Transfer Appliance memastikan bahwa kami tidak dapat lagi mendekripsi data Transfer Appliance atas nama Anda.
Untuk mencabut peran Cloud KMS Bigtable Decrypter dan Cloud KMS Public Key Viewer dari akun layanan, ikuti langkah-langkah berikut:
Google Cloud Console
Buka halaman Cryptographic Keys di Konsol Google Cloud.
Klik nama key ring yang berisi kunci yang digunakan dalam Menyiapkan kunci Cloud KMS.
Pilih kotak centang untuk kunci yang aksesnya Anda batalkan dari akun layanan.
Klik Tampilkan Panel Info.
Panel informasi ditampilkan.
Untuk mencabut peran Cloud KMS Bigtable Decrypter dari akun layanan, lakukan langkah berikut:
Di tab Permissions, luaskan Cloud KMS Bigtable Decrypter.
Temukan akun layanan. Tampilannya akan terlihat seperti contoh berikut:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com
Dalam contoh ini,
PEOJECT_ID
adalah project ID Google Cloud tempat kunci Anda berada.Klik
Delete.Di jendela hapus, pilih akun layanan dan klik Hapus.
Untuk mencabut peran Public Key Viewer Cloud KMS Bigtable dari akun layanan, lakukan tindakan berikut:
Di tab Permissions, luaskan peran Public Key Viewer Cloud KMS Bigtable.
Temukan akun layanan sesi. Tampilannya akan terlihat seperti contoh berikut:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com
Dalam contoh ini,
PEOJECT_ID
adalah project ID Google Cloud tempat kunci Anda berada.Klik
Delete.Di jendela hapus, centang kotak di samping akun layanan, lalu klik Remove.
Command line
Jalankan perintah berikut untuk mencabut peran roles/cloudkms.cryptoKeyDecrypter dari akun layanan sesi:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyDecrypter
Dalam contoh ini:
KEY
: Nama kunci Cloud Key Management Service. Contoh,ta-key
.KEY_RING
: Nama key ring.LOCATION
: Lokasi Cloud Key Management Service untuk key ring. Contoh,global
.PROJECT_ID
: Project ID Google Cloud tempat kunci Anda berada.
Jalankan perintah berikut untuk mencabut peran roles/cloudkms.publicKeyViewer dari akun layanan sesi:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.publicKeyViewer
Dalam contoh ini:
KEY
: Nama kunci Cloud Key Management Service. Contoh,ta-key
.KEY_RING
: Nama key ring.LOCATION
: Lokasi Cloud Key Management Service untuk key ring. Contoh,global
.PROJECT_ID
: Project ID Google Cloud tempat kunci Anda berada.
Mencabut akses bucket Cloud Storage untuk akun layanan
Mencabut akses bucket Cloud Storage untuk akun layanan Transfer Appliance memastikan bahwa kami tidak dapat lagi menggunakan resource Cloud Storage atas nama Anda.
Untuk mencabut akses bucket Cloud Storage bagi akun layanan Transfer Appliance, lakukan langkah berikut:
Google Cloud Console
- Di Konsol Google Cloud, buka halaman Bucket Cloud Storage.
Temukan bucket Cloud Storage tempat data Anda disalin, lalu pilih kotak centang di samping nama bucket.
Klik Tampilkan Panel Info.
Panel informasi ditampilkan.
Di tab Izin, luaskan Peran Admin Penyimpanan.
Temukan akun layanan terkait. Akan ada 2 hingga 4 akun, bergantung pada konfigurasi Anda. Akun layanan dijelaskan di Referensi cepat akun layanan.
Untuk setiap akun layanan:
Klik
Delete.Untuk mengonfirmasi penghapusan, centang kotak di samping akun layanan dan klik Remove.
Command line
Gunakan perintah gsutil iam ch
:
gsutil iam ch -d \ serviceAccount:SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com:roles/storage.admin \ serviceAccount:project-IDENTIFIER@storage-transfer-service.gserviceaccount.comi \ gs://BUCKET_NAME
Anda mungkin memiliki akun layanan tambahan, bergantung pada konfigurasi Anda. Lihat Referensi cepat akun layanan untuk mengetahui detailnya.
Dalam contoh ini:
SESSION_ID
: ID sesi untuk transfer khusus ini.IDENTIFIER
: Angka yang dihasilkan khusus untuk project khusus ini.BUCKET_NAME
: Nama bucket Cloud Storage Anda.
Menghancurkan kunci Cloud KMS
Menghancurkan kunci Cloud KMS akan memastikan bahwa data apa pun yang sebelumnya dienkripsi oleh kunci tersebut tidak dapat lagi didekripsi oleh siapa pun.
Untuk informasi selengkapnya tentang cara menghancurkan kunci, lihat Menghancurkan dan memulihkan versi kunci.
Untuk menghancurkan kunci Cloud KMS, lakukan tindakan berikut:
Google Cloud Console
Buka halaman Cryptographic Keys di Konsol Google Cloud.
Klik nama key ring yang digunakan untuk Menyiapkan kunci Cloud KMS.
Cari baris yang berisi kunci yang Anda hancurkan.
Pilih > Hancurkan.
LainnyaDialog konfirmasi akan ditampilkan.
Pada dialog konfirmasi, klik Jadwalkan pemusnahan.
Command line
Gunakan perintah gcloud kms keys version destroy
:
gcloud kms keys versions destroy VERSION_NUMBER --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
Dalam contoh ini:
VERSION_NUMBER
: Nomor versi kunci.KEY_RING
: Nama key ring Anda.KEY
: Nama kunci asimetris Anda.LOCATION
: Lokasi Google Cloud key ring.PROJECT_ID
: Project ID Google Cloud tempat kunci Anda berada.