Membersihkan akses

Setelah kami selesai menyalin data Anda dari semua perangkat, sebaiknya Anda menghapus akses yang sebelumnya diberikan ke akun layanan kami. Hal ini menerapkan praktik hak istimewa terendah pada data Anda dan membantu memastikan keamanan data Anda.

Bagian ini menjelaskan:

  • Mencabut akun layanan kami agar tidak dapat mengakses bucket Cloud Storage Anda.
  • Membatalkan akses akun layanan kami ke peran Cloud KMS Anda.
  • Menghancurkan kunci Cloud KMS yang digunakan untuk mengenkripsi data Anda di Transfer Appliance.

Tunggu hingga kami menyalin semua data Anda ke Cloud Storage sebelum menyelesaikan langkah-langkah di bawah.

Setelah kunci Cloud KMS dihancurkan, data terenkripsi apa pun di Transfer Appliance tidak dapat dipulihkan. Demikian pula, setelah Anda mencabut akun layanan dari bucket Cloud Storage dan kunci Cloud KMS, tidak ada data lebih lanjut yang dapat disalin dari appliance ke bucket Cloud Storage Anda.

Membatalkan akses kunci Cloud KMS untuk akun layanan

Dengan mencabut akses kunci Cloud KMS untuk akun layanan Transfer Appliance, kami tidak dapat lagi mendekripsi data Transfer Appliance atas nama Anda.

Untuk mencabut peran Cloud KMS CryptoKey Decrypter dan Cloud KMS CryptoKey Public Key Viewer dari akun layanan, ikuti langkah-langkah berikut:

Google Cloud Konsol

  1. Buka halaman Kunci Kriptografis di konsol Google Cloud.

    Buka halaman Cryptographic Keys

  2. Klik nama key ring yang berisi kunci yang digunakan di Menyiapkan kunci Cloud KMS.

  3. Centang kotak untuk kunci yang aksesnya Anda cabut dari akun layanan.

  4. Klik Tampilkan Panel Info.

    Panel informasi akan ditampilkan.

  5. Untuk mencabut peran Pendekripsi Cloud KMS CryptoKey dari akun layanan, lakukan tindakan berikut:

    1. Di tab Izin, luaskan Pendekripsi Cloud KMS CryptoKey.

    2. Temukan akun layanan. Tampilannya akan terlihat seperti contoh berikut:

      service-PROJECT_ID@gcp-sa-transferappliance.

      Dalam contoh ini, PEOJECT_ID adalah Google Cloud project ID yang menjadi bagian dari kunci Anda.

    3. Klik Hapus.

    4. Di jendela hapus, pilih akun layanan, lalu klik Hapus.

  6. Untuk mencabut peran Cloud KMS CryptoKey Public Key Viewer dari akun layanan, lakukan tindakan berikut:

    1. Di tab Izin, luaskan peran Cloud KMS CryptoKey Public Key Viewer.

    2. Temukan akun layanan sesi. Tampilannya akan terlihat seperti contoh berikut:

      service-PROJECT_ID@gcp-sa-transferappliance.

      Dalam contoh ini, PEOJECT_ID adalah Google Cloud project ID yang menjadi bagian dari kunci Anda.

    3. Klik Hapus.

    4. Di jendela hapus, centang kotak di samping akun layanan, lalu klik Hapus.

Command line

  1. Jalankan perintah berikut untuk mencabut peran roles/cloudkms.cryptoKeyDecrypter dari akun layanan sesi:

    gcloud kms keys remove-iam-policy-binding KEY \
      --keyring KEY_RING \
      --location LOCATION \
      --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance. \
      --role roles/cloudkms.cryptoKeyDecrypter
    

    Dalam contoh ini:

    • KEY: Nama kunci Cloud Key Management Service. Contoh, ta-key.
    • KEY_RING: Nama key ring.
    • LOCATION: Lokasi Cloud Key Management Service untuk key ring. Contoh, global.
    • PROJECT_ID: Google Cloud Project ID yang menjadi tempat kunci Anda.
  2. Jalankan perintah berikut untuk mencabut peran roles/cloudkms.publicKeyViewer dari akun layanan sesi:

    gcloud kms keys remove-iam-policy-binding KEY \
      --keyring KEY_RING \
      --location LOCATION \
      --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance. \
      --role roles/cloudkms.publicKeyViewer
    

    Dalam contoh ini:

    • KEY: Nama kunci Cloud Key Management Service. Contoh, ta-key.
    • KEY_RING: Nama key ring.
    • LOCATION: Lokasi Cloud Key Management Service untuk key ring. Contoh, global.
    • PROJECT_ID: Google Cloud Project ID yang menjadi tempat kunci Anda.

Membatalkan akses bucket Cloud Storage untuk akun layanan

Dengan mencabut akses bucket Cloud Storage untuk akun layanan Transfer Appliance, kami tidak dapat lagi menggunakan resource Cloud Storage atas nama Anda.

Untuk mencabut akses bucket Cloud Storage untuk akun layanan Transfer Appliance, lakukan tindakan berikut:

Google Cloud Konsol

  1. Di Konsol Google Cloud, buka halaman Bucket Cloud Storage.

    Buka Buckets

  2. Temukan bucket Cloud Storage tempat data Anda disalin dan pilih kotak centang di samping nama bucket.

  3. Klik Tampilkan Panel Info.

    Panel informasi akan ditampilkan.

  4. Di tab Permissions, luaskan Storage Admin Role.

  5. Temukan akun layanan terkait. Akan ada 2 hingga 4 akun bergantung pada konfigurasi Anda. Akun layanan dijelaskan dalam Referensi cepat akun layanan.

    Untuk setiap akun layanan:

    1. Klik Hapus.

    2. Untuk mengonfirmasi penghapusan, centang kotak di samping akun layanan, lalu klik Hapus.

Command line

Gunakan perintah gcloud storage buckets remove-iam-policy-binding:

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru. \
--role=roles/storage.admin
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:project-IDENTIFIER@storage-transfer-service. \
--role=roles/storage.admin

Anda mungkin memiliki akun layanan tambahan, bergantung pada konfigurasi Anda. Lihat Referensi cepat akun layanan untuk mengetahui detailnya.

Dalam contoh ini:

  • SESSION_ID: ID sesi untuk transfer tertentu ini.
  • IDENTIFIER: Nomor yang dihasilkan khusus untuk project tertentu ini.
  • BUCKET_NAME: Nama bucket Cloud Storage Anda.

Menghancurkan kunci Cloud KMS

Menghancurkan kunci Cloud KMS memastikan bahwa data apa pun yang sebelumnya dienkripsi oleh kunci tersebut tidak dapat lagi didekripsi oleh siapa pun.

Untuk informasi selengkapnya tentang cara menghancurkan kunci, lihat Menghancurkan dan memulihkan versi kunci.

Untuk menghancurkan kunci Cloud KMS, lakukan langkah-langkah berikut:

Google Cloud Konsol

  1. Buka halaman Kunci Kriptografis di konsol Google Cloud.

    Buka halaman Cryptographic Keys

  2. Klik nama key ring yang digunakan untuk Menyiapkan kunci Cloud KMS.

  3. Temukan baris yang berisi kunci yang akan Anda hancurkan.

  4. Pilih Lainnya > Hapus.

    Dialog konfirmasi akan ditampilkan.

  5. Pada dialog konfirmasi, klik Jadwalkan penghapusan.

Command line

Gunakan perintah gcloud kms keys version destroy:

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

Dalam contoh ini:

  • VERSION_NUMBER: Nomor versi kunci.
  • KEY_RING: Nama key ring Anda.
  • KEY: Nama kunci asimetris Anda.
  • LOCATION: Google Cloud Lokasi key ring.
  • PROJECT_ID: Google Cloud Project ID yang menjadi tempat kunci Anda.