Elimina accesso

Al termine della copia dei dati da tutte le appliance, ti consigliamo di rimuovere l'accesso concesso in precedenza ai nostri account di servizio. In questo modo si applica pratica del privilegio minimo ai tuoi dati e contribuisce a garantirne la sicurezza.

Questa sezione descrive:

  • Revoca dell'accesso ai tuoi bucket Cloud Storage da parte dei nostri account di servizio.
  • Revocare l'accesso dei nostri account di servizio ai tuoi ruoli Cloud KMS.
  • Distruzioni della chiave Cloud KMS utilizzata per criptare i dati su Transfer Appliance.

Attendi che vengano copiati tutti i tuoi dati in Cloud Storage prima di completare i passaggi riportati di seguito.

Una volta eliminata la chiave Cloud KMS, tutti i dati criptati Impossibile recuperare Transfer Appliance. Allo stesso modo, una volta gli account di servizio dai bucket Cloud Storage chiave Cloud KMS, nessun ulteriore dato potrà essere copiato dall'appliance ai tuoi di archiviazione dei bucket Cloud Storage.

Revoca dell'accesso alla chiave Cloud KMS per l'account di servizio

Revoca dell'accesso alla chiave Cloud KMS per Transfer Appliance l'account di servizio assicura che non potremo più decriptare Trasferisci i dati di Appliance per tuo conto.

Per revocare i ruoli Cloud KMS CryptoKey Decrypter e Cloud KMS Visualizzatore chiave pubblica CryptoKey dall'account di servizio, segui questi passaggi:

Google Cloud Console

  1. Vai alla pagina Chiavi di crittografia nel nella console Google Cloud.

    Vai alla pagina Chiavi di crittografia

  2. Fai clic sul nome del keyring che contiene la chiave utilizzata in Prepara la chiave Cloud KMS.

  3. Seleziona la casella di controllo per la chiave di cui stai revocando l'accesso dall'account di servizio.

  4. Fai clic su Mostra riquadro informazioni.

    Viene visualizzato il riquadro informativo.

  5. Per revocare il ruolo Cloud KMS CryptoKey Decrypter dall'account di servizio, procedi nel seguente modo:

    1. Nella scheda Autorizzazioni, espandi Cloud KMS CryptoKey Decrypter.

    2. Individua l'account di servizio. L'aspetto ha il seguente aspetto: esempio:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      In questo esempio, PEOJECT_ID è il L'ID progetto Google Cloud in cui si trova la tua chiave.

    3. Fai clic su Elimina.

    4. Nella finestra di eliminazione, seleziona l'account di servizio e fai clic su Rimuovi.

  6. Per revocare il ruolo Cloud KMS CryptoKey Public Key Viewer dall'account di servizio, procedi nel seguente modo:

    1. Nella scheda Autorizzazioni, espandi la chiave CryptoKey Cloud KMS Visualizzatore chiavi pubbliche.

    2. Individua l'account di servizio per la sessione. È simile al seguente esempio:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      In questo esempio, PEOJECT_ID è il L'ID progetto Google Cloud in cui si trova la tua chiave.

    3. Fai clic su Elimina.

    4. Nella finestra di eliminazione, seleziona la casella di controllo accanto all'account di servizio e fai clic su Rimuovi.

Riga di comando

  1. Esegui il seguente comando per revocare il ruolo roles/cloudkms.cryptoKeyDecrypter dall'account di servizio della sessione:

    gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyDecrypter

    In questo esempio:

    • KEY: il nome della chiave Cloud Key Management Service. Ad esempio, ta-key.
    • KEY_RING: nome del keyring.
    • LOCATION: la posizione di Cloud Key Management Service per il portachiavi. Ad esempio, global.
    • PROJECT_ID: l'ID progetto Google Cloud che della chiave.

  2. Esegui questo comando per revocare roles/cloudkms.publicKeyViewer dall'account di servizio della sessione:

    gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.publicKeyViewer

    In questo esempio:

    • KEY: il nome della chiave Cloud Key Management Service. Ad esempio, ta-key.
    • KEY_RING: nome del keyring.
    • LOCATION: la posizione di Cloud Key Management Service per il portachiavi. Ad esempio, global.
    • PROJECT_ID: l'ID progetto Google Cloud che della chiave.

Revocare l'accesso ai bucket Cloud Storage per gli account di servizio

La revoca dell'accesso ai bucket Cloud Storage per gli account di servizio Transfer Appliance garantisce che non potremo più utilizzare le risorse Cloud Storage per tuo conto.

Per revocare l'accesso al bucket Cloud Storage per Per gli account di servizio di Transfer Appliance:

Google Cloud Console

  1. Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.

    Vai a Bucket

  2. Individua il bucket Cloud Storage in cui sono stati copiati i dati e seleziona la casella di controllo accanto al nome del bucket.

  3. Fai clic su Mostra riquadro informazioni.

    Viene visualizzato il riquadro informativo.

  4. Nella scheda Autorizzazioni, espandi Ruolo Amministratore Storage.

  5. Individua gli account di servizio associati. Ci saranno da 2 a 4 account a seconda della configurazione. Gli account di servizio sono descritti in Riferimento rapido per l'account di servizio.

    Per ogni account di servizio:

    1. Fai clic su Elimina.

    2. Per confermare l'eliminazione, seleziona la casella di controllo accanto al servizio e fai clic su Rimuovi.

Riga di comando

Utilizza la gcloud storage buckets remove-iam-policy-binding :

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
--role=roles/storage.admin

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \
--role=roles/storage.admin

Potresti avere altri account di servizio, a seconda della configurazione. Per maggiori dettagli, consulta la guida rapida per gli account di servizio.

In questo esempio:

  • SESSION_ID: l'ID sessione per questo particolar trasferimento.
  • IDENTIFIER: un numero generato specifico per questo progetto specifico.
  • BUCKET_NAME: il nome del bucket Cloud Storage.

Distruzioni della chiave Cloud KMS

L'eliminazione della chiave Cloud KMS assicura che tutti i dati criptati in precedenza dalla chiave non possono più essere decriptati da nessuno.

Per ulteriori informazioni sull'eliminazione delle chiavi, consulta Eliminazione e ripristino della chiave le versioni secondarie.

Per eliminare la chiave Cloud KMS:

Google Cloud Console

  1. Vai alla pagina Chiavi crittografiche nella console Google Cloud.

    Vai alla pagina Chiavi crittografiche

  2. Fai clic sul nome del keyring utilizzato per preparare la chiave Cloud KMS.

  3. Individua la riga contenente la chiave che stai eliminando.

  4. Seleziona Altro > Elimina.

    Viene visualizzata una finestra di dialogo di conferma.

  5. Nella finestra di dialogo di conferma, fai clic su Pianifica eliminazione.

Riga di comando

Usa il comando gcloud kms keys version destroy:

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

In questo esempio:

  • VERSION_NUMBER: il numero di versione della chiave.
  • KEY_RING: il nome del keyring.
  • KEY: il nome della chiave asimmetrica.
  • LOCATION: la località Google Cloud della chiave suonano.
  • PROJECT_ID: l'ID progetto Google Cloud che della chiave.