Una volta completata la copia dei dati da tutti gli appliance, ti consigliamo di rimuovere l'accesso precedentemente concesso ai nostri account di servizio. In questo modo viene applicata la pratica del privilegio minimo ai tuoi dati e contribuisce a garantire la loro sicurezza.
Questa sezione descrive:
- Revocare l'accesso dei nostri account di servizio ai tuoi bucket Cloud Storage.
- Revocare l'accesso dei nostri account di servizio ai tuoi ruoli Cloud KMS.
- Distruzioni della chiave Cloud KMS utilizzata per criptare i dati su Transfer Appliance.
Attendi che vengano copiati tutti i tuoi dati in Cloud Storage prima di completare i passaggi riportati di seguito.
Una volta distrutta la chiave Cloud KMS, i dati criptati sull'Transfer Appliance non possono essere recuperati. Analogamente, una volta revocati gli account di servizio dai bucket Cloud Storage e la chiave Cloud KMS, non è possibile copiare altri dati dall'appliance ai bucket Cloud Storage.
Revocare l'accesso alla chiave Cloud KMS per l'account di servizio
La revoca dell'accesso alla chiave Cloud KMS per l'account di servizio Transfer Appliance garantisce che non potremo più decriptare i dati di Transfer Appliance per tuo conto.
Per revocare i ruoli Cloud KMS CryptoKey Decrypter e Cloud KMS Visualizzatore chiave pubblica CryptoKey dall'account di servizio, segui questi passaggi:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella console Google Cloud.
Fai clic sul nome del keyring contenente la chiave utilizzata in Preparare la chiave Cloud KMS.
Seleziona la casella di controllo per la chiave di cui stai revocando l'accesso dall'account di servizio.
Fai clic su Mostra riquadro informazioni.
Viene visualizzato il riquadro informativo.
Per revocare il ruolo Cloud KMS CryptoKey Decrypter dall'account di servizio, procedi nel seguente modo:
Nella scheda Autorizzazioni, espandi Cloud KMS CryptoKey Decrypter.
Individua l'account di servizio. È simile al seguente esempio:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.comIn questo esempio,
PEOJECT_IDè l'Google Cloud ID progetto a cui appartiene la chiave.Fai clic su Elimina.
Nella finestra di eliminazione, seleziona l'account di servizio e fai clic su Rimuovi.
Per revocare il ruolo Cloud KMS CryptoKey Public Key Viewer dall'account di servizio, procedi nel seguente modo:
Nella scheda Autorizzazioni, espandi il ruolo Cloud KMS CryptoKey Public Key Viewer.
Individua l'account di servizio per la sessione. È simile al seguente esempio:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.comIn questo esempio,
PEOJECT_IDè l'Google Cloud ID progetto a cui appartiene la chiave.Fai clic su Elimina.
Nella finestra di eliminazione, seleziona la casella di controllo accanto all'account di servizio e fai clic su Rimuovi.
Riga di comando
Esegui il seguente comando per revocare il ruolo roles/cloudkms.cryptoKeyDecrypter dall'account di servizio della sessione:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyDecrypter
In questo esempio:
KEY: il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: il nome della chiave automatizzata.LOCATION: la posizione di Cloud Key Management Service per il portachiavi. Ad esempio,global.PROJECT_ID: l'ID progetto Google Cloud a cui appartiene la chiave.
Esegui il seguente comando per revocare il ruolo roles/cloudkms.publicKeyViewer dall'account di servizio della sessione:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.publicKeyViewer
In questo esempio:
KEY: il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: il nome della chiave automatizzata.LOCATION: la posizione di Cloud Key Management Service per il portachiavi. Ad esempio,global.PROJECT_ID: l'ID progetto Google Cloud a cui appartiene la chiave.
Revocare l'accesso ai bucket Cloud Storage per gli account di servizio
La revoca dell'accesso ai bucket Cloud Storage per gli account di servizio Transfer Appliance garantisce che non potremo più utilizzare le risorse Cloud Storage per tuo conto.
Per revocare l'accesso al bucket Cloud Storage per i service account di Transfer Appliance:
Google Cloud Console
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Individua il bucket Cloud Storage in cui sono stati copiati i dati e seleziona la casella di controllo accanto al nome del bucket.
Fai clic su Mostra riquadro informazioni.
Viene visualizzato il riquadro informativo.
Nella scheda Autorizzazioni, espandi Ruolo Amministratore Storage.
Individua gli account di servizio associati. Saranno presenti da 2 a 4 account, a seconda della configurazione. Gli account di servizio sono descritti nel riferimento rapido sugli account di servizio.
Per ogni account di servizio:
Fai clic su Elimina.
Per confermare l'eliminazione, seleziona la casella di controllo accanto all'account del servizio e fai clic su Rimuovi.
Riga di comando
Utilizza il comando gcloud storage buckets remove-iam-policy-binding:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
Potresti avere altri account di servizio, a seconda della configurazione. Per maggiori dettagli, consulta la guida rapida agli account di servizio.
In questo esempio:
SESSION_ID: l'ID sessione per questo particolar trasferimento.IDENTIFIER: un numero generato specifico per questo progetto specifico.BUCKET_NAME: il nome del bucket Cloud Storage.
Distruzioni della chiave Cloud KMS
L'eliminazione della chiave Cloud KMS garantisce che i dati precedentemente criptati dalla chiave non possano più essere decriptati da nessuno.
Per ulteriori informazioni sull'eliminazione delle chiavi, consulta la sezione Eliminare e ripristinare le versioni delle chiavi.
Per eliminare la chiave Cloud KMS:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella console Google Cloud.
Fai clic sul nome del keyring utilizzato per preparare la chiave Cloud KMS.
Individua la riga contenente la chiave che stai distruggendo.
Seleziona Altro > Elimina.
Viene visualizzata una finestra di dialogo di conferma.
Nella finestra di dialogo di conferma, fai clic su Pianifica eliminazione.
Riga di comando
Utilizza il comando gcloud kms keys version destroy:
gcloud kms keys versions destroy VERSION_NUMBER --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
In questo esempio:
VERSION_NUMBER: il numero di versione della chiave.KEY_RING: il nome del tuo mazzo di chiavi.KEY: il nome della chiave asimmetrica.LOCATION: la Google Cloud posizione del mazzo di chiavi.PROJECT_ID: l' Google Cloud ID progetto a cui appartiene la chiave.