Una volta completata la copia dei dati da tutti gli elettrodomestici, ti consigliamo di rimuovere l'accesso precedentemente concesso ai nostri account di servizio. In questo modo, viene applicato il principio del privilegio minimo ai tuoi dati e viene garantita la loro sicurezza.
Questa sezione descrive:
- Revocare l'accesso dei nostri service account ai tuoi bucket Cloud Storage.
- Revoca dell'accesso ai ruoli Cloud KMS per i nostri service account.
- Distruzione della chiave Cloud KMS utilizzata per criptare i dati su Transfer Appliance.
Attendi che tutti i dati vengano copiati in Cloud Storage prima di completare i passaggi riportati di seguito.
Una volta eliminata la chiave Cloud KMS, non è possibile recuperare i dati criptati su Transfer Appliance. Allo stesso modo, una volta revocati gli account di servizio dai bucket Cloud Storage e dalla chiave Cloud KMS, non è più possibile copiare dati dall'appliance ai bucket Cloud Storage.
Revoca dell'accesso alla chiave Cloud KMS per il account di servizio
La revoca dell'accesso alla chiave Cloud KMS per l'account di servizio Transfer Appliance garantisce che non possiamo più decriptare i dati di Transfer Appliance per tuo conto.
Per revocare i ruoli Cloud KMS CryptoKey Decrypter e Visualizzatore chiave pubblica CryptoKey di Cloud KMS dall'account di servizio, segui questi passaggi:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella consoleGoogle Cloud .
Fai clic sul nome del keyring che contiene la chiave utilizzata in Prepara la chiave Cloud KMS.
Seleziona la casella di controllo relativa alla chiave di cui stai revocando l'accesso dalaccount di serviziot.
Fai clic su Mostra riquadro informazioni.
Viene visualizzato il riquadro informativo.
Per revocare il ruolo Cloud KMS CryptoKey Decrypter dall'account di servizio, procedi nel seguente modo:
Nella scheda Autorizzazioni, espandi Cloud KMS CryptoKey Decrypter.
Individua il account di servizio. Avrà un aspetto simile al seguente esempio:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.comIn questo esempio,
PEOJECT_IDè l'ID progetto Google Cloud in cui si trova la chiave.Fai clic su Elimina.
Nella finestra di eliminazione, seleziona il account di servizio e fai clic su Rimuovi.
Per revocare il ruolo Cloud KMS CryptoKey Public Key Viewer dall'account di servizio, procedi nel seguente modo:
Nella scheda Autorizzazioni, espandi il ruolo Cloud KMS CryptoKey Public Key Viewer.
Individua il account di servizio per la sessione. Avrà un aspetto simile al seguente esempio:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.comIn questo esempio,
PEOJECT_IDè l'ID progetto Google Cloud in cui si trova la chiave.Fai clic su Elimina.
Nella finestra di eliminazione, seleziona la casella di controllo accanto all'account di servizio e fai clic su Rimuovi.
Riga di comando
Esegui questo comando per revocare il ruolo roles/cloudkms.cryptoKeyDecrypter dall'account di servizio della sessione:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyDecrypter
In questo esempio:
KEY: Il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: il nome delle chiavi automatizzate.LOCATION: la posizione di Cloud Key Management Service per l'anello di chiavi. Ad esempio,global.PROJECT_ID: L' Google Cloud ID progetto in cui si trova la chiave.
Esegui questo comando per revocare il ruolo roles/cloudkms.publicKeyViewer dall'account di servizio di sessione:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.publicKeyViewer
In questo esempio:
KEY: Il nome della chiave Cloud Key Management Service. Ad esempio,ta-key.KEY_RING: il nome delle chiavi automatizzate.LOCATION: la posizione di Cloud Key Management Service per l'anello di chiavi. Ad esempio,global.PROJECT_ID: L' Google Cloud ID progetto in cui si trova la chiave.
Revoca dell'accesso al bucket Cloud Storage per i service account
La revoca dell'accesso al bucket Cloud Storage per gli account di servizio Transfer Appliance garantisce che non possiamo più utilizzare le risorse Cloud Storage per tuo conto.
Per revocare l'accesso al bucket Cloud Storage per i service account Transfer Appliance:
Google Cloud Console
- Nella console Google Cloud , vai alla pagina Bucket in Cloud Storage.
Individua il bucket Cloud Storage in cui sono stati copiati i dati e seleziona la casella di controllo accanto al nome del bucket.
Fai clic su Mostra riquadro informazioni.
Viene visualizzato il riquadro informativo.
Nella scheda Autorizzazioni, espandi Ruolo di amministratore Storage.
Individua i service account associati. A seconda della configurazione, ci saranno da 2 a 4 account. Gli account di servizio sono descritti in Guida di riferimento rapido per gli account di servizio.
Per ogni account di servizio:
Fai clic su Elimina.
Per confermare l'eliminazione, seleziona la casella di controllo accanto all'account di servizio e fai clic su Rimuovi.
Riga di comando
Utilizza il comando gcloud storage buckets remove-iam-policy-binding:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
A seconda della configurazione, potresti avere account di servizio aggiuntivi. Per i dettagli, consulta il riferimento rapido per i service account.
In questo esempio:
SESSION_ID: l'ID sessione per questo trasferimento specifico.IDENTIFIER: un numero generato specifico per questo progetto in particolare.BUCKET_NAME: il nome del tuo bucket Cloud Storage.
Eliminazione della chiave Cloud KMS
L'eliminazione della chiave Cloud KMS garantisce che i dati precedentemente criptati dalla chiave non possano più essere decriptati da nessuno.
Per ulteriori informazioni sull'eliminazione delle chiavi, consulta Eliminazione e ripristino delle versioni delle chiavi.
Per eliminare la chiave Cloud KMS:
Google Cloud Console
Vai alla pagina Chiavi crittografiche nella consoleGoogle Cloud .
Fai clic sul nome del keyring utilizzato per preparare la chiave Cloud KMS.
Individua la riga contenente la chiave che stai eliminando.
Seleziona Altro > Distruggi.
Viene visualizzata una finestra di dialogo di conferma.
Nella finestra di dialogo di conferma, fai clic su Pianifica distruzione.
Riga di comando
Utilizza il comando gcloud kms keys version destroy:
gcloud kms keys versions destroy VERSION_NUMBER --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
In questo esempio:
VERSION_NUMBER: Il numero di versione della chiave.KEY_RING: il nome del tuo keyring.KEY: il nome della chiave asimmetrica.LOCATION: la Google Cloud posizione delle chiavi automatizzate.PROJECT_ID: L' Google Cloud ID progetto in cui si trova la chiave.