アクセスのクリーンアップ

すべてのアプライアンスからデータをコピーしたら、サービス アカウントに以前付与したアクセス権を削除することをおすすめします。これにより、データに最小権限の原則が適用され、データのセキュリティが確保されます。

このセクションでは、次の項目について説明します。

  • サービス アカウントを取り消すことで、Cloud Storage バケットにアクセスできなくなります。
  • サービス アカウントに対する Cloud KMS の役割へのアクセスを取り消す。
  • Transfer Appliance でデータの暗号化に使用した Cloud KMS 鍵の破棄。

すべてのデータが Cloud Storage にコピーされるまで待ってから、以下の手順を完了してください。

Cloud KMS 鍵が破棄されると、Transfer Appliance で暗号化されたデータは復元できなくなります。同様に、Cloud Storage バケットと Cloud KMS 鍵からサービス アカウントを取り消すと、アプライアンスから Cloud Storage バケットにそれ以上データをコピーできなくなります。

サービス アカウントの Cloud KMS 鍵のアクセス権を取り消す

Transfer Appliance サービス アカウントの Cloud KMS 鍵のアクセス権を取り消すと、Google はユーザーに代わって Transfer Appliance データを復号できなくなります。

サービス アカウントから Cloud KMS CryptoKey の復号と Cloud KMS CryptoKey の公開鍵閲覧者のロールを取り消すには、次の手順に従います。

Google Cloud Console

  1. Google Cloud コンソールで [暗号鍵] ページに移動します。

    [暗号鍵] ページに移動

  2. Cloud KMS 鍵の準備で使用する鍵を含むキーリングの名前をクリックします。

  3. サービス アカウントからアクセス権を取り消す鍵のチェックボックスをオンにします。

  4. [情報パネルを表示] をクリックします。

    情報パネルが表示されます。

  5. サービス アカウントから Cloud KMS CryptoKey の復号のロールを取り消すには、次のようにします。

    1. [権限] タブで、[Cloud KMS 暗号鍵の復号化] を展開します。

    2. サービス アカウントを見つけます。次のような形式です。 例:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      この例では、PEOJECT_ID は、鍵が属する Google Cloud プロジェクト ID です。

    3. [削除] をクリックします。

    4. 削除ウィンドウでサービス アカウントを選択し、[削除] をクリックします。

  6. サービス アカウントから Cloud KMS CryptoKey の公開鍵閲覧者のロールを取り消すには、次のようにします。

    1. [権限] タブで、[Cloud KMS 暗号鍵の公開鍵閲覧者] ロールを展開します。

    2. セッション サービス アカウントを見つけます。次のような形式です。 例:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      この例では、PEOJECT_ID は、鍵が属する Google Cloud プロジェクト ID です。

    3. [削除] をクリックします。

    4. 削除ウィンドウで、サービス アカウントの横にあるチェックボックスをオンにして、[削除] をクリックします。

コマンドライン

  1. 次のコマンドを実行して、セッション サービス アカウントから roles/cloudkms.cryptoKeyDecrypter ロールを取り消します。

    gcloud kms keys remove-iam-policy-binding KEY \
      --keyring KEY_RING \
      --location LOCATION \
      --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
      --role roles/cloudkms.cryptoKeyDecrypter
    

    この例では、次のようになります。

    • KEY: Cloud Key Management Service 鍵の名前。 例: ta-key
    • KEY_RING: キーリングの名前。
    • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
    • PROJECT_ID: 鍵が属する Google Cloud プロジェクト ID。
  2. 次のコマンドを実行して、セッション サービス アカウントから roles/cloudkms.publicKeyViewer ロールを取り消します。

    gcloud kms keys remove-iam-policy-binding KEY \
      --keyring KEY_RING \
      --location LOCATION \
      --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
      --role roles/cloudkms.publicKeyViewer
    

    この例では、次のようになります。

    • KEY: Cloud Key Management Service 鍵の名前。 例: ta-key
    • KEY_RING: キーリングの名前。
    • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
    • PROJECT_ID: 鍵が属する Google Cloud プロジェクト ID。

サービス アカウントの Cloud Storage バケット アクセス権を取り消す

Transfer Appliance サービス アカウントに対する Cloud Storage バケットへのアクセス権を取り消すと、Google がユーザーに代わって Cloud Storage リソースにアクセスできなくなります。

Transfer Appliance サービス アカウントの Cloud Storage バケットへのアクセス権を取り消すには、次の手順に従います。

Google Cloud Console

  1. Google Cloud コンソールで、Cloud Storage の [バケット] ページに移動します。

    [バケット] に移動

  2. データのコピー先の Cloud Storage バケットを見つけ、バケット名の横にあるチェックボックスをオンにします。

  3. [情報パネルを表示] をクリックします。

    情報パネルが表示されます。

  4. [権限] タブで、[ストレージ管理者のロール] を展開します。

  5. 関連付けられているサービス アカウントを見つけます。構成に応じて、2〜4 アカウントが作成されます。サービス アカウントについては、サービス アカウントのクイック リファレンスをご覧ください。

    各サービス アカウントの場合:

    1. [削除] をクリックします。

    2. 削除を確定するには、サービス アカウントの横にあるチェックボックスをオンにして、[削除] をクリックします。

コマンドライン

gcloud storage buckets remove-iam-policy-binding コマンドを次のように使用します。

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
--role=roles/storage.admin
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \
--role=roles/storage.admin

構成によっては、追加のサービス アカウントを使用できる場合があります。詳しくは、サービス アカウントのクイック リファレンスをご覧ください。

この例では、次のようになります。

  • SESSION_ID: この転送に固有のセッション ID。
  • IDENTIFIER: この特定のプロジェクトに固有の生成された番号。
  • BUCKET_NAME: Cloud Storage バケットの名前

Cloud KMS 鍵の破棄

Cloud KMS 鍵を破棄すると、その鍵で以前に暗号化されたデータを誰も復号できなくなります。

鍵の破棄の詳細については、鍵バージョンの破棄と復元をご覧ください。

Cloud KMS 鍵を破棄するには、次の手順を行います。

Google Cloud Console

  1. Google Cloud コンソールで [暗号鍵] ページに移動します。

    [暗号鍵] ページに移動

  2. Cloud KMS 鍵の準備に使用するキーリングの名前をクリックします。

  3. 破棄する鍵を含む行を探します。

  4. [その他] > [破棄] を選択します。

    確認ダイアログが表示されます。

  5. 確認ダイアログで [破棄をスケジュール] をクリックします。

コマンドライン

gcloud kms keys version destroy コマンドを使用します。

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

この例では、次のようになります。

  • VERSION_NUMBER: 鍵のバージョン番号
  • KEY_RING: キーリングの名前。
  • KEY: 非対称鍵の名前。
  • LOCATION: キーリングの Google Cloud のロケーション
  • PROJECT_ID: 鍵が属する Google Cloud プロジェクト ID。