모든 어플라이언스에서 데이터 복사를 완료했으면 서비스 계정에 이전에 부여된 액세스 권한을 삭제하는 것이 좋습니다. 이렇게 하면 데이터에 최소 권한의 원칙이 적용되고 데이터 보안을 보장하는 데 도움이 됩니다.
이 섹션에서는 다음을 설명합니다.
- 서비스 계정이 Cloud Storage 버킷에 액세스하지 못하도록 권한을 취소합니다.
- 서비스 계정이 Cloud KMS 역할에 액세스하지 못하도록 권한을 취소합니다.
- Transfer Appliance에서 데이터 암호화를 위해 사용되는 Cloud KMS 키를 삭제합니다.
Cloud Storage에 모든 데이터가 복사될 때까지 기다린 후 아래 단계를 완료합니다.
Cloud KMS 키가 삭제되면 Transfer Appliance에서 암호화된 데이터를 복구할 수 없습니다. 마찬가지로 Cloud Storage 버킷에서 서비스 계정과 Cloud KMS 키를 취소하면 어플라이언스에서 Cloud Storage 버킷으로 데이터를 더 이상 복사할 수 없습니다.
서비스 계정의 Cloud KMS 키 액세스 권한 취소
Transfer Appliance 서비스 계정에 대해 Cloud KMS 키 액세스를 취소하면 더 이상 사용자를 대신해서 Transfer Appliance 데이터를 암호화할 수 없습니다.
서비스 계정에서 Cloud KMS CryptoKey 복호화 유틸리티 및 Cloud KMS CryptoKey 공개 키 뷰어 역할을 취소하려면 다음 단계를 수행합니다.
Google Cloud 콘솔
Google Cloud 콘솔에서 암호화 키 페이지로 이동합니다.
Cloud KMS 키 준비에 사용된 키가 있는 키링의 이름을 클릭합니다.
서비스 계정에서 액세스 권한을 취소하려는 키의 체크박스를 선택합니다.
정보 패널 표시를 클릭합니다.
정보 패널이 표시됩니다.
서비스 계정에서 Cloud KMS CryptoKey 복호화 유틸리티 역할을 취소하려면 다음을 수행합니다.
권한 탭에서 Cloud KMS CryptoKey 복호화 유틸리티를 확장합니다.
서비스 계정을 찾습니다. 예시는 다음과 같습니다.
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com
이 예시에서
PEOJECT_ID
는 키가 속한 Google Cloud 프로젝트 ID입니다.삭제를 클릭합니다.
삭제 창에서 서비스 계정을 선택하고 삭제를 클릭합니다.
서비스 계정에서 Cloud KMS CryptoKey 공개 키 뷰어 역할을 취소하려면 다음을 수행합니다.
권한 탭에서 Cloud KMS CryptoKey 공개 키 뷰어 역할을 확장합니다.
세션 서비스 계정을 찾습니다. 예시는 다음과 같습니다.
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com
이 예시에서
PEOJECT_ID
는 키가 속한 Google Cloud 프로젝트 ID입니다.삭제를 클릭합니다.
삭제 창에서 서비스 계정 옆에 있는 체크박스를 선택하고 삭제를 클릭합니다.
명령줄
다음 명령어를 실행하여 세션 서비스 계정에서 roles/cloudkms.cryptoKeyDecrypter 역할을 취소합니다.
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyDecrypter
예를 들면 다음과 같습니다.
KEY
: Cloud Key Management Service 키의 이름입니다. 예를 들면ta-key
입니다.KEY_RING
: 키링의 이름입니다.LOCATION
: 키링의 Cloud Key Management Service 위치입니다. 예를 들면global
입니다.PROJECT_ID
: 키가 속한 Google Cloud 프로젝트 ID입니다.
다음 명령어를 실행하여 세션 서비스 계정에서 roles/cloudkms.publicKeyViewer 역할을 취소합니다.
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.publicKeyViewer
예를 들면 다음과 같습니다.
KEY
: Cloud Key Management Service 키의 이름입니다. 예를 들면ta-key
입니다.KEY_RING
: 키링의 이름입니다.LOCATION
: 키링의 Cloud Key Management Service 위치입니다. 예를 들면global
입니다.PROJECT_ID
: 키가 속한 Google Cloud 프로젝트 ID입니다.
서비스 계정의 Cloud Storage 버킷 액세스 권한 취소
Transfer Appliance 서비스 계정의 Cloud Storage 버킷 액세스 권한을 취소하면 Google이 더 이상 사용자를 대신해서 Cloud Storage 리소스를 사용할 수 없습니다.
Transfer Appliance 서비스 계정에 대해 Cloud Storage 버킷 액세스 권한을 취소하려면 다음을 수행합니다.
Google Cloud 콘솔
- Google Cloud 콘솔에서 Cloud Storage 버킷 페이지로 이동합니다.
데이터가 복사된 Cloud Storage 버킷을 찾아서 버킷 이름 옆에 있는 체크박스를 선택합니다.
정보 패널 표시를 클릭합니다.
정보 패널이 표시됩니다.
권한 탭에서 스토리지 관리자 역할을 확장합니다.
연결된 서비스 계정을 찾습니다. 구성에 따라 2~4개의 계정이 있습니다. 서비스 계정은 서비스 계정 빠른 참조에 설명되어 있습니다.
각 서비스 계정에 대해 다음을 수행합니다.
삭제를 클릭합니다.
삭제를 확인하기 위해 서비스 계정 옆에 있는 체크박스를 선택하고 삭제를 클릭합니다.
명령줄
gcloud storage buckets remove-iam-policy-binding
명령어를 사용합니다.
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
구성에 따라 추가 서비스 계정이 있을 수 있습니다. 자세한 내용은 서비스 계정 빠른 참조를 확인하세요.
예를 들면 다음과 같습니다.
SESSION_ID
: 특정 전송의 세션 ID입니다.IDENTIFIER
: 이 특정 프로젝트와 관련해서 생성된 번호입니다.BUCKET_NAME
: Cloud Storage 버킷의 이름입니다.
Cloud KMS 키 삭제
Cloud KMS 키를 삭제하면 해당 키로 이전에 암호화된 데이터를 더 이상 다른 사용자가 복호화할 수 없습니다.
키를 삭제하는 방법에 대한 자세한 내용은 키 버전 삭제 및 복원을 참조하세요.
Cloud KMS 키를 삭제하려면 다음을 수행합니다.
Google Cloud 콘솔
Google Cloud 콘솔에서 암호화 키 페이지로 이동합니다.
Cloud KMS 키 준비에 사용된 키링의 이름을 클릭합니다.
삭제하려는 키가 포함된 행을 찾습니다.
> 삭제를 선택합니다.
더보기확인 대화상자가 표시됩니다.
확인 대화상자에서 삭제 예약을 클릭합니다.
명령줄
gcloud kms keys version destroy
명령어를 사용합니다.
gcloud kms keys versions destroy VERSION_NUMBER --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
예를 들면 다음과 같습니다.
VERSION_NUMBER
: 키의 버전 번호입니다.KEY_RING
: 키링의 이름입니다.KEY
: 비대칭 키의 이름입니다.LOCATION
: 키링의 Google Cloud 위치입니다.PROJECT_ID
: 키가 속한 Google Cloud 프로젝트 ID입니다.