Esta página foi traduzida pela API Cloud Translation.

Limpe o acesso

Depois de concluirmos a cópia dos seus dados de todos os eletrodomésticos, recomendamos que remova o acesso concedido anteriormente às nossas contas de serviço. Isto aplica a prática do menor privilégio aos seus dados e ajuda a garantir a segurança dos mesmos.

Esta secção descreve:

Revogar o acesso das nossas contas de serviço aos seus contentores do Cloud Storage.
Revogar o acesso das nossas contas de serviço às suas funções do Cloud KMS.
Destruir a chave do Cloud KMS usada para encriptar os seus dados no Transfer Appliance.

Aguarde até copiarmos todos os seus dados para o Cloud Storage antes de concluir os passos abaixo.

Depois de a chave do Cloud KMS ser destruída, não é possível recuperar os dados encriptados no Transfer Appliance. Da mesma forma, assim que revogar as contas de serviço dos contentores do Cloud Storage e da chave do Cloud KMS, não é possível copiar mais dados do dispositivo para os contentores do Cloud Storage.

Revogar o acesso à chave do Cloud KMS para a conta de serviço

A revogação do acesso à chave do Cloud KMS para a conta de serviço do Transfer Appliance garante que já não podemos desencriptar os dados do Transfer Appliance em seu nome.

Para revogar as funções de desencriptador de CryptoKey do Cloud KMS e visualizador de chave pública de CryptoKey do Cloud KMS da conta de serviço, siga estes passos:

Google Cloud Consola

Aceda à página Chaves criptográficas na Google Cloud consola.

Aceda à página Chaves criptográficas
Clique no nome do conjunto de chaves que contém a chave usada em Prepare a chave do Cloud KMS.
Selecione a caixa de verificação da chave cujo acesso está a revogar da conta de serviço.
Clique em Mostrar painel de informações.

O painel de informações é apresentado.
Para revogar a função desencriptador de CryptoKey do Cloud KMS da conta de serviço, faça o seguinte:
1. No separador Autorizações, expanda Desencriptador de CryptoKey do Cloud KMS.
2. Localize a conta de serviço. Tem o seguinte aspeto:
  
  service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com
  
  Neste exemplo, PEOJECT_ID é o Google Cloud ID do projeto ao qual a sua chave pertence.
3. Clique em Eliminar.
4. Na janela de eliminação, selecione a conta de serviço e clique em Remover.
Para revogar a função Visualizador de chave pública de CryptoKey do Cloud KMS da conta de serviço, faça o seguinte:
1. No separador Permissões, expanda a função Visualizador de chaves públicas do CryptoKey do Cloud KMS.
2. Localize a conta de serviço da sessão. Tem o seguinte aspeto:
  
  service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com
  
  Neste exemplo, PEOJECT_ID é o Google Cloud ID do projeto ao qual a sua chave pertence.
3. Clique em Eliminar.
4. Na janela de eliminação, selecione a caixa de verificação junto à conta de serviço e clique em Remover.

Linha de comandos

Execute o seguinte comando para revogar a função roles/cloudkms.cryptoKeyDecrypter da conta de serviço da sessão:
```
gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyDecrypter
```
Neste exemplo:
- KEY: o nome da chave do Cloud Key Management Service. Por exemplo, ta-key.
- KEY_RING: o nome do conjunto de chaves.
- LOCATION: a localização do Cloud Key Management Service para o conjunto de chaves. Por exemplo, global.
- PROJECT_ID: O ID do projeto no qual a chave se encontra. Google Cloud
Execute o seguinte comando para revogar a função roles/cloudkms.publicKeyViewer da conta de serviço da sessão:
```
gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.publicKeyViewer
```
Neste exemplo:
- KEY: o nome da chave do Cloud Key Management Service. Por exemplo, ta-key.
- KEY_RING: o nome do conjunto de chaves.
- LOCATION: a localização do Cloud Key Management Service para o conjunto de chaves. Por exemplo, global.
- PROJECT_ID: O ID do projeto no qual a chave se encontra. Google Cloud

Revogar o acesso ao contentor do Cloud Storage para as contas de serviço

A revogação do acesso ao contentor do Cloud Storage para as contas de serviço do Transfer Appliance garante que deixamos de poder usar os recursos do Cloud Storage em seu nome.

Para revogar o acesso ao contentor do Cloud Storage para as contas de serviço do Transfer Appliance, faça o seguinte:

Google Cloud Consola

Na Google Cloud consola, aceda à página Recipientes do Cloud Storage.

Aceda aos contentores
Localize o segmento do Cloud Storage para o qual os seus dados foram copiados e selecione a caixa de verificação junto ao nome do segmento.
Clique em Mostrar painel de informações.

O painel de informações é apresentado.
No separador Autorizações, expanda Função de administrador de armazenamento.
Localize as contas de serviço associadas. Existem 2 a 4 contas, consoante a sua configuração. As contas de serviço são descritas no artigo Referência rápida da conta de serviço.

Para cada conta de serviço:
1. Clique em Eliminar.
2. Para confirmar a eliminação, selecione a caixa de verificação junto à conta de serviço e clique em Remover.

Linha de comandos

Use o comando gcloud storage buckets remove-iam-policy-binding:

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
--role=roles/storage.admin

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \
--role=roles/storage.admin

Pode ter contas de serviço adicionais, consoante a sua configuração. Consulte a Referência rápida da conta de serviço para ver detalhes.

Neste exemplo:

SESSION_ID: o ID da sessão desta transferência específica.
IDENTIFIER: um número gerado específico deste projeto em particular.
BUCKET_NAME: o nome do seu contentor do Cloud Storage.

Destruir a chave do Cloud KMS

A destruição da chave do Cloud KMS garante que os dados encriptados anteriormente pela chave já não podem ser desencriptados por ninguém.

Para mais informações sobre a destruição de chaves, consulte o artigo Destruir e restaurar versões de chaves.

Para destruir a chave do Cloud KMS, faça o seguinte:

Google Cloud Consola

Aceda à página Chaves criptográficas na Google Cloud consola.

Aceda à página Chaves criptográficas
Clique no nome do conjunto de chaves usado para preparar a chave do Cloud KMS.
Localize a linha que contém a chave que está a destruir.
Selecione Mais > Destruir.

É apresentada uma caixa de diálogo de confirmação.
Na caixa de diálogo de confirmação, clique em Agendar destruição.

Linha de comandos

Use o comando gcloud kms keys version destroy:

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

Neste exemplo:

VERSION_NUMBER: o número da versão da chave.
KEY_RING: o nome do seu conjunto de chaves.
KEY: o nome da sua chave assimétrica.
LOCATION: a Google Cloud localização do conjunto de chaves.
PROJECT_ID: O ID do projeto no qual a chave se encontra. Google Cloud

Limpe o acesso Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Revogar o acesso à chave do Cloud KMS para a conta de serviço

Google Cloud Consola

Linha de comandos

Revogar o acesso ao contentor do Cloud Storage para as contas de serviço

Google Cloud Consola

Linha de comandos

Destruir a chave do Cloud KMS

Google Cloud Consola

Linha de comandos

Limpe o acesso