我们从所有设备中复制完您的数据后,建议您移除之前向我们的服务账号授予的访问权限。这会将最小权限实践应用于您的数据,并有助于确保数据安全。
本部分介绍了以下内容:
- 撤消我们服务账号对您 Cloud Storage 存储分区的访问权限。
- 撤消我们服务账号对您的 Cloud KMS 角色的访问权限。
- 销毁用于加密 Transfer Appliance 上数据的 Cloud KMS 密钥。
请等待我们将您的所有数据复制到 Cloud Storage,然后再完成以下步骤。
Cloud KMS 密钥销毁后,Transfer Appliance 上的所有加密数据都无法恢复。同样,从 Cloud Storage 存储分区和 Cloud KMS 密钥中撤消服务账号的访问权限后,系统将无法再将任何数据从设备复制到您的 Cloud Storage 存储分区。
撤消服务账号的 Cloud KMS 密钥访问权限
撤消 Transfer Appliance 服务账号的 Cloud KMS 密钥访问权限可确保我们无法再代表您解密 Transfer Appliance 数据。
如需从服务账号撤消 Cloud KMS CryptoKey Decrypter 和 Cloud KMS CryptoKey Public Key Viewer 角色,请按以下步骤操作:
Google Cloud 控制台
前往 Google Cloud 控制台中的加密密钥页面。
点击包含准备 Cloud KMS 密钥中所用密钥的密钥环的名称。
选中您要从服务账号撤消访问权限的密钥对应的复选框。
点击显示信息面板。
系统会显示信息面板。
如需从服务账号撤消 Cloud KMS CryptoKey Decrypter 角色,请执行以下操作:
在权限标签页中,展开 Cloud KMS CryptoKey Decrypter。
找到相应服务账号。如下示例所示:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com在此示例中,
PEOJECT_ID是密钥所属的Google Cloud project ID。点击 删除。
在删除窗口中,选择相应服务账号,然后点击移除。
如需从服务账号撤消 Cloud KMS CryptoKey Public Key Viewer 角色,请执行以下操作:
在权限标签页中,展开 Cloud KMS CryptoKey Public Key Viewer 角色。
找到会话服务账号。如下示例所示:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com在此示例中,
PEOJECT_ID是密钥所属的Google Cloud project ID。点击 删除。
在删除窗口中,选中服务账号旁边的复选框,然后点击移除。
命令行
运行以下命令,从会话服务账号撤消 roles/cloudkms.cryptoKeyDecrypter 角色:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyDecrypter
在此示例中:
KEY:Cloud Key Management Service 密钥的名称。例如ta-key。KEY_RING:密钥环的名称。LOCATION:密钥环的 Cloud Key Management Service 位置。例如global。PROJECT_ID:密钥所属的 Google Cloud 项目 ID。
运行以下命令,从会话服务账号撤消 roles/cloudkms.publicKeyViewer 角色:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.publicKeyViewer
在此示例中:
KEY:Cloud Key Management Service 密钥的名称。例如ta-key。KEY_RING:密钥环的名称。LOCATION:密钥环的 Cloud Key Management Service 位置。例如global。PROJECT_ID:密钥所属的 Google Cloud 项目 ID。
撤消服务账号对 Cloud Storage 存储桶的访问权限
撤消 Transfer Appliance 服务账号的 Cloud Storage 存储桶访问权限可确保我们无法再代表您使用 Cloud Storage 资源。
如需撤消 Transfer Appliance 服务账号对 Cloud Storage 存储桶的访问权限,请执行以下操作:
Google Cloud 控制台
命令行
使用 gcloud storage buckets remove-iam-policy-binding 命令:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
您可能还有其他服务账号,具体取决于您的配置。如需了解详情,请参阅服务账号快捷参考。
在此示例中:
SESSION_ID:此特定转移的会话 ID。IDENTIFIER:特定于此特定项目的生成编号。BUCKET_NAME:Cloud Storage 存储桶的名称。
销毁 Cloud KMS 密钥
销毁 Cloud KMS 密钥可确保任何人无法再解密之前使用该密钥加密的任何数据。
如需详细了解如何销毁密钥,请参阅销毁和恢复密钥版本。
如需销毁 Cloud KMS 密钥,请执行以下操作:
Google Cloud 控制台
前往 Google Cloud 控制台中的加密密钥页面。
点击用于准备 Cloud KMS 密钥的密钥环的名称。
找到要销毁的密钥所在的行。
依次选择 更多 > 销毁。
系统会显示一个确认对话框。
在确认对话框中,点击安排销毁。
命令行
使用 gcloud kms keys version destroy 命令:
gcloud kms keys versions destroy VERSION_NUMBER --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
在此示例中:
VERSION_NUMBER:密钥的版本号。KEY_RING:密钥环的名称。KEY:非对称密钥的名称。LOCATION:密钥环的位置。 Google CloudPROJECT_ID:密钥所属的 Google Cloud 项目 ID。