在我们完成从所有设备中复制完您的数据后,建议您 移除之前授予我们的服务账号的访问权限。这会应用 对数据应用最小权限的做法,并有助于确保数据的安全性。
本部分介绍了以下内容:
- 撤消我们的服务账号,禁止其访问您的 Cloud Storage 存储分区。
- 撤消我们的服务账号,使其无法访问您的 Cloud KMS 角色。
- 销毁用于加密以下位置数据的 Cloud KMS 密钥 Transfer Appliance。
请等待我们将您的所有数据复制到 Cloud Storage,然后再完成 步骤。
Cloud KMS 密钥被销毁后, 无法恢复 Transfer Appliance。同样,一旦您 可以撤消 Cloud Storage 存储分区中的服务账号 Cloud KMS 密钥,则无法再将更多数据从设备复制到您的 Cloud Storage 存储分区。
撤消服务账号的 Cloud KMS 密钥访问权限
撤消 Transfer Appliance 的 Cloud KMS 密钥访问权限 服务账号确保我们无法再解密 Transfer Appliance 数据。
撤消 Cloud KMS 加密密钥解密者和 Cloud KMS CryptoKey Public Key Viewer 角色,请按照以下步骤操作:
Google Cloud Console
转到加密密钥页面 Google Cloud 控制台。
点击包含所使用密钥的密钥环的名称 准备 Cloud KMS 密钥。
选中您要撤消访问权限的密钥对应的复选框 服务账号
点击显示信息面板。
系统随即会显示信息面板。
要从 Google Cloud 控制台中撤消 Cloud KMS CryptoKey Decrypter 角色, 服务账号,请执行以下操作:
在权限标签页中,展开 Cloud KMS CryptoKey Decrypter。
找到服务账号。如下所示: 示例:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com在此示例中,
PEOJECT_ID是 密钥所属的 Google Cloud 项目的 ID。点击 删除。
在删除窗口中,选择相应服务账号,然后点击移除。
如需撤消 Cloud KMS CryptoKey Public Key Viewer 角色,请执行以下操作: ,请执行以下操作:
在权限标签页中,展开 Cloud KMS CryptoKey Public Key Viewer 角色。
找到会话服务账号。如下所示: 示例:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com在此示例中,
PEOJECT_ID是 密钥所属的 Google Cloud 项目的 ID。点击 删除。
在删除窗口中,选中该服务账号旁边的复选框 然后点击移除。
命令行
运行以下命令以撤消 会话服务的 roles/cloudkms.cryptoKeyDecrypter 角色 账号:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyDecrypter
在此示例中:
KEY:Cloud Key Management Service 密钥的名称。例如ta-key。KEY_RING:密钥环的名称。LOCATION:密钥环的 Cloud Key Management Service 位置。例如global。PROJECT_ID:需要创建 Cloud Storage 存储分区的 Google Cloud 项目 ID 密钥所在的位置
运行以下命令以撤消 roles/cloudkms.publicKeyViewer 角色:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.publicKeyViewer
在此示例中:
KEY:Cloud Key Management Service 密钥的名称。例如ta-key。KEY_RING:密钥环的名称。LOCATION:密钥环的 Cloud Key Management Service 位置。例如global。PROJECT_ID:需要创建 Cloud Storage 存储分区的 Google Cloud 项目 ID 密钥所在的位置
撤消服务账号的 Cloud Storage 存储桶访问权限
撤消以下项目的 Cloud Storage 存储桶访问权限: Transfer Appliance 服务账号可确保我们无法 代表您使用 Cloud Storage 资源。
要撤消实例的 Cloud Storage 存储桶访问权限, Transfer Appliance 以下操作:
Google Cloud Console
命令行
使用 gcloud storage buckets remove-iam-policy-binding 命令:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:project-IDENTIFIER@storage-transfer-service.gserviceaccount.com \ --role=roles/storage.admin
根据您的配置,您可能还有其他服务账号。 请参阅 服务账号快速参考 了解详情。
在此示例中:
SESSION_ID:此特定转移的会话 ID。IDENTIFIER:一个生成的数字,具体如下: 这个特定的项目BUCKET_NAME:Cloud Storage 的名称 存储桶。
销毁 Cloud KMS 密钥
销毁 Cloud KMS 密钥可确保之前加密的所有数据 无法再由任何人解密。
如需详细了解如何销毁密钥,请参阅销毁和恢复密钥 版本。
如需销毁 Cloud KMS 密钥,请执行以下操作:
Google Cloud Console
转到加密密钥页面 Google Cloud 控制台。
点击用于更改密钥环的密钥环的名称 准备 Cloud KMS 密钥。
找到要销毁的密钥所在的行。
选择 更多 >销毁。
系统随即会显示确认对话框。
在确认对话框中,点击安排销毁。
命令行
使用 gcloud kms keys version destroy 命令:
gcloud kms keys versions destroy VERSION_NUMBER --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
在此示例中:
VERSION_NUMBER:密钥的版本号。KEY_RING:密钥环的名称。KEY:非对称密钥的名称。LOCATION:密钥环的 Google Cloud 位置。PROJECT_ID:需要创建 Cloud Storage 存储分区的 Google Cloud 项目 ID 密钥所在的位置