清理访问权限

在我们将数据从所有设备复制完毕后,建议您移除之前授予我们服务账号的访问权限。这会将最小权限实践应用于您的数据,并有助于确保数据安全。

本部分介绍以下内容:

  • 撤消我们的服务账号对您的 Cloud Storage 存储分区的访问权限。
  • 撤消我们的服务账号对您的 Cloud KMS 角色的访问权限。
  • 销毁用于加密 Transfer Appliance 上数据的 Cloud KMS 密钥。

请等到我们将您的所有数据复制到 Cloud Storage 后,再完成以下步骤。

Cloud KMS 密钥销毁后,Transfer Appliance 上的任何加密数据都无法恢复。同样,一旦您撤消服务账号对 Cloud Storage 存储分区和 Cloud KMS 密钥的访问权限,就无法再将数据从设备复制到您的 Cloud Storage 存储分区。

撤消服务账号的 Cloud KMS 密钥访问权限

撤消 Transfer Appliance 服务账号的 Cloud KMS 密钥访问权限可确保我们无法再代表您解密 Transfer Appliance 数据。

如需从服务账号撤消 Cloud KMS CryptoKey Decrypter 和 Cloud KMS CryptoKey Public Key Viewer 角色,请按以下步骤操作:

Google Cloud 控制台

  1. 前往Google Cloud 控制台中的加密密钥页面。

    转到“加密密钥”页面

  2. 点击包含在准备 Cloud KMS 密钥中使用的密钥的密钥环的名称。

  3. 选中您要撤消服务账号对相应密钥的访问权限的密钥对应的复选框。

  4. 点击显示信息面板

    系统会显示信息面板。

  5. 如需从服务账号撤消 Cloud KMS CryptoKey Decrypter 角色,请执行以下操作:

    1. 权限标签页中,展开 Cloud KMS CryptoKey Decrypter

    2. 找到服务账号。类似以下示例:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      在此示例中,PEOJECT_ID 是您的密钥所属的Google Cloud 项目 ID。

    3. 点击 删除。

    4. 在删除窗口中,选择相应服务账号,然后点击移除

  6. 如需从服务账号撤消 Cloud KMS CryptoKey Public Key Viewer 角色,请执行以下操作:

    1. 权限标签页中,展开 Cloud KMS CryptoKey Public Key Viewer 角色。

    2. 找到会话服务账号。类似以下示例:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      在此示例中,PEOJECT_ID 是密钥所属的Google Cloud 项目 ID。

    3. 点击 删除。

    4. 在删除窗口中,选中相应服务账号旁边的复选框,然后点击移除

命令行

  1. 运行以下命令,从会话服务账号中撤消 roles/cloudkms.cryptoKeyDecrypter 角色:

    gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyDecrypter

    在此示例中:

    • KEY:Cloud Key Management Service 密钥的名称。例如 ta-key
    • KEY_RING:密钥环的名称。
    • LOCATION:密钥环的 Cloud Key Management Service 位置。例如 global
    • PROJECT_ID:您的密钥所属的 Google Cloud 项目 ID。

  2. 运行以下命令,从会话服务账号中撤消 roles/cloudkms.publicKeyViewer 角色:

    gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.publicKeyViewer

    在此示例中:

    • KEY:Cloud Key Management Service 密钥的名称。例如 ta-key
    • KEY_RING:密钥环的名称。
    • LOCATION:密钥环的 Cloud Key Management Service 位置。例如 global
    • PROJECT_ID:您的密钥所属的 Google Cloud 项目 ID。

撤消服务账号的 Cloud Storage 存储桶访问权限

撤消 Transfer Appliance 服务账号的 Cloud Storage 存储桶访问权限可确保我们无法再代表您使用 Cloud Storage 资源。

如需撤消 Transfer Appliance 服务账号的 Cloud Storage 存储桶访问权限,请执行以下操作:

Google Cloud 控制台

  1. 在 Google Cloud 控制台中,转到 Cloud Storage 存储桶页面。

    进入“存储桶”

  2. 找到数据复制到的 Cloud Storage 存储桶,然后选中存储桶名称旁边的复选框。

  3. 点击显示信息面板

    系统会显示信息面板。

  4. 权限标签页中,展开 Storage Admin Role

  5. 找到关联的服务账号。具体账号数量为 2 到 4 个,取决于您的配置。如需了解服务账号,请参阅服务账号快速参考

    对于每个服务账号:

    1. 点击 删除。

    2. 如需确认删除,请选中相应服务账号旁边的复选框,然后点击移除

命令行

使用 gcloud storage buckets remove-iam-policy-binding 命令:

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
--role=roles/storage.admin

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \
--role=roles/storage.admin

您可能还有其他服务账号,具体取决于您的配置。 如需了解详情,请参阅服务账号快速参考

在此示例中:

  • SESSION_ID:此特定转移的会话 ID。
  • IDENTIFIER:针对此特定项目生成的编号。
  • BUCKET_NAME:Cloud Storage 存储桶的名称。

销毁 Cloud KMS 密钥

销毁 Cloud KMS 密钥可确保之前使用该密钥加密的任何数据都无法再被任何人解密。

如需详细了解如何销毁密钥,请参阅销毁和恢复密钥版本

如需销毁 Cloud KMS 密钥,请执行以下操作:

Google Cloud 控制台

  1. 前往Google Cloud 控制台中的加密密钥页面。

    转到“加密密钥”页面

  2. 点击用于准备 Cloud KMS 密钥的密钥环的名称。

  3. 找到包含您要销毁的密钥的行。

  4. 依次选择 更多> 销毁

    此时会显示一个确认对话框。

  5. 在确认对话框中,点击安排销毁

命令行

使用 gcloud kms keys version destroy 命令:

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

在此示例中:

  • VERSION_NUMBER:密钥的版本号。
  • KEY_RING:密钥环的名称。
  • KEY:非对称密钥的名称。
  • LOCATION:密钥环的 Google Cloud 位置。
  • PROJECT_ID:您的密钥所属的 Google Cloud 项目 ID。