我們完成從所有裝置複製資料後,建議您移除先前授予服務帳戶的存取權。這會對您的資料套用最低權限原則,確保資料安全。
本節說明:
- 撤銷服務帳戶存取 Cloud Storage bucket 的權限。
- 撤銷服務帳戶存取 Cloud KMS 角色的權限。
- 銷毀用來加密 Transfer Appliance 資料的 Cloud KMS 金鑰。
請等待我們將所有資料複製到 Cloud Storage,再完成下列步驟。
Cloud KMS 金鑰一經銷毀,就無法復原 Transfer Appliance 上的任何加密資料。同樣地,一旦您從 Cloud Storage bucket 和 Cloud KMS 金鑰撤銷服務帳戶,就無法再將資料從裝置複製到 Cloud Storage bucket。
撤銷服務帳戶的 Cloud KMS 金鑰存取權
撤銷 Transfer Appliance 服務帳戶的 Cloud KMS 金鑰存取權,可確保我們無法再代表您解密 Transfer Appliance 資料。
如要撤銷服務帳戶的 Cloud KMS CryptoKey 解密者和 Cloud KMS CryptoKey 公開金鑰檢視者角色,請按照下列步驟操作:
Google Cloud 控制台
前往Google Cloud console 的「Cryptographic Keys」(加密編譯金鑰) 頁面。
按一下包含「準備 Cloud KMS 金鑰」中使用的金鑰的金鑰環名稱。
選取要從服務帳戶撤銷存取權的金鑰核取方塊。
按一下「顯示資訊面板」。
資訊面板隨即顯示。
如要撤銷服務帳戶的 Cloud KMS CryptoKey Decrypter 角色,請按照下列步驟操作:
在「權限」分頁中,展開「Cloud KMS CryptoKey 解密者」。
找出服務帳戶。如下列範例所示:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com在本例中,
PEOJECT_ID是金鑰所屬的Google Cloud 專案 ID。按一下「刪除」。
在刪除視窗中選取服務帳戶,然後按一下「移除」。
如要撤銷服務帳戶的「Cloud KMS CryptoKey Public Key Viewer」角色,請按照下列步驟操作:
在「權限」分頁中,展開「Cloud KMS CryptoKey Public Key Viewer」(Cloud KMS 加密編譯金鑰公開金鑰檢視者) 角色。
找出工作階段服務帳戶。如下列範例所示:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com在本例中,
PEOJECT_ID是金鑰所屬的Google Cloud 專案 ID。按一下「刪除」。
在刪除視窗中,選取服務帳戶旁的核取方塊,然後按一下「移除」。
指令列
執行下列指令,從工作階段服務帳戶撤銷 roles/cloudkms.cryptoKeyDecrypter 角色:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyDecrypter
在這個例子中:
KEY:Cloud Key Management Service 金鑰的名稱。 例如:ta-key。KEY_RING:金鑰環的名稱。LOCATION:金鑰環的 Cloud Key Management Service 位置。例如:global。PROJECT_ID:金鑰所屬的 Google Cloud 專案 ID。
執行下列指令,從工作階段服務帳戶撤銷 roles/cloudkms.publicKeyViewer 角色:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.publicKeyViewer
在這個例子中:
KEY:Cloud Key Management Service 金鑰的名稱。 例如:ta-key。KEY_RING:金鑰環的名稱。LOCATION:金鑰環的 Cloud Key Management Service 位置。例如:global。PROJECT_ID:金鑰所屬的 Google Cloud 專案 ID。
撤銷服務帳戶的 Cloud Storage 值區存取權
撤銷 Transfer Appliance 服務帳戶的 Cloud Storage 值區存取權,可確保我們無法再代表您使用 Cloud Storage 資源。
如要撤銷 Transfer Appliance 服務帳戶的 Cloud Storage 值區存取權,請按照下列步驟操作:
Google Cloud 控制台
- 在 Google Cloud 控制台,前往「Cloud Storage bucket」頁面。
找出資料複製到的 Cloud Storage bucket,然後選取 bucket 名稱旁邊的核取方塊。
按一下「顯示資訊面板」。
資訊面板隨即顯示。
在「Permissions」(權限) 分頁中,展開「Storage Admin Role」(儲存空間管理員角色)。
找出相關聯的服務帳戶。視設定而定,您會看到 2 到 4 個帳戶。如要瞭解服務帳戶,請參閱服務帳戶快速參考資料。
針對每個服務帳戶:
按一下「刪除」。
如要確認刪除,請勾選服務帳戶旁的核取方塊,然後按一下「移除」。
指令列
使用 gcloud storage buckets remove-iam-policy-binding 指令:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
視設定而定,您可能會有其他服務帳戶。 詳情請參閱「服務帳戶快速參考資料」。
在這個例子中:
SESSION_ID:這項特定轉移作業的工作階段 ID。IDENTIFIER:系統為這個特定專案產生的號碼。BUCKET_NAME:Cloud Storage bucket 的名稱。
銷毀 Cloud KMS 金鑰
刪除 Cloud KMS 金鑰後,先前以該金鑰加密的資料就無法再解密。
如要進一步瞭解如何刪除金鑰,請參閱刪除及還原金鑰版本。
如要銷毀 Cloud KMS 金鑰,請按照下列步驟操作:
Google Cloud 控制台
前往Google Cloud console 的「Cryptographic Keys」(加密編譯金鑰) 頁面。
按一下用於準備 Cloud KMS 金鑰的金鑰環名稱。
找出包含您要銷毀金鑰的資料列。
依序選取「更多」>「銷毀」。
系統隨即會顯示確認對話方塊。
在確認對話方塊中,按一下「排定銷毀時間」。
指令列
使用 gcloud kms keys version destroy 指令:
gcloud kms keys versions destroy VERSION_NUMBER --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
在這個例子中:
VERSION_NUMBER:金鑰的版本號碼。KEY_RING:金鑰環的名稱。KEY:非對稱金鑰的名稱。LOCATION:金鑰環的 Google Cloud 位置。PROJECT_ID:金鑰所屬的 Google Cloud 專案 ID。