清除存取權

我們完成從所有裝置複製資料後,建議您移除先前授予服務帳戶的存取權。這會對您的資料套用最低權限原則,確保資料安全。

本節說明:

  • 撤銷服務帳戶存取 Cloud Storage bucket 的權限。
  • 撤銷服務帳戶存取 Cloud KMS 角色的權限。
  • 銷毀用來加密 Transfer Appliance 資料的 Cloud KMS 金鑰。

請等待我們將所有資料複製到 Cloud Storage,再完成下列步驟。

Cloud KMS 金鑰一經銷毀,就無法復原 Transfer Appliance 上的任何加密資料。同樣地,一旦您從 Cloud Storage bucket 和 Cloud KMS 金鑰撤銷服務帳戶,就無法再將資料從裝置複製到 Cloud Storage bucket。

撤銷服務帳戶的 Cloud KMS 金鑰存取權

撤銷 Transfer Appliance 服務帳戶的 Cloud KMS 金鑰存取權,可確保我們無法再代表您解密 Transfer Appliance 資料。

如要撤銷服務帳戶的 Cloud KMS CryptoKey 解密者和 Cloud KMS CryptoKey 公開金鑰檢視者角色,請按照下列步驟操作:

Google Cloud 控制台

  1. 前往Google Cloud console 的「Cryptographic Keys」(加密編譯金鑰) 頁面。

    前往「Cryptographic Keys」(加密編譯金鑰) 頁面

  2. 按一下包含「準備 Cloud KMS 金鑰」中使用的金鑰的金鑰環名稱。

  3. 選取要從服務帳戶撤銷存取權的金鑰核取方塊。

  4. 按一下「顯示資訊面板」

    資訊面板隨即顯示。

  5. 如要撤銷服務帳戶的 Cloud KMS CryptoKey Decrypter 角色,請按照下列步驟操作:

    1. 在「權限」分頁中,展開「Cloud KMS CryptoKey 解密者」

    2. 找出服務帳戶。如下列範例所示:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      在本例中,PEOJECT_ID 是金鑰所屬的Google Cloud 專案 ID。

    3. 按一下「刪除」。

    4. 在刪除視窗中選取服務帳戶,然後按一下「移除」

  6. 如要撤銷服務帳戶的「Cloud KMS CryptoKey Public Key Viewer」角色,請按照下列步驟操作:

    1. 在「權限」分頁中,展開「Cloud KMS CryptoKey Public Key Viewer」(Cloud KMS 加密編譯金鑰公開金鑰檢視者) 角色。

    2. 找出工作階段服務帳戶。如下列範例所示:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      在本例中,PEOJECT_ID 是金鑰所屬的Google Cloud 專案 ID。

    3. 按一下「刪除」。

    4. 在刪除視窗中,選取服務帳戶旁的核取方塊,然後按一下「移除」

指令列

  1. 執行下列指令,從工作階段服務帳戶撤銷 roles/cloudkms.cryptoKeyDecrypter 角色:

    gcloud kms keys remove-iam-policy-binding KEY \
      --keyring KEY_RING \
      --location LOCATION \
      --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
      --role roles/cloudkms.cryptoKeyDecrypter
    

    在這個例子中:

    • KEY:Cloud Key Management Service 金鑰的名稱。 例如:ta-key
    • KEY_RING:金鑰環的名稱。
    • LOCATION:金鑰環的 Cloud Key Management Service 位置。例如:global
    • PROJECT_ID:金鑰所屬的 Google Cloud 專案 ID。
  2. 執行下列指令,從工作階段服務帳戶撤銷 roles/cloudkms.publicKeyViewer 角色:

    gcloud kms keys remove-iam-policy-binding KEY \
      --keyring KEY_RING \
      --location LOCATION \
      --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
      --role roles/cloudkms.publicKeyViewer
    

    在這個例子中:

    • KEY:Cloud Key Management Service 金鑰的名稱。 例如:ta-key
    • KEY_RING:金鑰環的名稱。
    • LOCATION:金鑰環的 Cloud Key Management Service 位置。例如:global
    • PROJECT_ID:金鑰所屬的 Google Cloud 專案 ID。

撤銷服務帳戶的 Cloud Storage 值區存取權

撤銷 Transfer Appliance 服務帳戶的 Cloud Storage 值區存取權,可確保我們無法再代表您使用 Cloud Storage 資源。

如要撤銷 Transfer Appliance 服務帳戶的 Cloud Storage 值區存取權,請按照下列步驟操作:

Google Cloud 控制台

  1. 在 Google Cloud 控制台,前往「Cloud Storage bucket」頁面。

    前往「Buckets」(值區) 頁面

  2. 找出資料複製到的 Cloud Storage bucket,然後選取 bucket 名稱旁邊的核取方塊。

  3. 按一下「顯示資訊面板」

    資訊面板隨即顯示。

  4. 在「Permissions」(權限) 分頁中,展開「Storage Admin Role」(儲存空間管理員角色)

  5. 找出相關聯的服務帳戶。視設定而定,您會看到 2 到 4 個帳戶。如要瞭解服務帳戶,請參閱服務帳戶快速參考資料

    針對每個服務帳戶:

    1. 按一下「刪除」。

    2. 如要確認刪除,請勾選服務帳戶旁的核取方塊,然後按一下「移除」

指令列

使用 gcloud storage buckets remove-iam-policy-binding 指令:

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \
--role=roles/storage.admin
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \
--role=roles/storage.admin

視設定而定,您可能會有其他服務帳戶。 詳情請參閱「服務帳戶快速參考資料」。

在這個例子中:

  • SESSION_ID:這項特定轉移作業的工作階段 ID。
  • IDENTIFIER:系統為這個特定專案產生的號碼。
  • BUCKET_NAME:Cloud Storage bucket 的名稱。

銷毀 Cloud KMS 金鑰

刪除 Cloud KMS 金鑰後,先前以該金鑰加密的資料就無法再解密。

如要進一步瞭解如何刪除金鑰,請參閱刪除及還原金鑰版本

如要銷毀 Cloud KMS 金鑰,請按照下列步驟操作:

Google Cloud 控制台

  1. 前往Google Cloud console 的「Cryptographic Keys」(加密編譯金鑰) 頁面。

    前往「Cryptographic Keys」(加密編譯金鑰) 頁面

  2. 按一下用於準備 Cloud KMS 金鑰的金鑰環名稱。

  3. 找出包含您要銷毀金鑰的資料列。

  4. 依序選取「更多」>「銷毀」

    系統隨即會顯示確認對話方塊。

  5. 在確認對話方塊中,按一下「排定銷毀時間」

指令列

使用 gcloud kms keys version destroy 指令:

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

在這個例子中:

  • VERSION_NUMBER:金鑰的版本號碼。
  • KEY_RING:金鑰環的名稱。
  • KEY:非對稱金鑰的名稱。
  • LOCATION:金鑰環的 Google Cloud 位置。
  • PROJECT_ID:金鑰所屬的 Google Cloud 專案 ID。