Guía de instalación

En esta página, se describe cómo preparar, instalar y configurar tu Transfer Appliance.

Prepara los permisos y el almacenamiento de IAM

La persona que prepara Transfer Appliance debe preparar un bucket de Cloud Storage y configurar dos cuentas de servicio. y crea un par de claves de Cloud Key Management Service (Cloud KMS).

La persona que prepara Transfer Appliance debe preparar los siguientes elementos:

  • Un bucket de Cloud Storage, que es un contenedor básico que se usa para almacenar datos en Cloud Storage
  • Acceso a dos cuentas de servicio, que se usan para mover los datos de Transfer Appliance al bucket de destino de Cloud Storage
  • Una clave pública y privada de Cloud Key Management Service (Cloud KMS) La clave pública se usa para encriptar los datos de Transfer Appliance y la clave privada se usa para desencriptar los datos de tu bucket de Cloud Storage.
  • Una clave de cuenta de servicio

Para preparar los permisos y el almacenamiento de Google Cloud, realiza una de las siguientes acciones:

  • Aplicación de configuración de Cloud de Transfer Appliance. Dentro de Google Cloud Console, activa Google Cloud Shell y descarga una aplicación pequeña. La aplicación te solicita valores y configura los permisos y el almacenamiento de Google Cloud. Luego, envías datos relevantes al equipo de Transfer Appliance.

  • Configuración de permisos paso a paso. Usa Google Cloud Console o una línea de comandos para configurar los permisos y el almacenamiento de Google Cloud. Aplicas todos los cambios necesarios y envías datos relevantes al equipo de Transfer Appliance.

Configura puertos de red IP

Trabaje con su administrador de red a fin de configurar los puertos IP de su red para el dispositivo de transferencia.

Verifica el contenido del paquete

Antes de conectar Transfer Appliance, te recomendamos que verifiques que el paquete llegó intacto, con todos los cables y equipos necesarios. Nos aseguramos de que cuentas con todo lo necesario para realizar una transferencia de datos exitosa.

Después de recibir Transfer Appliance, verifica que el contenido del paquete esté intacto. Para ello, sigue estos pasos:

  1. Confirma que la funda de envío y los sellos a prueba de manipulación estén intactos.

    Anillos en D protegidos por una etiqueta evidente

  2. Rompa o corta la etiqueta de cable evidente, y abre la funda de envío.

  3. Si falta alguno de los siguientes elementos, comunícate con el equipo de Transfer Appliance:

    Elemento Descripción
    Una foto que representa un cable de alimentación de 5-15p a c13 Cable de alimentación de 5-15p a C13
    Foto que muestra un cable de alimentación de C14 a C13 Cable de alimentación de C14 a C13 para conexiones a la unidad de distribución de energía (PDU)
    Foto que representa un cable de red de categoría 6 Cable de red de categoría 6 (cat6)
    Foto que muestra un cable de red de cobre Twinax+ QSFP+ Cable de red Twinax de cobre QSFP+
    Una foto con un cable de red QSFP+ a 4xSFP+ Cable de red QSFP+ a 4xSFP+
    Foto que representa un cable adaptador de USB a puerto serie Cable del adaptador USB a serie: úsalo solo si te lo indica el equipo de Transfer Appliance
    Una foto que representa un adaptador de puerto de serie de pin a enchufe Adaptador de puerto de serie de pin a enchufe
    Una foto que muestra una etiqueta evidente a prueba de manipulación Etiqueta evidente de manipulación de cables
    Ejemplo de etiqueta de empaque Etiqueta de amarre
    Ejemplo de bolsa con etiqueta de envío Pouch de etiqueta de envío
    Una foto de un Transfer Appliance dentro de una funda de envío abierta Transfer Appliance

Valida el dispositivo

Antes de conectar el dispositivo a la red, debes ejecutar una app pequeña en la laptop para validar que el dispositivo no se haya manipulado durante el envío.

La aplicación de certificación de Transfer Appliance es compatible con los siguientes sistemas operativos de 64 bits:

  • Kernel de Linux 2.6.23 o posterior
  • Microsoft Windows Server 2012 o una versión posterior
  • Microsoft Windows 10
  • Apple macOS 10.11 o versiones posteriores

Para validar el dispositivo, sigue estos pasos:

  1. Busca la ubicación del dispositivo. Entre las ubicaciones aceptables, se incluyen las siguientes:

    • El suelo
    • Un escritorio
  2. Conecta un cable Cat6 conectado al puerto de red izquierdo y a tu laptop.

  3. Conecta el cable de alimentación proporcionado al enchufe del dispositivo y a un enchufe abierto de una unidad de distribución de energía (PDU).

    Conexiones por cable para Transfer Appliance

  4. Enciende Transfer Appliance

  5. Usa ping para verificar que puedas comunicarte con el dispositivo a través de su puerto de administración:

    ping 169.254.20.1

    El resultado muestra una respuesta similar al siguiente ejemplo:

    PING 169.254.20.1 (169.254.20.1) 56(84) bytes of data.
    64 bytes from 169.254.20.1: icmp_seq=1 ttl=64 time=0.060 ms
    64 bytes from 169.254.20.1: icmp_seq=2 ttl=64 time=0.039 ms
    64 bytes from 169.254.20.1: icmp_seq=3 ttl=64 time=0.039 ms
    ^C
    --- 169.254.20.1 ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 2045ms
    rtt min/avg/max/mdev = 0.039/0.046/0.060/0.009 ms
    

  6. Para descargar la aplicación de certificación de Transfer Appliance en tu laptop, haz lo siguiente:

    Microsoft Windows

    1. Descarga la aplicación de certificación de Transfer Appliance a tu laptop.

    2. Abre un Símbolo del sistema y navega a la ubicación en la que descargaste la aplicación de certificación de Transfer Appliance.

    3. Para validar el dispositivo, ejecute el siguiente comando en su laptop:

      taattestator_x86_64-windows.exe
      

    Linux

    1. En tu laptop, abre una app de terminal.

    2. Para descargar la aplicación de certificación de Transfer Appliance, ejecuta el siguiente comando en tu laptop:

      wget https://storage.googleapis.com/transferappliance/attestator/taattestator_x86_64-linux
      
    3. Ejecute los siguientes comandos en su laptop para validar el dispositivo:

      chmod 0777 taattestator_x86_64-linux
      ./taattestator_x86_64-linux
      

    Apple macOS

    1. Abre la app de Terminal.

    2. Ejecuta el siguiente comando en tu laptop para descargar la aplicación de certificación de Transfer Appliance:

      curl -O https://storage.googleapis.com/transferappliance/attestator/taattestator_x86_64-darwin
      
    3. Ejecute los siguientes comandos en su laptop para validar el dispositivo:

      chmod 0777 taattestator_x86_64-darwin
      ./taattestator_x86_64-darwin
      
  7. Completa el formulario en el correo electrónico titulado Pasos entregados y de validación de Google Transfer Appliance. Ingresa la contraseña de certificación del Transfer Appliance que muestra el dispositivo en el formulario.

    Si no se manipuló el dispositivo durante el envío, el equipo de Transfer Appliance proporciona las credenciales de acceso del dispositivo.

    Si se manipuló el dispositivo durante el envío, el equipo de Transfer Appliance te proporciona instrucciones de envío por devolución y organiza el envío de otro dispositivo.

Conectar a Transfer Appliance

Necesitas los detalles de acceso para que el dispositivo se conecte a él. El equipo de Transfer Appliance proporciona los detalles de acceso del dispositivo a cambio de una contraseña de certificación de Transfer Appliance que indica que el dispositivo no se manipuló durante el envío.

Una vez que tengas los detalles de acceso, sigue estos pasos para conectar el dispositivo a tu red:

  1. Mantén el cable Cat6 conectado entre el puerto de red izquierdo y tu laptop.

  2. Conecta un cable de Cat6 al puerto de red correcto y a un puerto RJ45 abierto que esté conectado a la red.

    Puerto de red destacado en el dispositivo.

  3. Conéctate al dispositivo:

    Windows

    1. Abre la masilla.
    2. En Tipo de conexión, selecciona SSH.
    3. En el campo Nombre del host, ingresa:

      169.254.20.1
                  

    4. En Tipo de conexión, verifique que esté seleccionada la opción SSH.
    5. Haz clic en Abrir.
    6. Ingresa el nombre de usuario que proporcionó el equipo de Transfer Appliance cuando se te solicite.
    7. Ingresa la contraseña que te proporcionó el equipo de Transfer Appliance cuando se te solicite.

    Linux

    1. Ejecuta el siguiente comando:

      ssh USERNAME@169.254.20.1
                  

      Reemplaza USERNAME por el nombre de usuario que proporcionó el equipo de Transfer Appliance.

    2. Ingresa la contraseña de Transfer Appliance cuando se te solicite.

    Mac

    1. Ejecuta el siguiente comando:

      ssh USERNAME@169.254.20.1
                  

      Reemplaza USERNAME por el nombre de usuario que proporcionó el equipo de Transfer Appliance.

    2. Ingresa la contraseña de Transfer Appliance cuando se te solicite.

Configura el software del dispositivo

Antes de transferir datos a Transfer Appliance, debes verificar el estado del dispositivo y configurar el software para que funcione en tu red.

Para configurar el software del dispositivo, haz lo siguiente:

  1. Ejecuta el siguiente comando desde tu laptop o estación de trabajo conectada al dispositivo para verificar su estado:

    ta status 

    El resultado muestra una respuesta similar al siguiente ejemplo:

    You are ready to configure the appliance.
    
    Next steps:
    » Configure the appliance using one of the following commands:
      > ta config --data_port=RJ45 --ip=dhcp
      > ta config --data_port=QSFP --ip=dhcp
    » To set a static IP address and netmask, use the '--ip' flag. For example:
      > ta config --data_port=RJ45 --ip=192.168.0.100/24
      > ta config --data_port=QSFP --ip=192.168.0.100/24
    » To set a static IP address and gateway, use the '--ip' and '--gw' flags. For example:
      > ta config --data_port=RJ45 --ip=192.168.0.100/24 --gw=192.168.0.1
      > ta config --data_port=QSFP --ip=192.168.0.100/24 --gw=192.168.0.1
      
  2. Configura el dispositivo. Puedes configurar el dispositivo para que use DHCP a fin de obtener una dirección IP automáticamente o puedes configurar el dispositivo para que use una dirección IP estática.

    Para configurar el dispositivo, ejecuta el siguiente comando:

    DHCP

    ta config --data_port=PORT --ip=dhcp
    

    Reemplaza PORT por el puerto de datos que usas en el dispositivo, ya sea RJ45 o QSFP.

    IP estática

    ta config --data_port=PORT --ip=IP_ADDRESS/NETMASK --gw=GATEWAY_ADDRESS

    Reemplaza lo siguiente:

    • PORT: El puerto de datos que usas en el dispositivo, ya sea RJ45 o QSFP.
    • IP_ADDRESS: Es la dirección IP del dispositivo o dhcp para la configuración automática de la dirección IP.
    • NETMASK: Es la máscara de red en la notación CIDR. No es obligatorio si usas DHCP.
    • GATEWAY_ADDRESS: La dirección IP de la puerta de enlace. No es obligatorio si usas DHCP.

    El resultado muestra una respuesta similar al siguiente ejemplo:

    Configuring, encrypting, and mounting data partition...
    Verified partition settings for "/mnt/ta_metadata".
    Partition key generated and encrypted.
    Verifying partition settings and mounting data partition.
    This may take several minutes to finish...
    Mounted partition "/mnt/ta_data".
    Verified partition settings for "/mnt/ta_data".
    Data partition is mounted.
    Network is configured.
    Configured NFS share "/mnt/ta_data".
    NFS share "/mnt/ta_data" is configured.
    
    Appliance has been successfully configured. You can begin copying data.
    
    Use these commands to mount the NFS share from your client:
    > sudo mkdir /mnt/data
    > sudo mount 192.168.0.100:/mnt/ta_data /mnt/data
    

Copiar datos

Para copiar datos, debes activar el dispositivo en tu fuente de datos y usar tu utilidad de copia preferida a fin de transferir datos de tu fuente de datos a Transfer Appliance.

Transfer Appliance admite los siguientes métodos para copiar datos al dispositivo:

Usa SCP o SFTP para copiar datos

Para copiar datos al dispositivo mediante SCP o SFTP, sigue estos pasos:

Microsoft Windows

  1. Descarga un cliente de SCP o SFTP que admita nombres de archivo UTF-8, como WinSCP.

  2. Con la herramienta de SCP, conéctate al dispositivo mediante la siguiente configuración:

    • Protocolo de archivo: SFTP
    • Nombre de host: La dirección IP del dispositivo.
    • Número de puerto: 22
    • Nombre de usuario: El nombre de usuario del dispositivo que proporciona el equipo de Transfer Appliance
    • Contraseña: es la contraseña del dispositivo que proporciona el equipo de Transfer Appliance.

    El directorio de destino en el Transfer Appliance debe ser /mnt/ta_data.

Linux

  1. Ejecuta el siguiente comando:

    scp PATH_TO_FILES USERNAME@IP_ADDRESS:/mnt/ta_data
    

    Reemplaza lo siguiente:

    • PATH_TO_FILES: La ruta de acceso a los archivos que copias
    • USERNAME: El nombre de usuario del dispositivo que proporciona el equipo de Transfer Appliance.
    • IP_ADDRESS: La dirección IP del dispositivo.
  2. Cuando se te solicite, ingresa la contraseña del dispositivo que proporcionó el equipo de Transfer Appliance.

Apple macOS

  1. Ejecuta el siguiente comando:

    scp PATH_TO_FILES USERNAME@IP_ADDRESS:/mnt/ta_data
    

    Reemplaza lo siguiente:

    • PATH_TO_FILES: La ruta de acceso a los archivos que copias
    • USERNAME: El nombre de usuario del dispositivo que proporciona el equipo de Transfer Appliance.
    • IP_ADDRESS: La dirección IP del dispositivo.
  2. Cuando se te solicite, ingresa la contraseña del dispositivo que proporcionó el equipo de Transfer Appliance.

Usa los datos de copia compartida de NFS

Para copiar datos al dispositivo mediante NFS, sigue estos pasos:

  1. Para activar Transfer Appliance, ejecuta los siguientes comandos en tu fuente de datos:

    Linux

    1. sudo mkdir /mnt/data
      
    2. sudo mount -o vers=4 IP_ADDRESS:/mnt/ta_data /mnt/data
      

      Reemplaza IP_ADDRESS por la dirección IP del dispositivo.

    Apple macOS

    1. cd ~
      
    2. mkdir ta_data
      
    3. sudo mount -t nfs -o vers=4,resvport IP_ADDRESS:/mnt/ta_data ~/ta_data
      

      Reemplaza IP_ADDRESS por la dirección IP del dispositivo.

  2. Para copiar datos en el dispositivo, usa la utilidad de copia que prefieras.

    La copia de datos es una operación de larga duración. En Apple macOS o Linux, recomendamos usar tmux o screen para garantizar que el proceso de copia sobreviva al cierre de sesión o a las desconexiones de red.

Supervisa el estado de las copias

Mientras transfieres datos, puedes supervisar el progreso de la transferencia.

Para supervisar el progreso de Transfer Appliance, haz lo siguiente:

  1. Conéctese al dispositivo y ejecute el siguiente comando:

     ta status --verbose
     

    El resultado muestra una respuesta similar al siguiente ejemplo:

    Checking the state of the appliance:
    » The encrypted partition key is present.
    » The data partition is mounted and shared.
    
    You are ready to copy data to the appliance.
    
    Data partition:
    » Mount path: /mnt/ta_data
    » Used space: 2.6M
    » Available space: 919M
    » Used inodes: 11
    » Available inodes (required to create new files): 64k
    
    Next steps:
    » Use these commands to mount the NFS share from your client:
      > sudo mkdir /mnt/data
      > sudo mount 192.168.0.100:/mnt/ta_data /mnt/data
    » When done copying, finalize the appliance with this command:
      > ta finalize
    

Finalizar el copiado de datos

La finalización prepara el dispositivo para enviarlo a Google mediante la eliminación de la clave de desencriptación, lo que hace que los datos sean inaccesibles hasta que lleguen a Google. Cuando se quita la clave de desencriptación, no puedes copiar datos adicionales al dispositivo sin borrar todos los datos copiados anteriormente.

Para finalizar los datos copiados, sigue estos pasos:

  1. Conéctalo al dispositivo.

  2. Ejecuta el comando ta finalize y anota la contraseña que se muestra en el resultado.

    El resultado muestra una respuesta similar al siguiente ejemplo:

    Finalizing prepares the appliance for shipping by removing the decryption key,
    making the data inaccessible until it reaches Google. Once finalized, there is
    no way to access your data or add more data without deleting everything on the
    drive.
    
    Are you ready to finalize the appliance and ship it back to Google? (y/n) y
    Umounted data partition and disabled automount.
    Finalize step is complete.
    
    This passcode must be used to get a return shipping label: NNNN
    If you forget your passcode, run 'ta status' to display it again.
    TA:~$ ta status
    
    You are ready to ship the appliance back to Google.
    
    Next steps:
    » Use this passcode when requesting a shipping label: NNNN
    » Contact the appliance team at data-support@google.com.
    
  3. Ingresa la contraseña que muestra el comando ta finalize en el formulario incluido en el correo electrónico titulado Instrucciones para la devolución de Google Transfer Appliance que envió el equipo de Transfer Appliance.

    Para volver a ver la contraseña, ejecuta ta status.

    El equipo de Transfer Appliance responde con la etiqueta de envío de Transfer Appliance para la contraseña determinada.

  4. Una vez que recibas la etiqueta de envío, apaga el dispositivo y desconecta todos los cables.

Empaqueta y devuelve el dispositivo

Después de transferir y finalizar tus datos a Transfer Appliance, preparas el dispositivo para su envío. Este paso incluye imprimir y aplicar una etiqueta de envío, recopilar los cables del dispositivo, empaquetar el dispositivo y comunicarse con el transportista para que devuelva el dispositivo.

Debes usar la misma funda de envío que Transfer Appliance.

Para devolver el dispositivo, haz lo siguiente:

  1. Imprime la etiqueta de envío.

  2. Coloca lo siguiente en el compartimento del cable de la funda de envío:

    Elemento Descripción
    Una foto que representa un cable de alimentación de 5-15p a c13 Cable de alimentación de 5-15p a C13
    Foto que muestra un cable de alimentación de C14 a C13 Cable de alimentación de C14 a C13 para conexiones a la unidad de distribución de energía (PDU)
    Foto que representa un cable de red de categoría 6 Cable de red de categoría 6 (cat6)
    Foto que muestra un cable de red de cobre Twinax+ QSFP+ Cable de red Twinax de cobre QSFP+
    Una foto con un cable de red QSFP+ a 4xSFP+ Cable de red QSFP+ a 4xSFP+
    Foto que representa un cable adaptador de USB a puerto serie Cable del adaptador USB a serie: úsalo solo si te lo indica el equipo de Transfer Appliance
    Una foto que representa un adaptador de puerto de serie de pin a enchufe Adaptador de puerto de serie de pin a enchufe
  3. Coloca el Transfer Appliance en la funda de envío.

  4. Cierra la tapa de la funda de envío y asegura los seguros.

    Caja de cierre guardada

  5. Para proteger la caja de envío con una etiqueta de manipulación evidente, sigue estos pasos:

    1. Inserta la etiqueta a prueba de manipulación de cables a través de los anillos en D de la caja de envío.

      Insertar la etiqueta a prueba de manipulación de cables a través de los anillos en D de la funda de envío

    2. Inserta el extremo del cable en el candado.

      Inserta el extremo del cable en el candado

    3. Pasa la etiqueta a prueba de manipulación a través del bloqueo de etiquetas, hasta que los anillos D estén asegurados.

      Anillos en D protegidos por una etiqueta evidente

  6. Fije una etiqueta de amarre al controlador de caja de envío.

  7. Fije una bolsa con la etiqueta de envío en la etiqueta de amarre.

  8. Inserta la etiqueta de devolución de envío en el paquete. Asegúrate de que la dirección de devolución y los códigos de barras sean visibles.

  9. Si es necesario, comuníquese con su transportista para programar el retiro.

Valida los datos en el bucket de destino de Cloud Storage

Una vez que recibimos tu dispositivo, transferimos los datos del dispositivo a tu bucket de destino de Cloud Storage. Cuando terminemos de copiar los datos a tu bucket de destino de Cloud Storage, te enviaremos un correo electrónico con el título Google Transfer Appliance Your Data Transferen Completed. Después de recibir nuestro correo electrónico, te recomendamos que valides los datos que transferimos del dispositivo al bucket de Cloud Storage.

Para validar los datos, haz lo siguiente:

  1. Enumera objetos. Si proporcionaste un prefijo del objeto cuando proporcionaste los detalles de la configuración del bucket, los objetos se muestran después del prefijo.

  2. Verifica que los datos que transferiste al dispositivo aparezcan en tu bucket.

Si tiene preguntas, comuníquese con data-support@google.com.

Limpia el acceso

Una vez que terminemos de copiar tus datos de todos los dispositivos, te recomendamos que quites el acceso otorgado anteriormente a nuestras cuentas de servicio. Esto aplica la práctica del privilegio mínimo a tus datos y ayuda a garantizar la seguridad de los datos.

En esta sección, se describe lo siguiente:

  • Revoca nuestras cuentas de servicio para que no puedan acceder a tus depósitos de Cloud Storage.
  • Revoca nuestras cuentas de servicio para que no puedan acceder a tus funciones de Cloud KMS.
  • Destruir la clave de Cloud KMS que se usó para encriptar los datos en Transfer Appliance

Espera hasta que copiemos todos tus datos a Cloud Storage antes de completar los pasos a continuación.

Una vez que se destruye la clave de Cloud KMS, no se podrán recuperar los datos encriptados en Transfer Appliance. Del mismo modo, una vez que revoques las cuentas de servicio de los depósitos de Cloud Storage y la clave de Cloud KMS, no se podrán copiar más datos del dispositivo a tus depósitos de Cloud Storage.

Revoca el acceso a la clave de Cloud KMS de la cuenta de servicio

Si revocas el acceso a las claves de Cloud KMS de la cuenta de servicio de Transfer Appliance, se garantiza que ya no podamos desencriptar los datos de Transfer Appliance en tu nombre.

Para revocar las funciones de visualizador de claves de Cloud KMS y desencriptador de CryptoKey de Cloud KMS de la cuenta de servicio, sigue estos pasos:

Google Cloud Console

  1. Ve a la página Claves criptográficas en Cloud Console.

    Ir a la página Claves criptográficas

  2. Haz clic en el nombre del llavero de claves que contiene la clave que se usa en Prepara la clave de Cloud KMS.

  3. Selecciona la casilla de verificación de la clave cuyo acceso revocarás desde la cuenta de servicio.

  4. Haz clic en Mostrar panel de información.

    Se muestra el panel de información.

  5. Para revocar la función de Desencriptador de CryptoKeys de Cloud KMS de la cuenta de servicio, haz lo siguiente:

    1. En la pestaña Permisos, expande Desencriptador de CryptoKeys de Cloud KMS.

    2. Ubica la cuenta de servicio de sesión. Se ve como el siguiente ejemplo:

      SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      En este ejemplo, SESSION_ID es el ID de sesión de esta transferencia en particular.

    3. Haz clic en (Borrar).

    4. En la ventana de eliminación, selecciona la cuenta de servicio y haz clic en Quitar.

  6. Para revocar la función de Visualizador de claves públicas de CryptoKey de Cloud KMS en la cuenta de servicio, haz lo siguiente:

    1. En la pestaña Permisos, expande la función Visualizador de claves públicas de CryptoKey de Cloud KMS.

    2. Ubica la cuenta de servicio de sesión. Se ve como el siguiente ejemplo:

      SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      En este ejemplo, SESSION_ID es el ID de sesión de esta transferencia en particular.

    3. Haz clic en (Borrar).

    4. En la ventana de eliminación, selecciona la casilla de verificación junto a la cuenta de servicio y haz clic en Quitar.

Línea de comandos

  1. Ejecuta el siguiente comando para revocar la función roles/cloudkms.cryptoKeyDecrypter de la cuenta de servicio de sesión:

    gcloud kms keys remove-iam-policy-binding KEY \
      --keyring KEY_RING \
      --location LOCATION \
      --member=serviceAccount:SESSION_ID@transfer-appliance-zimbru-iam.gserviceaccount.com \
      --role roles/cloudkms.cryptoKeyDecrypter
    

    En este ejemplo:

    • KEY: Es el nombre de la clave de Cloud Key Management Service. Por ejemplo, ta-key
    • KEY_RING: Es el nombre del llavero de claves.
    • LOCATION: Es la ubicación de Cloud Key Management Service para el llavero de claves. Por ejemplo, global
    • PROJECT_ID: Es el ID del proyecto de Google Cloud en el que se encuentra el bucket de almacenamiento.
    • SESSION_ID: Es el ID de sesión para esta transferencia en particular.
  2. Ejecuta el siguiente comando para revocar la función roles/cloudkms.publicKeyViewer de la cuenta de servicio de la sesión:

    gcloud kms keys remove-iam-policy-binding KEY \
      --keyring KEY_RING \
      --location LOCATION \
      --member=serviceAccount:SESSION_ID@transfer-appliance-zimbru-iam.gserviceaccount.com \
      --role roles/cloudkms.publicKeyViewer
    

    En este ejemplo:

    • KEY: Es el nombre de la clave de Cloud Key Management Service. Por ejemplo, ta-key
    • KEY_RING: Es el nombre del llavero de claves.
    • LOCATION: Es la ubicación de Cloud Key Management Service para el llavero de claves. Por ejemplo, global
    • PROJECT_ID: Es el ID del proyecto de Google Cloud en el que se encuentra el bucket de almacenamiento.
    • SESSION_ID: Es el ID de sesión para esta transferencia en particular.

Revoca el acceso al bucket de Cloud Storage para las cuentas de servicio

Revocar el acceso al bucket de Cloud Storage para las cuentas de servicio de Transfer Appliance garantiza que ya no podamos usar los recursos de Cloud Storage en tu nombre.

Para revocar el acceso al bucket de Cloud Storage de las cuentas de servicio de Transfer Appliance, haz lo siguiente:

Google Cloud Console

  1. En Cloud Console, ve a la página Navegador de Cloud Storage.

    Ir al navegador

  2. Ubica el bucket de Cloud Storage en el que se copiaron tus datos y selecciona la casilla de verificación junto al nombre del bucket.

  3. Haz clic en Mostrar panel de información.

    Se muestra el panel de información.

  4. En la pestaña Permisos, expande Función de administrador de almacenamiento.

  5. Para revocar el acceso al bucket de Cloud Storage de la cuenta de servicio de sesión, haz lo siguiente:

    1. Ubica la cuenta de servicio de sesión. Se ve como el siguiente ejemplo:

      SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com

      En este ejemplo, SESSION_ID es el ID de sesión de esta transferencia en particular.

    2. Haz clic en (Borrar).

      Aparecerá un cuadro de diálogo para confirmar la revocación de la cuenta.

    3. En el cuadro de diálogo, selecciona la casilla de verificación junto a la cuenta de servicio de la sesión y haz clic en Quitar.

  6. Si deseas revocar el acceso al bucket de Cloud Storage para el agente del servicio de transferencia de datos locales, haz lo siguiente:

    1. Ubica el agente de servicio. El agente de servicio aparece en el correo electrónico titulado Bucket de destino de preparación de Google Transfer Appliance. Es similar al siguiente ejemplo:

      project-IDENTIFIER@storage-transfer-service.gserviceaccount.com

      En este ejemplo, IDENTIFIER es un número generado específico para este proyecto en particular.

    2. Haz clic en (Borrar).

      Aparecerá un cuadro de diálogo para confirmar la revocación de la cuenta.

    3. En el cuadro de diálogo, selecciona la casilla de verificación junto a la cuenta de servicio administrada por Google y haz clic en Quitar.

Línea de comandos

Usa el comando gsutil iam ch:

gsutil iam ch -d \
serviceAccount:SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com:roles/storage.admin \
serviceAccount:project-IDENTIFIER@storage-transfer-service.gserviceaccount.comi \
gs://BUCKET_NAME

En este ejemplo:

  • SESSION_ID: Es el ID de sesión para esta transferencia en particular.
  • IDENTIFIER: un número generado específico para este proyecto en particular.
  • BUCKET_NAME: Es el nombre de tu bucket de Cloud Storage.

Destruye la clave de Cloud KMS

Destruir la clave de Cloud KMS garantiza que todos los datos encriptados previamente por la clave ya no puedan desencriptarse.

Para obtener más información sobre cómo destruir claves, consulta Destruye y restablece versiones de claves.

Para destruir la clave de Cloud KMS, haz lo siguiente:

Google Cloud Console

  1. Ve a la página Claves criptográficas en Cloud Console.

    Ir a la página Claves criptográficas

  2. Haz clic en el nombre del llavero de claves que se usa para preparar la clave de Cloud KMS.

  3. Ubica la fila que contiene la clave que quieres destruir.

  4. Selecciona More > Destroy.

    Aparecerá un cuadro de diálogo de confirmación.

  5. En el diálogo de confirmación, haga clic en Programar destrucción.

Línea de comandos

Usa el comando gcloud kms keys version destroy:

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

En este ejemplo:

  • VERSION_NUMBER: El número de versión de la clave
  • KEY_RING: Es el nombre del llavero de claves.
  • KEY: El nombre de tu clave asimétrica.
  • LOCATION: Es la ubicación de Google Cloud del llavero de claves.
  • PROJECT_ID: Es el ID del proyecto de Google Cloud en el que se encuentra tu clave.