在我们完成从所有设备复制数据后,建议您移除之前授予我们服务账号的访问权限。这样可以对您的数据应用最小权限原则,并有助于确保数据的安全性。
本部分介绍以下内容:
- 撤消我们的服务账号对您的 Cloud Storage 存储分区的访问权限。
- 撤消我们的服务账号对您的 Cloud KMS 角色的访问权限。
- 销毁用于加密 Transfer Appliance 上的数据的 Cloud KMS 密钥。
请先等待我们将所有数据复制到 Cloud Storage,然后再完成以下步骤。
销毁 Cloud KMS 密钥后,Transfer Appliance 上的任何加密数据都无法恢复。同样,撤消服务账号对 Cloud Storage 存储分区和 Cloud KMS 密钥的访问权限后,将无法再将数据从设备复制到您的 Cloud Storage 存储分区。
撤消服务帐号的 Cloud KMS 密钥访问权限
撤消 Transfer Appliance 服务帐号的 Cloud KMS 密钥访问权限可确保我们无法再代表您解密 Transfer Appliance 数据。
如需撤消服务帐号的 Cloud KMS CryptoKey Decrypter 和 Cloud KMS CryptoKey Public Key Viewer 角色,请按以下步骤操作:
Google Cloud 控制台
在 Google Cloud 控制台中,转到加密密钥 页面。
点击包含 准备 Cloud KMS 密钥中使用的密钥的密钥环的名称。
选中您要撤消服务帐号对密钥的访问权限的密钥对应的复选框。
点击显示信息面板 。
此时会显示信息面板。
如需撤消服务帐号的 Cloud KMS CryptoKey Decrypter 角色,请执行以下操作:
在权限 标签页中,展开 Cloud KMS CryptoKey Decrypter 。
找到服务帐号。它类似于以下示例:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com在此示例中,
PEOJECT_ID是 Google Cloud 您的密钥所属的项目 ID。点击“删除”图标 delete。
在“删除”窗口中,选择服务帐号,然后点击移除 。
如需撤消服务帐号的 Cloud KMS CryptoKey Public Key Viewer 角色,请执行以下操作:
在权限 标签页中,展开 Cloud KMS CryptoKey Public Key Viewer 角色。
找到会话服务帐号。它类似于以下示例:
service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com在此示例中,
PEOJECT_ID是 Google Cloud 您的密钥所属的项目 ID。点击“删除”图标 delete。
在“删除”窗口中,选中服务帐号旁边的复选框,然后点击移除 。
命令行
运行以下命令,撤消会话服务账号的 roles/cloudkms.cryptoKeyDecrypter 角色:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyDecrypter
在此示例中:
KEY:Cloud Key Management Service 密钥的名称。例如ta-key。KEY_RING:密钥环的名称。LOCATION:密钥环的 Cloud Key Management Service 位置。例如global。PROJECT_ID:您的密钥所属的项目 ID。 Google Cloud
运行以下命令,撤消会话服务帐号的 roles/cloudkms.publicKeyViewer 角色:
gcloud kms keys remove-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \ --role roles/cloudkms.publicKeyViewer
在此示例中:
KEY:Cloud Key Management Service 密钥的名称。例如ta-key。KEY_RING:密钥环的名称。LOCATION:密钥环的 Cloud Key Management Service 位置。例如global。PROJECT_ID:您的密钥所属的项目 ID。 Google Cloud
撤消服务账号的 Cloud Storage 存储桶访问权限
撤消 Transfer Appliance 服务账号的 Cloud Storage 存储桶访问权限可确保我们无法再 代表您使用 Cloud Storage 资源。
如需撤消 Transfer Appliance 服务账号的 Cloud Storage 存储桶访问权限,请执行以下操作:
Google Cloud 控制台
命令行
使用 gcloud storage buckets remove-iam-policy-binding
命令:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com \ --role=roles/storage.admin
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\ --member=serviceAccount:project-IDENTIFIER@storage-transfer-service.iam.gserviceaccount.com \ --role=roles/storage.admin
根据您的配置,您可能还有其他服务账号。如需了解详情,请参阅 服务账号快速参考 。
在此示例中:
SESSION_ID:此特定转移的会话 ID。IDENTIFIER:为此特定项目生成的数字。BUCKET_NAME:Cloud Storage 存储桶的名称。
销毁 Cloud KMS 密钥
销毁 Cloud KMS 密钥可确保之前由该密钥加密的任何数据都无法再被任何人解密。
如需详细了解如何销毁密钥,请参阅销毁和恢复密钥 版本。
如需销毁 Cloud KMS 密钥,请执行以下操作:
Google Cloud 控制台
在 Google Cloud 控制台中,转到加密密钥 页面。
点击用于 准备 Cloud KMS 密钥的密钥环的名称。
找到包含您要销毁的密钥的行。
依次选择 更多 > 销毁。
此时会显示一个确认对话框。
在确认对话框中,点击安排销毁 。
命令行
使用 gcloud kms keys version destroy 命令:
gcloud kms keys versions destroy VERSION_NUMBER --keyring=KEY_RING \ --key=KEY --location=LOCATION \ --project=PROJECT_ID
在此示例中:
VERSION_NUMBER:密钥的版本号。KEY_RING:密钥环的名称。KEY:非对称密钥的名称。LOCATION:密钥环的位置。 Google CloudPROJECT_ID:您的密钥所属的项目 ID。 Google Cloud