Zugriff bereinigen

Nachdem wir Ihre Daten von allen Appliances kopiert haben, sollten Sie den Zugriff, der zuvor unseren Dienstkonten gewährt wurde, entfernen. Dadurch wird das Prinzip der geringsten Berechtigung für Ihre Daten angewendet und die Sicherheit Ihrer Daten gewährleistet.

In diesem Abschnitt wird Folgendes beschrieben:

  • Zugriff auf Ihre Cloud Storage-Buckets für unsere Dienstkonten widerrufen
  • Zugriff auf Ihre Cloud KMS-Rollen für unsere Dienstkonten widerrufen
  • Cloud KMS-Schlüssel löschen, der zum Verschlüsseln Ihrer Daten auf Transfer Appliance verwendet wurde

Warten Sie, bis alle Ihre Daten in Cloud Storage kopiert wurden, bevor Sie die folgenden Schritte ausführen.

Sobald der Cloud KMS-Schlüssel gelöscht wurde, können verschlüsselte Daten auf Transfer Appliance nicht mehr wiederhergestellt werden. Nach dem Widerrufen des Zugriffs der Dienstkonten auf Cloud Storage-Buckets und den Cloud KMS-Schlüssel können keine weiteren Daten von der Appliance in Ihre Cloud Storage-Buckets kopiert werden.

Cloud KMS-Schlüsselzugriff für das Dienstkonto widerrufen

Wenn Sie den Cloud KMS-Schlüsselzugriff für das Transfer Appliance-Dienstkonto widerrufen, können wir Transfer Appliance-Daten nicht mehr in Ihrem Namen entschlüsseln.

Um die Rollen "Cloud KMS CryptoKey-Entschlüsseler" und "Betrachter für öffentliche Cloud KMS CryptoKey-Schlüssel" vom Dienstkonto zu widerrufen, führen Sie die folgenden Schritte aus:

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.

    Zur Seite "Cryptographic Keys" (Kryptografische Schlüssel)

  2. Klicken Sie auf den Namen des Schlüsselbunds, der den Schlüssel enthält, der unter Cloud KMS-Schlüssel vorbereiten verwendet wurde.

  3. Klicken Sie das Kästchen für den Schlüssel an, dessen Zugriff Sie für das Dienstkonto widerrufen.

  4. Klicken Sie auf Infofeld anzeigen.

    Das Informationsfenster wird angezeigt.

  5. So widerrufen Sie die Rolle Cloud KMS CryptoKey-Entschlüsseler für das Dienstkonto:

    1. Maximieren Sie im Tab Berechtigungen die Rolle Cloud KMS CryptoKey-Entschlüsseler.

    2. Suchen Sie das Dienstkonto. Es sieht in etwa so aus:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      In diesem Beispiel ist PEOJECT_ID die Google Cloud-Projekt-ID, unter der sich Ihr Schlüssel befindet.

    3. Klicken Sie auf „Löschen“ .

    4. Wählen Sie im Löschfenster das Dienstkonto aus und klicken Sie auf Entfernen.

  6. So widerrufen Sie die Rolle Betrachter für öffentliche Cloud KMS CryptoKey-Schlüssel des Dienstkontos:

    1. Maximieren Sie im Tab Berechtigungen die Rolle Betrachter für öffentliche Cloud KMS CryptoKey-Schlüssel.

    2. Suchen Sie das Sitzungsdienstkonto. Es sieht in etwa so aus:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      In diesem Beispiel ist PEOJECT_ID die Google Cloud-Projekt-ID, unter der sich Ihr Schlüssel befindet.

    3. Klicken Sie auf „Löschen“ .

    4. Klicken Sie im Löschfenster auf das Kästchen neben dem Dienstkonto und dann auf Entfernen.

Befehlszeile

  1. Führen Sie den folgenden Befehl aus, um die Rolle roles/cloudkms.cryptoKeyDecrypter für das Sitzungsdienstkonto zu widerrufen:

    gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyDecrypter

    In diesem Beispiel:

    • KEY: Der Name des Cloud Key Management Service-Schlüssels. Beispiel: ta-key
    • KEY_RING: Der Name des Schlüsselbunds.
    • LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund. Beispiel: global.
    • PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Schlüssel befindet.

  2. Führen Sie den folgenden Befehl aus, um die Rolle roles/cloudkms.publicKeyViewer für das Sitzungsdienstkonto zu widerrufen:

    gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.publicKeyViewer

    In diesem Beispiel:

    • KEY: Der Name des Cloud Key Management Service-Schlüssels. Beispiel: ta-key
    • KEY_RING: Der Name des Schlüsselbunds.
    • LOCATION: Der Standort des Cloud Key Management Service für den Schlüsselbund. Beispiel: global.
    • PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Schlüssel befindet.

Zugriff auf Cloud Storage-Buckets für die Dienstkonten widerrufen

Wenn Sie den Cloud Storage-Bucket-Zugriff für die Transfer Appliance-Dienstkonten widerrufen, können wir keine Cloud Storage-Ressourcen mehr in Ihrem Namen verwenden.

So widerrufen Sie den Zugriff auf den Cloud Storage-Bucket für die Transfer Appliance-Dienstkonten:

Google Cloud Console

  1. Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.

    Buckets aufrufen

  2. Suchen Sie den Cloud Storage-Bucket, in den Ihre Daten kopiert wurden, und klicken Sie das Kästchen neben dem Bucket-Namen an.

  3. Klicken Sie auf Infofeld anzeigen.

    Das Informationsfenster wird angezeigt.

  4. Maximieren Sie im Tab Berechtigungen die Rolle Storage-Administrator.

  5. Suchen Sie die zugehörigen Dienstkonten. Abhängig von Ihrer Konfiguration können Sie zwischen 2 und 4 Konten wählen. Dienstkonten werden in der Kurzübersicht für Dienstkonten beschrieben.

    Führen Sie für jedes Dienstkonto die folgenden Schritte aus:

    1. Klicken Sie auf „Löschen“ .

    2. Klicken Sie auf das Kästchen neben dem Dienstkonto und dann auf Entfernen, um das Löschen zu bestätigen.

Befehlszeile

Führen Sie den Befehl gsutil iam ch aus:

gsutil iam ch -d \
serviceAccount:SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com:roles/storage.admin \
serviceAccount:project-IDENTIFIER@storage-transfer-service.gserviceaccount.comi \
gs://BUCKET_NAME

Abhängig von Ihrer Konfiguration können Sie zusätzliche Dienstkonten haben. Details finden Sie in der Kurzreferenz zu Dienstkonten.

In diesem Fall gilt Folgendes:

  • SESSION_ID: Die Sitzungs-ID für diese bestimmte Übertragung.
  • IDENTIFIER: Eine generierte Nummer, die für dieses Projekt spezifisch ist.
  • BUCKET_NAME: Der Name Ihres Cloud Storage-Buckets.

Cloud KMS-Schlüssel löschen

Durch das Löschen des Cloud KMS-Schlüssels wird sichergestellt, dass alle zuvor mit dem Schlüssel verschlüsselten Daten von niemandem mehr entschlüsselt werden können.

Weitere Informationen zum Löschen von Schlüsseln finden Sie unter Schlüsselversionen löschen und wiederherstellen.

So löschen Sie den Cloud KMS-Schlüssel:

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.

    Zur Seite "Cryptographic Keys" (Kryptografische Schlüssel)

  2. Klicken Sie auf den Namen des Schlüsselbunds, der zum Vorbereiten des Cloud KMS-Schlüssels verwendet wurde.

  3. Suchen Sie die Zeile, die den zu löschenden Schlüssel enthält.

  4. Wählen Sie Mehr > Löschen aus.

    Es wird ein Bestätigungsdialogfeld angezeigt.

  5. Klicken Sie im Bestätigungsdialogfeld auf Löschen planen.

Befehlszeile

Führen Sie den Befehl gcloud kms keys version destroy aus:

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

In diesem Beispiel:

  • VERSION_NUMBER: Die Versionsnummer des Schlüssels.
  • KEY_RING: Name des Schlüsselbunds.
  • KEY: Der Name Ihres asymmetrischen Schlüssels.
  • LOCATION: Der Google Cloud-Speicherort des Schlüsselbunds.
  • PROJECT_ID: Die Google Cloud-Projekt-ID, unter der sich Ihr Schlüssel befindet.