Limpia el acceso

Una vez que terminemos de copiar tus datos de todos los dispositivos, te recomendamos que quites el acceso otorgado anteriormente a nuestras cuentas de servicio. Esto aplica la práctica de privilegio mínimo a tus datos y ayuda a garantizar su seguridad.

En esta sección, se describe lo siguiente:

Revocamos el acceso de nuestras cuentas de servicio a tus buckets de Cloud Storage.
Revocamos el acceso de nuestras cuentas de servicio a tus roles de Cloud KMS.
Destruir la clave de Cloud KMS que se usa para encriptar tus datos en Transfer Appliance.

Espera hasta que copiemos todos tus datos a Cloud Storage antes de completar los pasos a continuación.

Una vez que se destruye la clave de Cloud KMS, los datos encriptados en Transfer Appliance no se pueden recuperar. Del mismo modo, una vez que revocas las cuentas de servicio de los buckets de Cloud Storage y la clave de Cloud KMS, no se podrán copiar más datos del dispositivo a tus buckets de Cloud Storage.

Revoca el acceso a la clave de Cloud KMS para la cuenta de servicio

Revocar el acceso a la clave de Cloud KMS para la cuenta de servicio de Transfer Appliance garantiza que ya no podamos desencriptar los datos de Transfer Appliance en tu nombre.

Para revocar las funciones de desencriptador de CryptoKey de Cloud KMS y de visualizador de claves públicas de CryptoKey de Cloud KMS desde la cuenta de servicio, sigue estos pasos:

Consola de Google Cloud

Ve a la página Claves criptográficas de Google Cloud Console.

Ir a la página Claves criptográficas
Haz clic en el nombre del llavero de claves que contiene la clave que se usó en Prepara la clave de Cloud KMS.
Selecciona la casilla de verificación de la clave cuyo acceso estás revocando desde la cuenta de servicio.
Haz clic en Mostrar panel de información.

Aparecerá el panel de información.
Para revocar la función Desencriptador de CryptoKey de Cloud KMS de la cuenta de servicio, haz lo siguiente:
1. En la pestaña Permisos, expande Desencriptador de CryptoKey de Cloud KMS.
2. Busca la cuenta de servicio. Se ve como el siguiente ejemplo:
  
  service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com
  
  En este ejemplo, PEOJECT_ID es el ID del proyecto de Google Cloud en el que se encuentra tu clave.
3. Haz clic en Borrar.
4. En la ventana de eliminación, selecciona la cuenta de servicio y haz clic en Quitar.
Para revocar el rol de Visualizador de claves CryptoKey públicas de Cloud KMS de la cuenta de servicio, haz lo siguiente:
1. En la pestaña Permisos, expande la función Visualizador de claves públicas CryptoKey de Cloud KMS.
2. Ubica la cuenta de servicio de la sesión. Se ve como el siguiente ejemplo:
  
  service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com
  
  En este ejemplo, PEOJECT_ID es el ID del proyecto de Google Cloud en el que se encuentra tu clave.
3. Haz clic en Borrar.
4. En la ventana de eliminación, selecciona la casilla de verificación junto a la cuenta de servicio y haz clic en Quitar.

Línea de comandos

Ejecuta el siguiente comando para revocar la función roles/cloudkms.cryptoKeyDecrypter de la cuenta de servicio de la sesión:
```
gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyDecrypter
```
En este ejemplo:
- KEY: Es el nombre de la clave de Cloud Key Management Service. Por ejemplo, ta-key
- KEY_RING: Es el nombre del llavero de claves.
- LOCATION: Es la ubicación de Cloud Key Management Service del llavero de claves. Por ejemplo, global
- PROJECT_ID: El ID del proyecto de Google Cloud en el que se encuentra tu clave.
Ejecuta el siguiente comando para revocar el rol roles/cloudkms.publicKeyViewer desde la cuenta de servicio de la sesión:
```
gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.publicKeyViewer
```
En este ejemplo:
- KEY: Es el nombre de la clave de Cloud Key Management Service. Por ejemplo, ta-key
- KEY_RING: Es el nombre del llavero de claves.
- LOCATION: Es la ubicación de Cloud Key Management Service del llavero de claves. Por ejemplo, global
- PROJECT_ID: El ID del proyecto de Google Cloud en el que se encuentra tu clave.

Revoca el acceso al bucket de Cloud Storage para las cuentas de servicio

Revocar el acceso al bucket de Cloud Storage para las cuentas de servicio de Transfer Appliance garantiza que ya no podamos usar los recursos de Cloud Storage en tu nombre.

Para revocar el acceso al bucket de Cloud Storage a las cuentas de servicio de Transfer Appliance, sigue estos pasos:

Consola de Google Cloud

En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.

Ir a Buckets
Localiza el bucket de Cloud Storage en el que se copiaron los datos y selecciona la casilla de verificación junto al nombre del bucket.
Haz clic en Mostrar panel de información.

Aparecerá el panel de información.
En la pestaña Permisos, expande Función de administrador de almacenamiento.
Localiza las cuentas de servicio asociadas. Según tu configuración, habrá entre 2 y 4 cuentas. Las cuentas de servicio se describen en la Referencia rápida de cuentas de servicio.

Para cada cuenta de servicio, sigue estos pasos:
1. Haz clic en Borrar.
2. Para confirmar la eliminación, selecciona la casilla de verificación junto a la cuenta de servicio y haz clic en Quitar.

Línea de comandos

Usa el comando gsutil iam ch:

gsutil iam ch -d \
serviceAccount:SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com:roles/storage.admin \
serviceAccount:project-IDENTIFIER@storage-transfer-service.gserviceaccount.comi \
gs://BUCKET_NAME

Es posible que tengas cuentas de servicio adicionales, según tu configuración. Consulta la referencia rápida de las cuentas de servicio para obtener más detalles.

En este ejemplo:

SESSION_ID: Es el ID de sesión de esta transferencia en particular.
IDENTIFIER: Es un número generado específico para este proyecto en particular.
BUCKET_NAME: Es el nombre del bucket de Cloud Storage.

Destruye la clave de Cloud KMS

Destruir la clave de Cloud KMS garantiza que los datos encriptados previamente por la clave ya no puedan ser desencriptados.

Consulta Destruir y restablecer versiones de claves para obtener más información sobre cómo destruir claves.

Para destruir la clave de Cloud KMS, haz lo siguiente:

Consola de Google Cloud

Ve a la página Claves criptográficas de Google Cloud Console.

Ir a la página Claves criptográficas
Haz clic en el nombre del llavero de claves que se usó para preparar la clave de Cloud KMS.
Ubica la fila que contiene la clave que deseas destruir.
Selecciona Más > Destruir.

Aparecerá un diálogo de confirmación.
En el diálogo de confirmación, haz clic en Programar destrucción.

Línea de comandos

Usa el comando gcloud kms keys version destroy:

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

En este ejemplo:

VERSION_NUMBER: El número de versión de la clave.
KEY_RING: Es el nombre del llavero de claves.
KEY: Es el nombre de la clave asimétrica.
LOCATION: Es la ubicación de Google Cloud del llavero de claves.
PROJECT_ID: El ID del proyecto de Google Cloud en el que se encuentra tu clave.