アクセスのクリーンアップ

すべてのアプライアンスからデータをコピーしたら、以前にサービス アカウントに付与したアクセス権を削除することをおすすめします。これにより、データに対する最小権限の原則が適用され、データのセキュリティが確保されます。

このセクションでは、次のことについて説明します。

  • サービス アカウントから Cloud Storage バケットへのアクセスを取り消す。
  • サービス アカウントから Cloud KMS ロールにアクセスできないようにする。
  • Transfer Appliance でデータの暗号化に使用した Cloud KMS 鍵を破棄する。

すべてのデータが Cloud Storage にコピーされるまで、以下の手順を完了します。

Cloud KMS 鍵が破棄されると、Transfer Appliance 上の暗号化されたデータは復元できません。同様に、Cloud Storage バケットと Cloud KMS 鍵からサービス アカウントを取り消すと、アプライアンスから Cloud Storage バケットにそれ以上データをコピーできなくなります。

サービス アカウントの Cloud KMS 鍵アクセスを取り消す

Transfer Appliance サービス アカウントの Cloud KMS 鍵アクセス権を取り消すと、Google でユーザーの代わりに Transfer Appliance データを復号できなくなります。

Cloud KMS 暗号鍵の復号と Cloud KMS 暗号鍵の公開鍵閲覧者のロールをサービス アカウントから取り消すには、次の操作を行います。

Google Cloud Console

  1. Google Cloud コンソールで [暗号鍵] ページに移動します。

    [暗号鍵] ページに移動

  2. Cloud KMS 鍵を準備するで使用した鍵を含むキーリングの名前をクリックします。

  3. サービス アカウントからアクセス権を取り消す鍵のチェックボックスをオンにします。

  4. [情報パネルを表示] をクリックします。

    情報パネルが表示されます。

  5. サービス アカウントから Cloud KMS CryptoKey Decrypter ロールを取り消す手順は次のとおりです。

    1. [権限] タブで、[Cloud KMS 暗号鍵の復号化] を展開します。

    2. サービス アカウントを見つけます。次のような形式です。 例:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      この例では、PEOJECT_ID は鍵が存在する Google Cloud プロジェクト ID です。

    3. [削除] をクリックします。

    4. 削除ウィンドウで、サービス アカウントを選択し、[削除] をクリックします。

  6. サービス アカウントから Cloud KMS CryptoKey 公開鍵閲覧者のロールを取り消すには、次の手順を行います。

    1. [権限] タブで、[Cloud KMS 暗号鍵の公開鍵閲覧者] ロールを展開します。

    2. セッション サービス アカウントを見つけます。次のような形式です。 例:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      この例では、PEOJECT_ID は鍵が存在する Google Cloud プロジェクト ID です。

    3. [削除] をクリックします。

    4. 削除ウィンドウで、サービス アカウントの横にあるチェックボックスをオンにして、[削除] をクリックします。

コマンドライン

  1. 次のコマンドを実行して、セッション サービス アカウントから roles/cloudkms.cryptoKeyDecrypter ロールを取り消します。

    gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyDecrypter

    この例では、次のようになります。

    • KEY: Cloud Key Management Service 鍵の名前。 例: ta-key
    • KEY_RING: キーリングの名前。
    • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
    • PROJECT_ID: 鍵が存在する Google Cloud プロジェクト ID。

  2. 次のコマンドを実行して、セッション サービス アカウントから roles/cloudkms.publicKeyViewer ロールを取り消します。

    gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.publicKeyViewer

    この例では、次のようになります。

    • KEY: Cloud Key Management Service 鍵の名前。 例: ta-key
    • KEY_RING: キーリングの名前。
    • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
    • PROJECT_ID: 鍵が存在する Google Cloud プロジェクト ID。

サービス アカウントの Cloud Storage バケット アクセスの取り消し

Transfer Appliance サービス アカウントの Cloud Storage バケット アクセス権を取り消すと、Google でお客様に代わって Cloud Storage リソースを使用できなくなります。

Transfer Appliance サービス アカウントの Cloud Storage バケット アクセス権を取り消す手順は次のとおりです。

Google Cloud Console

  1. Google Cloud コンソールで、Cloud Storage の [バケット] ページに移動します。

    [バケット] に移動

  2. データがコピーされた Cloud Storage バケットを見つけて、バケット名の横にあるチェックボックスをオンにします。

  3. [情報パネルを表示] をクリックします。

    情報パネルが表示されます。

  4. [権限] タブで、[ストレージ管理者のロール] を展開します。

  5. 関連付けられているサービス アカウントを探します。構成に応じて 2 ~ 4 個のアカウントがあります。サービス アカウントについては、サービス アカウントのクイック リファレンスをご覧ください。

    サービス アカウントごとに、次のことを行います。

    1. [削除] をクリックします。

    2. 削除を確定するには、サービス アカウントの横にあるチェックボックスをオンにして、[削除] をクリックします。

コマンドライン

gsutil iam ch コマンドを使用します。

gsutil iam ch -d \
serviceAccount:SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com:roles/storage.admin \
serviceAccount:project-IDENTIFIER@storage-transfer-service.gserviceaccount.comi \
gs://BUCKET_NAME

構成によっては、追加のサービス アカウントが発生する場合があります。詳しくは、サービス アカウントのクイック リファレンスをご覧ください。

この例では、次のようになります。

  • SESSION_ID: この転送に固有のセッション ID。
  • IDENTIFIER: この特定のプロジェクトに固有の番号。
  • BUCKET_NAME: Cloud Storage バケットの名前

Cloud KMS 鍵の破棄

Cloud KMS 鍵を破棄すると、以前に鍵で暗号化されたデータを復号できなくなります。

鍵の破棄の詳細については、鍵バージョンの破棄と復元をご覧ください。

Cloud KMS 鍵を破棄する手順は次のとおりです。

Google Cloud Console

  1. Google Cloud コンソールで [暗号鍵] ページに移動します。

    [暗号鍵] ページに移動

  2. Cloud KMS 鍵の準備に使用したキーリングの名前をクリックします。

  3. 破棄するキーを含む行を見つけます。

  4. その他>破棄を選択します。

    確認ダイアログが表示されます。

  5. 確認ダイアログで [破棄をスケジュール] をクリックします。

コマンドライン

gcloud kms keys version destroy コマンドを使用します。

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

この例では、次のようになります。

  • VERSION_NUMBER: 鍵のバージョン番号。
  • KEY_RING: キーリングの名前。
  • KEY: 非対称鍵の名前
  • LOCATION: キーリングの Google Cloud のロケーション。
  • PROJECT_ID: 鍵が存在する Google Cloud プロジェクト ID。