Remover acesso

Depois de concluir a cópia dos seus dados de todos os dispositivos, recomendamos que você remova o acesso concedido anteriormente às nossas contas de serviço. Isso aplica a prática do privilégio mínimo aos seus dados e ajuda a garantir a segurança deles.

Esta seção descreve:

  • Como revogar o acesso das contas de serviço aos buckets do Cloud Storage.
  • Como revogar o acesso das contas de serviço aos papéis do Cloud KMS.
  • Como destruir a chave do Cloud KMS usada para criptografar seus dados no Transfer Appliance.

Aguarde a cópia de todos os seus dados para o Cloud Storage antes de concluir as etapas abaixo.

Quando a chave do Cloud KMS é destruída, não é possível recuperar os dados criptografados no Transfer Appliance. Da mesma forma, depois de revogar as contas de serviço dos buckets do Cloud Storage e da chave do Cloud KMS, não é possível copiar mais dados do dispositivo para os buckets do Cloud Storage.

Como revogar o acesso à chave do Cloud KMS para a conta de serviço

Ao revogar o acesso à chave do Cloud KMS para a conta de serviço do Transfer Appliance, você garante que não é mais possível descriptografar dados do Transfer Appliance em seu nome.

Para revogar os papéis de descriptografia do CryptoKey do Cloud KMS e de leitor de chave pública do CryptoKey do Cloud KMS da conta de serviço, siga estas etapas:

Console do Google Cloud

  1. Acesse a página Chaves criptográficas no console do Google Cloud.

    Acessar a página "Chaves criptográficas"

  2. Clique no nome do keyring que contém a chave usada em Preparar a chave do Cloud KMS.

  3. Marque a caixa de seleção da chave referente ao acesso que você está revogando da conta de serviço.

  4. Clique em Mostrar painel de informações.

    O painel de informações é exibido.

  5. Para revogar o papel Descriptografia do CryptoKey do Cloud KMS da conta de serviço, faça o seguinte:

    1. Na guia Permissões, expanda Descriptografia do CryptoKey do Cloud KMS.

    2. Localize a conta de serviço. Fica parecido com o exemplo a seguir:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      Neste exemplo, PEOJECT_ID é o ID do projeto do Google Cloud em que a chave está.

    3. Clique em Excluir.

    4. Na janela de exclusão, selecione a conta de serviço e clique em Remover.

  6. Para revogar o papel Leitor de chaves públicas do CryptoKey do Cloud KMS da conta de serviço, faça o seguinte:

    1. Na guia Permissões, expanda o papel Leitor de chaves públicas do CryptoKey do Cloud KMS.

    2. Localize a conta de serviço da sessão. Fica parecido com o exemplo a seguir:

      service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com

      Neste exemplo, PEOJECT_ID é o ID do projeto do Google Cloud em que a chave está.

    3. Clique em Excluir.

    4. Na janela de exclusão, marque a caixa de seleção ao lado da conta de serviço e clique em Remover.

Linha de comando

  1. Execute o seguinte comando para revogar o papel roles/cloudkms.cryptoKeyDecrypter da conta de serviço da sessão:

    gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyDecrypter

    Neste exemplo:

    • KEY: o nome da chave do Cloud Key Management Service. Por exemplo, ta-key.
    • KEY_RING: o nome do keyring.
    • LOCATION: o local do Cloud Key Management Service para o keyring. Por exemplo, global.
    • PROJECT_ID: o ID do projeto do Google Cloud em que a chave está.

  2. Execute o seguinte comando para revogar o papel roles/cloudkms.publicKeyViewer da conta de serviço da sessão:

    gcloud kms keys remove-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance.iam.gserviceaccount.com \
  --role roles/cloudkms.publicKeyViewer

    Neste exemplo:

    • KEY: o nome da chave do Cloud Key Management Service. Por exemplo, ta-key.
    • KEY_RING: o nome do keyring.
    • LOCATION: o local do Cloud Key Management Service para o keyring. Por exemplo, global.
    • PROJECT_ID: o ID do projeto do Google Cloud em que a chave está.

Como revogar o acesso ao bucket do Cloud Storage para as contas de serviço

Ao revogar o acesso ao bucket do Cloud Storage para as contas de serviço do Transfer Appliance, você garante que não é mais possível usar os recursos do Cloud Storage em seu nome.

Para revogar o acesso do bucket do Cloud Storage às contas de serviço do Transfer Appliance, faça o seguinte:

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Buckets do Cloud Storage.

    Acessar buckets

  2. Localize o bucket do Cloud Storage para o qual seus dados foram copiados e marque a caixa de seleção ao lado do nome do bucket.

  3. Clique em Mostrar painel de informações.

    O painel de informações é exibido.

  4. Na guia Permissões, expanda Papel de administrador do Storage.

  5. Localize as contas de serviço associadas. Pode haver de duas a quatro contas, dependendo da configuração. As contas de serviço são descritas em Referência rápida de contas de serviço.

    Para cada conta de serviço:

    1. Clique em Excluir.

    2. Para confirmar a exclusão, marque a caixa de seleção ao lado da conta de serviço e clique em Remover.

Linha de comando

Use o comando gsutil iam ch:

gsutil iam ch -d \
serviceAccount:SESSION_ID@transfer-appliance-zimbru.iam.gserviceaccount.com:roles/storage.admin \
serviceAccount:project-IDENTIFIER@storage-transfer-service.gserviceaccount.comi \
gs://BUCKET_NAME

Dependendo da configuração, é possível ter outras contas de serviço. Consulte a Referência rápida de contas de serviço para mais detalhes.

Neste exemplo:

  • SESSION_ID: o ID da sessão dessa transferência específica;
  • IDENTIFIER: um número gerado específico para esse projeto.
  • BUCKET_NAME: o nome do bucket do Cloud Storage.

Como destruir a chave do Cloud KMS

A destruição da chave do Cloud KMS garante que todos os dados criptografados anteriormente por ela não possam mais ser descriptografados.

Para mais informações sobre como destruir chaves, consulte Como destruir e restaurar versões de chaves.

Para destruir a chave do Cloud KMS, faça o seguinte:

Console do Google Cloud

  1. Acesse a página Chaves criptográficas no console do Google Cloud.

    Acessar a página "Chaves criptográficas"

  2. Clique no nome do keyring usado para preparar a chave do Cloud KMS.

  3. Localize a linha que contém a chave que você está destruindo.

  4. Selecione Mais > Destruir.

    Uma caixa de diálogo de confirmação é exibida.

  5. Na caixa de diálogo de confirmação, clique em Programar destruição.

Linha de comando

Use o comando gcloud kms keys version destroy:

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

Neste exemplo:

  • VERSION_NUMBER: o número da versão da chave.
  • KEY_RING: o nome do keyring
  • KEY: o nome da chave assimétrica.
  • LOCATION: o local do keyring do Google Cloud.
  • PROJECT_ID: o ID do projeto do Google Cloud em que a chave está.