アクセスのクリーンアップ

Google Cloud コンソール

1. Google Cloud コンソールで [暗号鍵] ページに移動します。

   [暗号鍵] ページに移動

2. Cloud KMS 鍵の準備で使用した鍵を含むキーリングの名前をクリックします。

3. サービス アカウントからアクセス権を取り消すキーのチェックボックスをオンにします。

4. [情報パネルを表示] をクリックします。

   情報パネルが表示されます。

5. サービス アカウントから Cloud KMS CryptoKey 復号ロールを取り消すには、次の操作を行います。

   1. [権限] タブで、[Cloud KMS 暗号鍵の復号] を展開します。

   2. サービス アカウントを見つけます。次のような形式です。 例:

      service-PROJECT_ID@gcp-sa-transferappliance.

      この例では、PEOJECT_ID は鍵が属するGoogle Cloud プロジェクト ID です。

   3. [delete削除] をクリックします。

   4. 削除ウィンドウで、サービス アカウントを選択して [削除] をクリックします。

6. サービス アカウントから Cloud KMS 暗号鍵の公開鍵閲覧者ロールを取り消すには、次の操作を行います。

   1. [権限] タブで、[Cloud KMS 暗号鍵の公開鍵閲覧者] ロールを展開します。

   2. セッションのサービス アカウントを見つけます。次のような形式です。 例:

      service-PROJECT_ID@gcp-sa-transferappliance.

      この例では、PEOJECT_ID は鍵が属するGoogle Cloud プロジェクト ID です。

   3. [delete削除] をクリックします。

   4. 削除ウィンドウで、サービス アカウントの横にあるチェックボックスをオンにして、[削除] をクリックします。

コマンドライン

1. 次のコマンドを実行して、セッション サービス アカウントから roles/cloudkms.cryptoKeyDecrypter ロールを取り消します。

   gcloud kms keys remove-iam-policy-binding KEY \
     --keyring KEY_RING \
     --location LOCATION \
     --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance. \
     --role roles/cloudkms.cryptoKeyDecrypter
   

   この例では、次のようになります。

   • KEY: Cloud Key Management Service 鍵の名前。例: ta-key
   • KEY_RING: キーリングの名前。
   • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
   • PROJECT_ID: 鍵が属する Google Cloud プロジェクト ID。

2. 次のコマンドを実行して、セッション サービス アカウントから roles/cloudkms.publicKeyViewer ロールを取り消します。

   gcloud kms keys remove-iam-policy-binding KEY \
     --keyring KEY_RING \
     --location LOCATION \
     --member=serviceAccount:service-PROJECT_ID@gcp-sa-transferappliance. \
     --role roles/cloudkms.publicKeyViewer
   

   この例では、次のようになります。

   • KEY: Cloud Key Management Service 鍵の名前。例: ta-key
   • KEY_RING: キーリングの名前。
   • LOCATION: キーリングの Cloud Key Management Service のロケーション。例: global
   • PROJECT_ID: 鍵が属する Google Cloud プロジェクト ID。

Google Cloud コンソール

1. Google Cloud コンソールで Cloud Storage の [バケット] ページに移動します。
   

   [バケット] に移動

2. データがコピーされた Cloud Storage バケットを見つけて、バケット名の横にあるチェックボックスをオンにします。

3. [情報パネルを表示] をクリックします。

   情報パネルが表示されます。

4. [権限] タブで、[ストレージ管理者ロール] を開きます。

5. 関連付けられているサービス アカウントを見つけます。構成に応じて 2 ～ 4 個のアカウントが作成されます。サービス アカウントについては、サービス アカウントのクイック リファレンスをご覧ください。

   各サービス アカウントについて:

   1. [delete削除] をクリックします。

   2. 削除を確定するには、サービス アカウントの横にあるチェックボックスをオンにして、[削除] をクリックします。

コマンドライン

gcloud storage buckets remove-iam-policy-binding コマンドを次のように使用します。

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:ta-SESSION_ID@transfer-appliance-zimbru. \
--role=roles/storage.admin

gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME\
--member=serviceAccount:project-IDENTIFIER@storage-transfer-service. \
--role=roles/storage.admin

構成によっては、追加のサービス アカウントが存在する場合があります。詳細については、サービス アカウントのクイック リファレンスをご覧ください。

この例では、次のようになります。

• SESSION_ID: この転送に固有のセッション ID。
• IDENTIFIER: この特定のプロジェクトに固有の生成された番号。
• BUCKET_NAME: Cloud Storage バケットの名前

Google Cloud コンソール

1. Google Cloud コンソールで [暗号鍵] ページに移動します。

   [暗号鍵] ページに移動

2. Cloud KMS 鍵の準備に使用した鍵リングの名前をクリックします。

3. 破棄する鍵を含む行を探します。

4. more_vert [その他> 破棄] を選択します。

   確認ダイアログが表示されます。

5. 確認ダイアログで [破棄をスケジュール] をクリックします。

コマンドライン

gcloud kms keys version destroy コマンドを使用します。

gcloud kms keys versions destroy VERSION_NUMBER
--keyring=KEY_RING \
--key=KEY --location=LOCATION \
--project=PROJECT_ID

この例では、次のようになります。

• VERSION_NUMBER: 鍵のバージョン番号。
• KEY_RING: キーリングの名前。
• KEY: 非対称鍵の名前。
• LOCATION: キーリングの Google Cloud ロケーション。
• PROJECT_ID: 鍵が属する Google Cloud プロジェクト ID。