Descripción general

En esta página, se proporciona una descripción general de Key Access Justifications. Key Access Justifications te permite establecer una política para las claves de Cloud Key Management Service (Cloud KMS) para ver, aprobar y denegar solicitudes de acceso a las claves según el código de justificación proporcionado. En el caso de algunos socios de administración de claves externas, puedes configurar las políticas de Key Access Justifications fuera de Google Cloud para que las aplique de forma exclusiva el administrador de claves externo, en lugar de Cloud KMS. Key Access Justifications funciona con los siguientes tipos de claves de Cloud KMS según el paquete de control de Assured Workloads que selecciones:

• Claves de Cloud EKM
• Claves de Cloud HSM

Cómo funciona la encriptación en reposo

La encriptación en reposo de Google Cloud encripta los datos almacenados en Google Cloud con una clave de encriptación que se encuentra fuera del servicio en el que se almacenan los datos. Por ejemplo, si encriptas datos en Cloud Storage, el servicio solo almacena la información encriptada que almacenaste, mientras que la clave que se usa para encriptar esos datos se almacena en Cloud KMS (si usas claves de encriptación administradas por el cliente [CMEK]) o en tu administrador de claves externo (si usas Cloud EKM).

Cuando usas un servicio de Google Cloud, quieres que tus aplicaciones sigan funcionando como se describe, y esto requerirá que se desencripten los datos. Por ejemplo, si ejecutas una consulta con BigQuery, el servicio de BigQuery debe desencriptar tus datos para poder analizarlos. Para ello, BigQuery envía una solicitud de desencriptación al administrador de claves a fin de obtener los datos necesarios.

¿Por qué accederían a mis claves?

Los sistemas automatizados acceden con mayor frecuencia a tus claves de encriptación mientras entregan tus propias solicitudes y cargas de trabajo en Google Cloud.

Además de los accesos iniciados por el cliente, es posible que un empleado de Google deba iniciar operaciones que usen tus claves de encriptación por los siguientes motivos:

• Optimiza la estructura o la calidad de los datos: Es posible que los sistemas de Google necesiten acceder a tus claves de encriptación para indexar, estructurar, procesar previamente, generar hash, fragmentar o almacenar en caché tus datos.

• Crea una copia de seguridad de tus datos: Es posible que Google necesite acceder a tus claves de encriptación para crear una copia de seguridad de tus datos por motivos de recuperación ante desastres.

• Resolver una solicitud de asistencia: Es posible que un empleado de Google deba desencriptar tus datos para cumplir con la obligación contractual de proporcionar asistencia.

• Administración y solución de problemas de sistemas: El personal de Google puede iniciar operaciones que usen tus claves de encriptación para realizar la depuración técnica necesaria para una solicitud de asistencia o investigación complejas. También puede ser necesario acceder para corregir fallas de almacenamiento o daños en los datos.

• Garantizar la integridad y el cumplimiento de los datos, y proteger contra fraudes y abusos: Es posible que Google necesite desencriptar datos por los siguientes motivos:

  • Para garantizar la seguridad de tus datos y cuentas.
  • Para asegurarte de que usas los servicios de Google de acuerdo con las Condiciones del Servicio de Google Cloud.
  • Para investigar reclamos de otros usuarios y clientes, o bien otros indicadores de actividad abusiva
  • Para verificar que los servicios de Google Cloud se usen de acuerdo con los requisitos regulatorios aplicables, como las reglamentaciones contra el lavado de dinero

• Mantener la confiabilidad del sistema: El personal de Google puede solicitar acceso para investigar si una sospecha de interrupción del servicio no te afecta. Además, se puede solicitar acceso para garantizar la copia de seguridad y la recuperación ante interrupciones o fallas del sistema.

Para ver la lista de códigos de justificación, consulta los códigos de motivos de justificación de Key Access Justifications.

Administra el acceso a tus claves administradas de forma externa

Key Access Justifications proporciona un motivo cada vez que se accede a tus claves administradas de forma externa. Los motivos solo se proporcionan cuando las claves se administran de forma externa. Los accesos a claves almacenadas en Cloud KMS o Cloud HSM no proporcionan un motivo. Cuando se almacena una clave en tu administrador de claves externo, recibes una justificación tanto para el acceso basado en servicios (para los servicios compatibles) como para el acceso directo a la API.

Una vez que te inscribas en Key Access Justifications y usas una clave administrada de forma externa, recibirás justificaciones de inmediato para cada acceso a la clave.

Si usas Key Access Justifications y la aprobación de acceso con una clave externa administrada por el cliente, las solicitudes de acceso administrativo no se pueden procesar, a menos que las aprobaciones se firmen con la clave administrada de forma externa después de pasar una verificación de la política de Key Access Justifications para la solicitud de firma. Todas las aprobaciones de acceso firmadas por la clave aparecen en los registros de la Transparencia de acceso.

Habilita Key Access Justifications

Key Access Justifications solo se puede usar con Assured Workloads y se habilita de forma predeterminada cuando creas una nueva carpeta de Assured Workloads configurada para un paquete de control que incluye Key Access Justifications. Consulta la descripción general de Assured Workloads para obtener más información.

Exclusiones de Key Access Justifications

Las Key Access Justifications solo se aplican a lo siguiente:

• Operaciones con datos encriptados. Para conocer los campos dentro de un servicio determinado que se encriptan con una clave administrada por el cliente, consulta la documentación del servicio.
• La transición de los datos en reposo a los datos en uso. Mientras Google sigue aplicando protecciones a tus datos en uso, Key Access Justifications solo rige la transición de los datos en reposo a los datos en uso.
• Las siguientes funciones de Compute Engine y Persistent Disk están exentas cuando se usan con CMEK:
  • SSD locales
  • Reinicio automático
  • Operaciones de imágenes de máquina

¿Qué sigue?

• Consulta los servicios compatibles con Assured Workloads para regiones de la UE y asistencia con controles de soberanía y la lista de servicios adicionales compatibles con KAJ.
• Consulta cómo ver las justificaciones y tomar medidas al respecto.
• Obtén más información para obtener asistencia sobre Key Access Justifications.
• Obtén más información sobre cómo es una solicitud de Aprobación de acceso.
• Obtén información sobre los principios principales en los que se basan los controles que evitan el acceso administrativo no autorizado.