Descripción general

En esta página, se proporciona una descripción general de Key Access Justifications. Key Access Justifications te permite definir política sobre claves de Cloud Key Management Service (Cloud KMS) para ver, aprobar y rechazar claves de acceso a las solicitudes de acceso según la código de justificación. Para socios de administración de claves externos seleccionados, puedes configurar las políticas de Key Access Justifications fuera de a Google Cloud que lo aplique exclusivamente el administrador de claves externo que en Cloud KMS. Key Access Justifications funciona con los siguientes los tipos de claves de Cloud KMS según Paquete de control de Assured Workloads selecciona una de las siguientes opciones:

• Claves de Cloud EKM
• Claves de Cloud HSM

Cómo funciona la encriptación en reposo

La encriptación en reposo de Google Cloud encripta tus datos almacenados a Google Cloud con una clave de encriptación que reside fuera del servicio en el que de que se almacenen los datos. Por ejemplo, si encriptas datos en Cloud Storage, el solo almacena la información encriptada que almacenaste, mientras que la clave que se usan para encriptar los datos se almacenan en Cloud KMS (si usas claves de encriptación administradas por el cliente (CMEK)) o en tu administrador de claves externo (si usan Cloud EKM).

Cuando usas un servicio de Google Cloud, quieres que tus aplicaciones seguirán funcionando como se describe, y esto requerirá que se desencripten tus datos. Por ejemplo, si ejecutas una consulta con BigQuery, el conjunto de datos necesita desencriptar tus datos para poder analizarlos. BigQuery lo logra con una solicitud de desencriptación al administrador de claves para obtener el los datos requeridos.

¿Por qué accederían a mis claves?

Los sistemas automatizados acceden con mayor frecuencia a tus claves de encriptación para entregar tus propias solicitudes y cargas de trabajo en Google Cloud.

Además de los accesos iniciados por el cliente, es posible que un empleado de Google deba inicia operaciones que usan tus claves de encriptación por los siguientes motivos:

• Optimizar la estructura o la calidad de los datos: Es posible que los sistemas de Google necesiten acceder a tus claves de encriptación para indexar, estructurar, procesar previamente, generar hash, fragmentar o almacenar en caché tus datos.

• Crea una copia de seguridad de tus datos: Es posible que Google necesite acceder a tus claves de encriptación para lo siguiente: y crear copias de seguridad de los datos por motivos de recuperación ante desastres.

• Resolver una solicitud de asistencia: Es posible que un empleado de Google deba desencriptar su datos para cumplir con la obligación contractual de proporcionar asistencia.

• Administración de sistemas y solución de problemas: El personal de Google puede iniciar operaciones. que usan tus claves de encriptación para realizar la depuración técnica necesaria para un una solicitud de asistencia o una investigación compleja. También es posible que se necesite acceso solucionar la falla de almacenamiento o la corrupción de datos.

• Garantizar la integridad y el cumplimiento de los datos, y protegerlos contra fraudes y abusos: Es posible que Google deba desencriptar los datos por los siguientes motivos:

  • Para garantizar la seguridad de tus datos y cuentas.
  • Para asegurarte de que usas los servicios de Google de conformidad con las Condiciones del Servicio de Google Cloud
  • Para investigar reclamos de otros usuarios y clientes, o cualquier otro indicador de actividad abusiva.
  • Para verificar que los servicios de Google Cloud se usen de acuerdo con requisitos regulatorios aplicables, como prevención de lavado de dinero reglamentaciones.

• Mantener la confiabilidad del sistema: El personal de Google puede solicitar acceso a investigar si una presunta interrupción del servicio no te afecta. Además, accede para garantizar la copia de seguridad y la recuperación ante interrupciones fallas.

Para ver la lista de códigos de justificación, consulta códigos de motivos de justificación de Key Access Justifications.

Administra el acceso a tus claves administradas de forma externa

Key Access Justifications les indica un motivo cada vez que sus claves administradas de forma externa y cómo se accede a ellos. Los motivos solo se proporcionan cuando las claves se administran de forma externa. Los accesos a claves almacenadas en Cloud KMS o Cloud HSM no proporcionan un y por una buena razón. Cuando se almacena una clave en tu administrador de claves externo, recibes un justificación tanto para el acceso basado en servicios (para los servicios compatibles) como para Acceso a la API.

Después de inscribirte en Key Access Justifications y usar una clave administrada de forma externa, reciban de inmediato justificaciones por cada acceso a una clave.

Si usas Key Access Justifications y Access Approval con una administrada por el cliente externa, las solicitudes de acceso administrativo no pueden se procesan, a menos que las aprobaciones se firmen con la clave administrada de forma aprobar una verificación de política de Key Access Justifications para la solicitud de firma. Todo Las aprobaciones de acceso firmadas por la clave aparecen en los registros de la Transparencia de acceso.

Habilita Key Access Justifications

Key Access Justifications solo se puede usar con Assured Workloads y se habilita en predeterminada cuando creas una nueva carpeta de Assured Workloads configurada para un paquete de control que incluya Key Access Justifications, Consulta la Descripción general de Assured Workloads para obtener más información información.

Exclusiones de Key Access Justifications

Las Key Access Justifications solo se aplican a lo siguiente:

• Operaciones con datos encriptados. Para los campos dentro de un servicio determinado que se encriptado por una clave administrada por el cliente, consulta la documentación del servicio.
• La transición de los datos en reposo a los datos en uso. Si bien Google continúa aplicar protecciones a tus datos en uso, Key Access Justifications solo rige la transición de datos en reposo a datos en uso.
• Las siguientes funciones de Compute Engine y Persistent Disk están exentas cuando se usan con CMEK:
  • SSD locales
  • Reinicio automático
  • Operaciones de imágenes de máquina

¿Qué sigue?

• Ver los servicios compatibles con Assured Workloads para Regiones de la UE y asistencia con controles de soberanía y la lista de servicios adicionales compatibles con KAJ.
• Consulta cómo ver las justificaciones y tomar medidas al respecto.
• Obtén más información para obtener asistencia sobre Key Access Justifications.
• Obtén más información sobre cómo es una solicitud de Aprobación de acceso.
• Obtén información sobre los principios básicos sobre los que se basa en los controles que evitan el acceso de administrador se basan.