정당성 이유 코드

이 페이지에서는 암호화 키에 대한 액세스를 요청하는 데 사용할 수 있는 근거 목록을 제공합니다.

이유 설명
CUSTOMER_INITIATED_ACCESS 고객은 자신의 계정을 사용하여 IAM 정책이 승인한 자체 데이터에 대한 모든 액세스를 수행합니다. 이러한 액세스에는 로깅과 같은 고객 리소스 활동을 대신하거나 이에 대한 응답으로 간접적으로 실행되는 작업이 포함됩니다.
MODIFIED_CUSTOMER_INITIATED_ACCESS 고객은 자신의 계정을 사용하여 IAM 정책이 승인한 자체 데이터에 대한 모든 액세스를 수행합니다. 이러한 액세스에는 로깅과 같은 고객 리소스 활동을 대신하거나 이에 대한 응답으로 간접적으로 실행되는 작업이 포함됩니다.

동시에 다음 중 하나가 해당됩니다.

  • 지난 7일 내에 Google 관리자가 사용자의 조직과 연결된 루트 액세스 계정을 재설정했습니다.
  • Google에서 시작한 긴급 액세스 작업이 지난 7일 내에 현재 액세스된 리소스와 동일한 프로젝트 또는 폴더에 있는 리소스와 상호작용했습니다.
GOOGLE_INITIATED_SYSTEM_OPERATION Google 시스템에서 고객 데이터에 액세스하여 고객이 나중에 사용하도록 데이터 또는 품질 구조를 최적화하는 데 도움을 줍니다. 이러한 액세스는 고객 데이터의 색인 생성, 구조화, 미리 계산, 해싱, 샤딩, 캐싱에 사용될 수 있습니다. 또한 재해 복구 또는 데이터 무결성 이유로 데이터를 백업하고 백업 데이터로 해결할 수 있는 오류를 감지하는 것도 포함됩니다. 키 상태 점검과 같은 특정 작업은 고객 리소스 활동에 직접 반응하여 Google 시스템에서 시작하지만 관련된 시스템의 아키텍처로 인해 GOOGLE_INITIATED_SYSTEM_OPERATION 근거를 생성할 수 있습니다. 이 근거가 있는 키 액세스는 항상 고객 워크로드를 처리합니다.

고객이 Google에 관리형 제어 영역 작업을 위임하는 경우(예: 관리형 인스턴스 그룹 생성) 모든 관리형 작업이 시스템 작업으로 표시됩니다. 다운스트림 복호화 작업을 트리거하는 관리형 인스턴스 그룹 관리자와 같은 서비스에는 일반 텍스트 고객 데이터에 액세스할 수 없습니다.
MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION Google 시스템에서 고객 데이터에 액세스하여 고객이 나중에 사용하도록 데이터 또는 품질 구조를 최적화하는 데 도움을 줍니다. 이러한 액세스는 고객 데이터의 색인 생성, 구조화, 미리 계산, 해싱, 샤딩, 캐싱에 사용될 수 있습니다. 또한 재해 복구 또는 데이터 무결성 이유로 데이터를 백업하고 백업 데이터로 해결할 수 있는 오류를 감지하는 것도 포함됩니다. 키 상태 점검과 같은 특정 작업은 고객 리소스 활동에 직접 반응하여 Google 시스템에서 시작하지만 관련된 시스템의 아키텍처로 인해 GOOGLE_INITIATED_SYSTEM_OPERATION 근거를 생성할 수 있습니다. 이 근거가 있는 키 액세스는 항상 고객 워크로드를 처리합니다.

동시에 다음 중 하나가 해당됩니다.

  • 지난 7일 내에 Google 관리자가 사용자의 조직과 연결된 루트 액세스 계정을 재설정했습니다.
  • Google에서 시작한 긴급 액세스 작업이 지난 7일 내에 현재 액세스된 리소스와 동일한 프로젝트 또는 폴더에 있는 리소스와 상호작용했습니다.

고객이 Google에 관리형 제어 영역 작업을 위임하는 경우(예: 관리형 인스턴스 그룹 생성) 모든 관리형 작업이 시스템 작업으로 표시됩니다. 다운스트림 복호화 작업을 트리거하는 관리형 인스턴스 그룹 관리자와 같은 서비스에는 일반 텍스트 고객 데이터에 액세스할 수 없습니다.
REASON_NOT_EXPECTED

다음 특성 중 하나를 가진 요청 서비스와 관련된 서비스가 하나 이상 있기 때문에 이 키 요청에 예상되는 이유는 없습니다.

  • 이 서비스는 키 액세스 근거와 전혀 통합되지 않았습니다.
  • 서비스가 키 액세스 근거와 부분적으로 통합되었지만 이 통합은 아직 미리보기 상태입니다. 이러한 서비스 중 일부는 키 액세스 근거와 완전히 통합되지 않아 근거가 생성되지 않을 수 있습니다.

REASON_NOT_EXPECTED 근거는 앞서 언급한 의미를 제공하지만 키 액세스 근거 통합의 GA 상태에 아직 도달하지 않은 서비스의 경우 REASON_UNSPECIFIED를 포함한 다른 근거가 생성될 수 있습니다. Google은 키 액세스 근거 GA가 아닌 서비스를 사용하는 동안 생성된 근거에 대해 보장하지 않습니다.
CUSTOMER_INITIATED_SUPPORT 고객이 시작한 지원(예: 'Case Number: ####')
GOOGLE_INITIATED_SERVICE

시스템 관리 및 문제해결을 위해 Google에서 시작한 액세스를 참조합니다. Google 직원은 다음과 같은 이유로 이러한 유형의 액세스를 허용할 수 있습니다.

  • 복잡한 지원 요청 또는 조사에 필요한 기술적인 디버깅을 수행하기 위해
  • 스토리지 오류 또는 데이터 손상과 같은 기술 문제를 해결하기 위해
THIRD_PARTY_DATA_REQUEST Google에서 고객의 데이터에 액세스하도록 요구하는 고객의 법적 절차에 대한 응답을 포함한 법적 요청 또는 법적 절차에 대한 응답으로 Google에서 시작한 액세스입니다.
GOOGLE_INITIATED_REVIEW 보안, 사기, 악용, 규정 준수 목적으로 Google이 시작한 액세스로, 다음이 포함됩니다.
  • 고객 계정 및 데이터의 안전과 보안 보장
  • 계정 보안에 영향을 미칠 수 있는 이벤트로 인해 데이터가 영향을 받았는지 여부 확인(예: 멀웨어 감염)
  • 고객이 Google 서비스 약관을 준수하면서 Google 서비스를 사용하고 있는지 확인
  • 다른 사용자와 고객의 불만사항이나 기타 악성 활동 조짐이 있는지 조사
  • Google 서비스가 관련 규정 체제에 맞게 사용되고 있는지 확인(예: 자금세탁방지 규정)
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

시스템 안정성을 유지하기 위해 Google에서 시작한 액세스 권한을 참조합니다. Google 직원은 다음과 같은 이유로 이러한 유형의 액세스를 허용할 수 있습니다.

  • 의심되는 서비스 중단이 고객에게 영향을 미치지 않는지 조사하고 확인합니다.
  • 서비스 중단 및 시스템 장애 시 백업 및 복구를 보장합니다.
REASON_UNSPECIFIED

키 액세스 근거가 사용 설정되어 있지만 이 요청에 사용할 수 있는 근거가 없습니다. 그 이유는 일시적인 오류, 버그 또는 기타 상황일 수 있습니다.

Google Cloud와 특정 EKM 제공업체가 제공하는 다양한 로깅 시스템의 특정 근거 표시 구현으로 인해 REASON_UNSPECIFIED 근거가 빈 문자열로 표시될 수 있습니다. 요청 로그에 근거 필드가 있지만 근거가 표시되지 않으면 REASON_UNSPECIFIED 근거를 받은 것으로 해석됩니다.
CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING

다음 작업 중 하나가 실행되는 동안 내부 기술 문제로 인해 더 정확한 근거 코드가 생성되지 않았습니다.

  • 이 계정은 IAM 정책이 승인한 자체 데이터에 대한 액세스를 수행하는 데 사용되었습니다.
  • 자동화된 Google 시스템은 IAM 정책이 승인하는 암호화된 고객 데이터로 작동합니다.
  • 고객이 시작한 Google 지원 액세스입니다.
  • 시스템 안정성을 보호하기 위해 Google이 시작한 지원 액세스입니다.

    • 이러한 내부 기술 문제가 발생하면 Google은 즉시 상황을 해결하고 관련 시스템을 다른 더 정확한 정당성 코드가 생성되는 상태로 되돌리도록 합니다.

    CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING 근거를 사용한 요청 거부로 인한 운영 중단 위험을 줄이려면 키 액세스 근거 정책에서 CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING을 허용하는 것이 좋습니다.
근거 필드가 없습니다. 키 액세스 근거가 사용 설정되어 있지 않습니다.

다음 단계