Codes de motifs de justification

Cette page fournit la liste des raisons pouvant être utilisées pour demander l'accès à vos clés de chiffrement.

Motif Description
CUSTOMER_INITIATED_ACCESS Le client utilise son compte pour effectuer tout accès à ses propres données autorisé par sa stratégie IAM. Ces accès incluent les opérations exécutées indirectement pour le compte ou en réponse à l'activité des ressources du client, comme la journalisation.
MODIFIED_CUSTOMER_INITIATED_ACCESS Le client utilise son compte pour effectuer tout accès à ses propres données autorisé par sa stratégie IAM. Ces accès incluent les opérations exécutées indirectement pour le compte ou en réponse à l'activité des ressources du client, comme la journalisation.

Par ailleurs, l'une des affirmations suivantes est vraie:

  • Un administrateur Google a réinitialisé le compte d'accès racine associé à l'organisation de l'utilisateur au cours des sept derniers jours.
  • Une opération d'accès d'urgence lancée par Google a interagi avec une ressource du même projet ou dossier que la ressource actuellement consultée au cours des sept derniers jours.
GOOGLE_INITIATED_SYSTEM_OPERATION Les systèmes Google accèdent aux données client afin d'optimiser leur structure ou leur qualité pour les utilisations futures par le client. Ces accès peuvent servir à l'indexation, la structuration, le précalcul, le hachage, la segmentation et la mise en cache des données client. Cela inclut également la sauvegarde des données pour des raisons de reprise après sinistre ou d'intégrité des données, ainsi que la détection des erreurs que les données de sauvegarde pourraient corriger. Certaines opérations telles que les vérifications de l'état des clés sont lancées par les systèmes Google en réponse directe à l'activité des ressources du client, mais peuvent générer une justification GOOGLE_INITIATED_SYSTEM_OPERATION en raison de l'architecture des systèmes impliqués. Les accès aux clés avec cette justification sont toujours utilisés pour la charge de travail d'un client.

Lorsque le client a délégué à Google une opération de plan de contrôle géré, telle que la création d'un groupe d'instances géré, toutes les opérations gérées apparaissent en tant qu'opérations système. Les services qui déclenchent des opérations de déchiffrement en aval (tels que le gestionnaire de groupe d'instances géré) n'ont pas accès en clair aux données du client.
MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION Les systèmes Google accèdent aux données client afin d'optimiser leur structure ou leur qualité pour les utilisations futures par le client. Ces accès peuvent servir à l'indexation, la structuration, le précalcul, le hachage, la segmentation et la mise en cache des données client. Cela inclut également la sauvegarde des données pour des raisons de reprise après sinistre ou d'intégrité des données, ainsi que la détection des erreurs que les données de sauvegarde pourraient corriger. Certaines opérations telles que les vérifications de l'état des clés sont lancées par les systèmes Google en réponse directe à l'activité des ressources du client, mais peuvent générer une justification GOOGLE_INITIATED_SYSTEM_OPERATION en raison de l'architecture des systèmes impliqués. Les accès aux clés avec cette justification sont toujours utilisés pour la charge de travail d'un client.

Par ailleurs, l'une des affirmations suivantes est vraie:

  • Un administrateur Google a réinitialisé le compte d'accès racine associé à l'organisation de l'utilisateur au cours des sept derniers jours.
  • Une opération d'accès d'urgence lancée par Google a interagi avec une ressource du même projet ou dossier que la ressource actuellement consultée au cours des sept derniers jours.

Lorsque le client a délégué à Google une opération de plan de contrôle géré, telle que la création d'un groupe d'instances géré, toutes les opérations gérées apparaissent en tant qu'opérations système. Les services qui déclenchent des opérations de déchiffrement en aval (tels que le gestionnaire de groupe d'instances géré) n'ont pas accès en clair aux données du client.
REASON_NOT_EXPECTED

Aucun motif n'est attendu pour cette demande de clé, car elle traite au moins un service présentant l'une des caractéristiques suivantes:

  • Ce service n'a jamais été intégré à Key Access Justifications.
  • Le service est partiellement intégré à Key Access Justifications, mais cette intégration est encore en version preview. Il est possible que certaines parties de ces services ne soient pas complètement intégrées à Key Access Justifications, ce qui peut empêcher la production de justifications.

Bien qu'une justification REASON_NOT_EXPECTED ait le sens mentionné ci-dessus, les services qui n'ont pas encore atteint l'état de disponibilité générale pour l'intégration de Key Access Justifications peuvent également générer d'autres justifications, y compris REASON_UNSPECIFIED. Google ne fournit aucune garantie quant aux justifications générées lors de l'utilisation de services autres que Key Access Justifications en disponibilité générale.
CUSTOMER_INITIATED_SUPPORT Assistance demandée par le client (par exemple, "Numéro de dossier: ####").
GOOGLE_INITIATED_SERVICE

Fait référence à un accès initié par Google à des fins de gestion et de dépannage du système. Le personnel de Google peut accorder ce type d'accès pour les raisons suivantes:

  • Pour effectuer le débogage technique nécessaire à une demande d'assistance ou à une enquête complexe
  • Corriger les problèmes techniques, tels qu'un échec de stockage ou une corruption de données
THIRD_PARTY_DATA_REQUEST Google a initié un accès en réponse à une demande légale ou à une réquisition judiciaire, y compris en réponse à une réquisition judiciaire du client qui exige que Google accède à ses propres données.
GOOGLE_INITIATED_REVIEW Accès initié par Google à des fins de sécurité, de conformité ou de prévention des fraudes ou des abus pour, entre autres :
  • assurer la sûreté et la sécurité des comptes et données client ;
  • vérifier si les données sont affectées par un événement susceptible d'affecter la sécurité du compte (par exemple, les infections par des logiciels malveillants).
  • vérifier si le client utilise les services Google conformément aux conditions d'utilisation de Google ;
  • enquêter sur les réclamations d'autres utilisateurs et clients, ou sur d'autres signes d'activité abusive ;
  • Vérifier que les services Google sont utilisés conformément aux régimes de conformité applicables (par exemple, les réglementations contre le blanchiment d'argent).
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Fait référence à un accès initié par Google pour maintenir la fiabilité du système. Le personnel de Google peut accorder ce type d'accès pour les raisons suivantes:

  • Enquêter et confirmer qu'une suspicion d'interruption de service n'affecte pas le client.
  • Pour assurer la sauvegarde et la récupération en cas de panne et de défaillance du système.
REASON_UNSPECIFIED

Key Access Justifications est activé, mais aucune justification n'est disponible pour cette demande. Il peut s'agir d'une erreur temporaire, d'un bug ou d'une autre circonstance.

En raison des implémentations d'affichage de justification spécifiques pour divers systèmes de journalisation fournis par Google Cloud et certains fournisseurs EKM, la justification REASON_UNSPECIFIED peut être représentée par une chaîne vide. Si un champ de justification est présent dans un journal de requêtes, mais qu'aucune justification ne s'affiche, cela signifie que vous avez reçu une justification REASON_UNSPECIFIED.
CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING

L'une des opérations suivantes est en cours d'exécution alors qu'un problème technique interne a empêché la génération d'un code de justification plus précis:

  • Votre compte a été utilisé pour accéder à vos propres données, conformément à votre stratégie IAM.
  • Un système automatisé Google opère sur les données client chiffrées, ce qui est autorisé par votre stratégie IAM.
  • Accès à l'assistance Google initié par le client.
  • Accès à l'assistance initié par Google pour garantir la fiabilité du système.

    • Lorsqu'un tel problème technique interne se produit, Google s'efforce immédiatement de remédier à la situation et rétablit les systèmes concernés dans un état où d'autres codes de justification plus précis sont générés.

    Pour réduire le risque opérationnel d'une indisponibilité résultant du refus d'une demande avec justification CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING, Google vous recommande d'autoriser CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING dans vos règles Key Access Justifications.
Aucun champ de justification présent Key Access Justifications n'est pas activé pour vous.

Étapes suivantes