正当化理由コード

このページでは、暗号鍵へのアクセスをリクエストする理由について説明します。

理由 説明
CUSTOMER_INITIATED_ACCESS お客様は、自身のアカウントを使用して、IAM ポリシーで承認された自身のデータへのアクセスを実行します。これらのアクセスには、ロギングなど、お客様のリソース アクティビティのために間接的に実行される、またはお客様のリソース アクティビティに応じて実行されるオペレーションが含まれます。
MODIFIED_CUSTOMER_INITIATED_ACCESS お客様は、自身のアカウントを使用して、IAM ポリシーで承認された自身のデータへのアクセスを実行します。 これらのアクセスには、ロギングなど、お客様のリソース アクティビティのために間接的に実行される、またはお客様のリソース アクティビティに応じて実行されるオペレーションが含まれます。

同時に、次のいずれかに該当します。

  • 過去 7 日以内に、ユーザーの組織に関連付けられた root アクセス アカウントが Google 管理者によってリセットされました。
  • Google が開始した緊急アクセス オペレーションで、過去 7 日間に現在アクセスされているリソースと同じプロジェクトまたはフォルダ内のリソースが操作されました。
GOOGLE_INITIATED_SYSTEM_OPERATION Google のシステムが顧客データにアクセスして、お客様の今後の使用のためにデータ構造や品質を最適化します。これらのアクセスには、顧客データのインデックス登録、構造化、事前計算、ハッシュ化、シャーディング、キャッシュがあります。これには、災害復旧またはデータの整合性の理由によるデータのバックアップ、およびバックアップ データによって修復できるエラーの検出も含まれます。重要なヘルスチェックなどの特定のオペレーションは、お客様のリソース アクティビティに直接対応する Google のシステムによって開始されますが、関連するシステムのアーキテクチャにより、GOOGLE_INITIATED_SYSTEM_OPERATION の理由を生成できます。この理由による重要なアクセスは、常にお客様のワークロードに従います。

マネージド インスタンス グループの作成など、お客様がマネージド コントロール プレーンのオペレーションを Google に委任した場合、すべてのマネージド オペレーションがシステム オペレーションとして表示されます。ダウンストリームの復号オペレーションをトリガーするマネージド インスタンス グループ マネージャーなどのサービスには、クリアテキストのお客様データへのアクセス権がありません。

MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION Google のシステムが顧客データにアクセスして、お客様の今後の使用のためにデータ構造や品質を最適化します。これらのアクセスには、顧客データのインデックス登録、構造化、事前計算、ハッシュ化、シャーディング、キャッシュがあります。これには、災害復旧またはデータの整合性の理由によるデータのバックアップ、およびバックアップ データによって修復できるエラーの検出も含まれます。重要なヘルスチェックなどの特定のオペレーションは、お客様のリソース アクティビティに直接対応する Google のシステムによって開始されますが、関連するシステムのアーキテクチャにより、GOOGLE_INITIATED_SYSTEM_OPERATION の理由を生成できます。この理由による重要なアクセスは、常にお客様のワークロードに従います。

同時に、次のいずれかに該当します。

  • 過去 7 日以内に、ユーザーの組織に関連付けられた root アクセス アカウントが Google 管理者によってリセットされました。
  • Google が開始した緊急アクセス オペレーションで、過去 7 日間に現在アクセスされているリソースと同じプロジェクトまたはフォルダ内のリソースが操作されました。

マネージド インスタンス グループの作成など、お客様がマネージド コントロール プレーンのオペレーションを Google に委任した場合、すべてのマネージド オペレーションがシステム オペレーションとして表示されます。ダウンストリームの復号オペレーションをトリガーするマネージド インスタンス グループ マネージャーなどのサービスには、クリアテキストのお客様データへのアクセス権がありません。

REASON_NOT_EXPECTED

次のいずれかの特性を持つリクエストの処理には、少なくともサービスが関わっているため、この鍵リクエストには理由はありません。

  • このサービスが Key Access Justifications と統合されていません。
  • このサービスは Key Access Justifications と部分的に統合されていますが、この統合はまだプレビュー中です。このようなサービスの一部は Key Access Justifications と完全に統合されていない可能性があります。そのため、理由が作成できない場合があります。

REASON_NOT_EXPECTED 理由には前述の意味がありますが、Key Access Justifications 統合の一般提供ステータスにまだ到達していないサービスでも、他の理由(REASON_UNSPECIFIED など)が生成される場合があります。Google は、Key Access Justifications の一般提供されていないサービスを使用する際に生成された理由については保証しません。

CUSTOMER_INITIATED_SUPPORT お客様が開始したサポート(例: 「ケース番号: ####」)。
GOOGLE_INITIATED_SERVICE

システム管理とトラブルシューティングのために Google が開始したアクセスを指します。Google の担当者がこの種のアクセスを行う理由は次のとおりです。

  • 複雑なサポート リクエストや調査に必要な技術的なデバッグを行う。
  • ストレージ障害やデータ破損などの技術的問題を解決する。
THIRD_PARTY_DATA_REQUEST 法的要請または法的手続きに対応するために Google が開始したアクセス(Google がお客様自身のデータにアクセスする必要がある法的手続きに対応する場合など)。
GOOGLE_INITIATED_REVIEW 次のようなセキュリティ、詐欺、乱用、コンプライアンスに関する目的で Google が開始したアクセス:
  • お客様のアカウントおよびデータの安全性とセキュリティを確保する
  • アカウントのセキュリティに影響を与える可能性のあるイベント(マルウェア感染など)によってデータが影響を受けるかどうかを確認する
  • お客様が Google 利用規約に準拠して Google サービスを使用しているかどうかを確認する
  • 他のユーザーやお客様からの申し立て、または不正行為の兆候を調査する
  • Google サービスが、関連するコンプライアンス制度(マネーロンダリング防止規制など)と一貫して使用されていることを確認する
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

システムの信頼性を維持するために Google が開始したアクセスを指します。Google の担当者がこの種のアクセスを行う理由は次のとおりです。

  • 疑わしいサービス停止がお客様に影響しないかどうかを調べて確認する。
  • 停電やシステム障害からのバックアップと復旧を確実に行う。
REASON_UNSPECIFIED

Key Access Justifications が有効になっていますが、正当化されるリクエストはありません。理由として、一時的なエラー、バグ、またはその他の状況が考えられます。

Google Cloud と特定の EKM プロバイダによって提供されるさまざまなロギング システムの特定の理由表示の実装により、REASON_UNSPECIFIED の理由は空の文字列として表されることがあります。リクエストログに [理由] フィールドが存在し、理由が表示されない場合は、REASON_UNSPECIFIED の理由を受信していると解釈されます。

CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING

より厳密な理由コードの生成を妨げる内部の技術的な問題が同時に発生した場合、次のいずれかのオペレーションが実行されます。

  • お客様のアカウントは、IAM ポリシーで承認された独自のデータへのアクセスの実行に使用されています。
  • 自動化された Google システムは、IAM ポリシーで承認された暗号化された顧客データを操作します。
  • お客様が開始した Google サポート アクセス。
  • システムの信頼性を保護するために、Google が開始したサポート アクセス。
  • このような内部的な技術的問題が発生すると、Google は状況を直ちに修正して、他のより正確な理由コードを生成する状態に関連するシステムを戻します。

    CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING の理由によるリクエストの拒否によって発生する停止の運用リスクを軽減するために、Key Access Justifications ポリシーで CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING を許可することをおすすめします。

[理由] フィールドがない Key Access Justifications が有効になっていない。

次のステップ