Códigos de los motivos de justificación

En esta página, se proporciona la lista de justificaciones que se pueden usar para solicitar acceso a tus claves de encriptación.

Motivo Descripción
CUSTOMER_INITIATED_ACCESS El cliente usa su cuenta para realizar cualquier acceso a sus propios datos que autorice su política de IAM. Estos accesos incluyen operaciones que se ejecutan indirectamente en nombre de la actividad de los recursos del cliente o en respuesta a esta, como el registro.
MODIFIED_CUSTOMER_INITIATED_ACCESS El cliente usa su cuenta para realizar cualquier acceso a sus propios datos que autorice su política de IAM. Estos accesos incluyen operaciones que se ejecutan indirectamente en nombre de la actividad de los recursos del cliente o en respuesta a esta, como el registro.

Al mismo tiempo, se cumple una de las siguientes condiciones:

  • Un administrador de Google restableció la cuenta de acceso raíz asociada a la organización del usuario en los últimos 7 días.
  • Una operación de acceso de emergencia iniciada por Google interactuó con un recurso en el mismo proyecto o carpeta que el recurso al que se accedió en los últimos 7 días.
GOOGLE_INITIATED_SYSTEM_OPERATION Los sistemas de Google acceden a los datos del cliente para ayudar a optimizar la estructura de los datos o la calidad para su uso futuro. Estos accesos pueden usarse para indexar, estructurar, realizar el procesamiento previo, generar un hash, fragmentar y almacenar en caché los datos del cliente. Esto también incluye crear copias de seguridad de los datos para fines de recuperación ante desastres o de integridad de los datos, y detectar errores que los datos de la copia de seguridad podrían solucionar. Los sistemas de Google inician ciertas operaciones, como las verificaciones de estado de claves, en respuesta directa a la actividad de los recursos del cliente, pero pueden generar una justificación de GOOGLE_INITIATED_SYSTEM_OPERATION debido a la arquitectura de los sistemas involucrados. Los accesos a las claves con esta justificación siempre están al servicio de la carga de trabajo del cliente.

Cuando el cliente delegó una operación de plano de control administrado a Google, como la creación de un grupo de instancias administrado, todas las operaciones administradas se mostrarán como operaciones del sistema. Los servicios, como el administrador de grupo de instancias administrado que activan las operaciones de desencriptación descendentes, no tienen acceso a los datos del cliente en formato de texto no encriptado.

MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION Los sistemas de Google acceden a los datos del cliente para ayudar a optimizar la estructura de los datos o la calidad para su uso futuro. Estos accesos pueden usarse para indexar, estructurar, realizar el procesamiento previo, generar un hash, fragmentar y almacenar en caché los datos del cliente. Esto también incluye crear copias de seguridad de los datos para fines de recuperación ante desastres o de integridad de los datos, y detectar errores que los datos de la copia de seguridad podrían solucionar. Los sistemas de Google inician ciertas operaciones, como las verificaciones de estado de claves, en respuesta directa a la actividad de los recursos del cliente, pero pueden generar una justificación de GOOGLE_INITIATED_SYSTEM_OPERATION debido a la arquitectura de los sistemas involucrados. Los accesos a las claves con esta justificación siempre están al servicio de la carga de trabajo del cliente.

Al mismo tiempo, se cumple una de las siguientes condiciones:

  • Un administrador de Google restableció la cuenta de acceso raíz asociada a la organización del usuario en los últimos 7 días.
  • Una operación de acceso de emergencia iniciada por Google interactuó con un recurso en el mismo proyecto o carpeta que el recurso al que se accedió en los últimos 7 días.

Cuando el cliente delegó una operación de plano de control administrado a Google, como la creación de un grupo de instancias administrado, todas las operaciones administradas se muestran como operaciones del sistema. Los servicios, como el administrador de grupo de instancias administrado que activan las operaciones de desencriptación descendentes, no tienen acceso a los datos del cliente en formato de texto no encriptado.

REASON_NOT_EXPECTED

No se espera un motivo para esta solicitud de clave debido a que hay, al menos, un servicio involucrado en la entrega de la solicitud que tiene una de las siguientes características:

  • El servicio nunca se integró en Key Access Justifications.
  • El servicio se integró parcialmente con Key Access Justifications, pero esta integración aún se encuentra en versión preliminar. Es posible que algunas partes de esos servicios no se integren por completo en Key Access Justifications, lo que puede provocar que las justificaciones no sean producibles.

Si bien una justificación de REASON_NOT_EXPECTED lleva el significado mencionado anteriormente, los servicios que aún no alcanzaron el estado de DG para su integración de Key Access Justifications también pueden generar otras justificaciones, como REASON_UNSPECIFIED. Google no otorga garantías con respecto a las justificaciones generadas cuando se usan servicios que no son de la etapa de disponibilidad general de Key Access Justifications.

CUSTOMER_INITIATED_SUPPORT Asistencia iniciada por el cliente, por ejemplo, “Número de caso: ####”.
GOOGLE_INITIATED_SERVICE

Se refiere al acceso iniciado por Google para la administración del sistema y la solución de problemas. El personal de Google puede hacer este tipo de acceso por los siguientes motivos:

  • Para realizar la depuración técnica necesaria en una solicitud o investigación de asistencia compleja.
  • Para solucionar problemas técnicos, como fallas de almacenamiento o corrupción de datos
THIRD_PARTY_DATA_REQUEST Google inició el acceso en respuesta a una solicitud o proceso legal, incluso cuando responde a un proceso legal del cliente que requiere que Google acceda a sus propios datos.
GOOGLE_INITIATED_REVIEW Google inició el acceso por motivos de seguridad, fraude, abuso o cumplimiento, incluidos los siguientes:
  • Asegurar la seguridad y protección de las cuentas y los datos de los clientes.
  • Confirmar si los datos se ven afectados por un evento que podría afectar la seguridad de la cuenta (por ejemplo, infecciones con software malicioso)
  • Confirmar si el cliente usa los servicios de Google de conformidad con las Condiciones del Servicio de Google
  • Investigar reclamos de otros usuarios y clientes, o bien otros indicadores de actividad abusiva
  • Verificar que los servicios de Google se usen de acuerdo con los regímenes de cumplimiento relevantes (por ejemplo, las reglamentaciones contra el lavado de dinero)
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Se refiere al acceso iniciado por Google para mantener la confiabilidad del sistema. El personal de Google puede hacer este tipo de acceso por los siguientes motivos:

  • Investigar y confirmar que la sospecha de interrupción del servicio no afecte al cliente.
  • Para garantizar copias de seguridad y recuperación ante interrupciones y fallas del sistema
REASON_UNSPECIFIED

Habilitaste Key Access Justifications, pero no hay ninguna justificación disponible para esta solicitud. El motivo puede ser un error transitorio, un error o alguna otra circunstancia.

Debido a las implementaciones de pantalla específicas de la justificación de varios sistemas de registro que proporcionan Google Cloud y ciertos proveedores de EKM, la justificación REASON_UNSPECIFIED puede representarse como una string vacía. Si hay un campo de justificación en un registro de solicitud, pero no se muestra ninguna justificación, se debe interpretar como que se recibió una justificación REASON_UNSPECIFIED.

CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING

Se ejecuta una de las siguientes operaciones y, al mismo tiempo, se encuentra un problema técnico interno que impidió que se generara un código de justificación más preciso:

  • Tu cuenta se usó para realizar cualquier acceso a tus propios datos que autorice tu política de IAM.
  • Un sistema automatizado de Google opera con datos del cliente encriptados que autoriza tu política de IAM.
  • Acceso al servicio de Atención al cliente de Google iniciado por el cliente.
  • Acceso a la asistencia iniciado por Google para proteger la confiabilidad del sistema.
  • Cuando se encuentre un problema técnico interno, Google trabajará de inmediato para solucionar la situación y regresar los sistemas involucrados a un estado en el que se generarán otros códigos de justificación más precisos.

    Para reducir el riesgo operativo de una interrupción como resultado de la denegación de una solicitud con la justificación de CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING, Google recomienda que permitas CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING en tus políticas de Key Access Justifications.

No hay ningún campo de justificación Key Access Justifications no está habilitado.

¿Qué sigue?