Codes de motifs de justification

En même temps, l'une des affirmations suivantes est vraie:

• Un administrateur Google a réinitialisé le compte avec accès racine associé à l'organisation de l'utilisateur au cours des sept derniers jours.
• Une opération d'accès d'urgence initiée par Google a interagi avec une ressource du même projet ou dossier que la ressource actuellement accessible au cours des sept derniers jours.

Si le client a délégué à Google une opération d'un plan de contrôle géré, telle que la création d'un groupe d'instances géré, toutes les opérations gérées s'affichent en tant qu'opérations système. Les services qui déclenchent des opérations de déchiffrement en aval (tels que le gestionnaire de groupe d'instances géré) n'ont pas accès en clair aux données du client.

En même temps, l'une des affirmations suivantes est vraie:

• Un administrateur Google a réinitialisé le compte avec accès racine associé à l'organisation de l'utilisateur au cours des sept derniers jours.
• Une opération d'accès d'urgence initiée par Google a interagi avec une ressource du même projet ou dossier que la ressource actuellement accessible au cours des sept derniers jours.

Si le client a délégué à Google une opération d'un plan de contrôle géré, telle que la création d'un groupe d'instances géré, toutes les opérations gérées s'affichent en tant qu'opérations système. Les services qui déclenchent des opérations de déchiffrement en aval (tels que le gestionnaire de groupe d'instances géré) n'ont pas accès en clair aux données du client.

Aucune raison n'est attendue pour cette demande de clé, car au moins un service est impliqué dans le traitement de la requête, qui présente l'une des caractéristiques suivantes:

• Le service n'a jamais été intégré aux justifications d'accès aux clés.
• Le service a été partiellement intégré aux justifications d'accès aux clés, mais cette intégration est toujours en version Preview. Il est possible que certaines parties de ces services ne soient pas complètement intégrées aux justifications d'accès aux clés, ce qui peut entraîner l'impossibilité de produire des justifications.

Bien qu'une justification REASON_NOT_EXPECTED ait la signification susmentionnée, les services qui n'ont pas encore atteint l'état GA pour leur intégration des justifications d'accès aux clés peuvent également générer d'autres justifications, y compris REASON_UNSPECIFIED. Google ne fait aucune garantie concernant les justifications générées lors de l'utilisation de services qui ne sont pas des justifications d'accès aux clés GA.

Fait référence à l'accès initié par Google pour la gestion et le dépannage du système. Le personnel Google peut effectuer ce type d'accès pour les raisons suivantes:

• Effectuer le débogage technique nécessaire à une demande d'assistance ou à une enquête complexe
• Pour résoudre les problèmes techniques, tels qu'un échec de stockage ou une corruption de données.

• Assurer la protection et la sécurité des comptes et données client
• Vérifier si les données sont affectées par un événement pouvant compromettre la sécurité du compte, par exemple les infections dues à des logiciels malveillants
• vérifier si le client exploite les services Google conformément aux Conditions d'utilisation de Google ;
• enquêter sur les plaintes d'autres utilisateurs et clients, ou sur d'autres signes d'activité abusive ;
• vérifier que les services Google sont utilisés de manière cohérente avec les régimes de conformité pertinents (par exemple, les réglementations contre le blanchiment d'argent).

Fait référence à l'accès initié par Google pour maintenir la fiabilité du système. Le personnel Google peut effectuer ce type d'accès pour les raisons suivantes:

• Pour examiner et confirmer qu'une interruption de service suspectée n'affecte pas le client.
• Assurer la sauvegarde et la récupération en cas d'indisponibilités et de pannes du système

Les justifications d'accès aux clés sont activées, mais aucune justification n'est disponible pour cette demande. Cela peut être dû à une erreur temporaire, à un bug ou à d'autres circonstances.

En raison des implémentations d'affichage de justification spécifiques des différents systèmes de journalisation fournis par Google Cloud et certains fournisseurs d'EKM, la justification REASON_UNSPECIFIED peut être représentée sous la forme d'une chaîne vide. Si un champ de justification est présent dans un journal des requêtes, mais qu'aucune justification n'est affichée, cela doit être interprété comme une justification REASON_UNSPECIFIED.

L'une des opérations suivantes est en cours d'exécution et rencontre simultanément un problème technique interne qui a empêché la génération d'un code de justification plus précis:

• Votre compte a été utilisé pour accéder à vos propres données, comme l'autorise votre stratégie IAM.
• Un système Google automatisé fonctionne sur des données client chiffrées, comme l'autorise votre stratégie IAM.
• Accès à l'assistance Google initié par le client
• Accès à l'assistance initié par Google pour protéger la fiabilité du système.

Lorsqu'un tel problème technique interne survient, Google s'efforce immédiatement de remédier à la situation et de rétablir les systèmes concernés dans un état où d'autres codes de justification plus précis seront générés.

Pour réduire le risque opérationnel d'une panne résultant du refus d'une requête avec justification CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING, Google vous recommande d'autoriser CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING dans vos règles de justification d'accès aux clés.

Une justification CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING peut également être générée en raison d'une charge de travail utilisant un service qui n'est pas compatible avec les justifications d'accès aux clés. Cette justification sera générée dans ce cas, à condition que le service n'accepte pas les justifications d'accès aux clés.