Codici dei motivi della giustificazione

Questa pagina fornisce l'elenco delle giustificazioni che possono essere utilizzate per richiedere l'accesso alle chiavi di crittografia.

Motivo Description
CUSTOMER_INITIATED_ACCESS Il cliente utilizza il proprio account per eseguire qualsiasi accesso ai propri dati, che è autorizzato dal criterio IAM. Questi accessi includono le operazioni eseguite indirettamente per conto o in risposta all'attività delle risorse del cliente, come il logging.
MODIFIED_CUSTOMER_INITIATED_ACCESS Il cliente utilizza il proprio account per eseguire qualsiasi accesso ai propri dati, che è autorizzato dal criterio IAM. Questi accessi includono le operazioni eseguite indirettamente per conto o in risposta all'attività delle risorse del cliente, come il logging.

Allo stesso tempo, si verifica una delle seguenti condizioni:

  • Un amministratore Google ha reimpostato l'account di accesso root associato all'organizzazione dell'utente negli ultimi 7 giorni.
  • Negli ultimi 7 giorni un'operazione di accesso di emergenza avviata da Google ha interagito con una risorsa nello stesso progetto o nella stessa cartella della risorsa attualmente a cui accedi.
GOOGLE_INITIATED_SYSTEM_OPERATION I sistemi Google accedono ai dati dei clienti per ottimizzare la struttura dei dati o la qualità per gli utilizzi futuri da parte del cliente. Questi accessi possono riguardare l'indicizzazione, la strutturazione, il precalcolo, l'hashing, lo sharding e la memorizzazione nella cache dei dati dei clienti. Sono inclusi anche il backup dei dati per motivi di ripristino di emergenza o l'integrità dei dati e il rilevamento di errori che i dati di backup potrebbero risolvere. Determinate operazioni, come i controlli di integrità chiave, vengono avviate dai sistemi Google in risposta diretta all'attività delle risorse del cliente, ma possono generare una giustificazione GOOGLE_INITIATED_SYSTEM_OPERATION dovuta all'architettura dei sistemi coinvolti. Gli accessi alle chiavi con questa giustificazione sono sempre al servizio di un carico di lavoro del cliente.

Se il cliente ha delegato a Google un'operazione del piano di controllo gestito, ad esempio la creazione di un gruppo di istanze gestite, tutte le operazioni gestite verranno mostrate come operazioni di sistema. I servizi come il gestore di gruppo di istanze gestite che attivano le operazioni di decriptazione downstream non hanno accesso ai dati dei clienti in testo in chiaro.
MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION I sistemi Google accedono ai dati dei clienti per ottimizzare la struttura dei dati o la qualità per gli utilizzi futuri da parte del cliente. Questi accessi possono riguardare l'indicizzazione, la strutturazione, il precalcolo, l'hashing, lo sharding e la memorizzazione nella cache dei dati dei clienti. Sono inclusi anche il backup dei dati per motivi di ripristino di emergenza o l'integrità dei dati e il rilevamento di errori che i dati di backup potrebbero risolvere. Determinate operazioni, come i controlli di integrità chiave, vengono avviate dai sistemi Google in risposta diretta all'attività delle risorse del cliente, ma possono generare una giustificazione GOOGLE_INITIATED_SYSTEM_OPERATION dovuta all'architettura dei sistemi coinvolti. Gli accessi alle chiavi con questa giustificazione sono sempre al servizio di un carico di lavoro del cliente.

Allo stesso tempo, si verifica una delle seguenti condizioni:

  • Un amministratore Google ha reimpostato l'account di accesso root associato all'organizzazione dell'utente negli ultimi 7 giorni.
  • Negli ultimi 7 giorni un'operazione di accesso di emergenza avviata da Google ha interagito con una risorsa nello stesso progetto o nella stessa cartella della risorsa attualmente a cui accedi.

Se il cliente ha delegato a Google un'operazione del piano di controllo gestito, ad esempio la creazione di un gruppo di istanze gestite, tutte le operazioni gestite vengono visualizzate come operazioni di sistema. I servizi come il gestore di gruppo di istanze gestite che attivano le operazioni di decriptazione downstream non hanno accesso ai dati dei clienti in testo in chiaro.
REASON_NOT_EXPECTED

Non è previsto alcun motivo per questa richiesta di chiave poiché esiste almeno il servizio coinvolto nella gestione della richiesta, che ha una delle seguenti caratteristiche:

  • Il servizio non è mai stato integrato con Key Access Justifications.
  • Il servizio è stato parzialmente integrato con Key Access Justifications, ma questa integrazione è ancora in anteprima. Parti di questi servizi potrebbero non essere completamente integrate con Key Access Justifications, il che può portare a una mancata producibilità delle giustificazioni.

Sebbene una giustificazione REASON_NOT_EXPECTED abbia il significato sopra menzionato, i servizi che non hanno ancora raggiunto lo stato GA per la loro integrazione Key Access Justifications potrebbero anche generare altre giustificazioni, tra cui REASON_UNSPECIFIED. Google non fornisce alcuna garanzia riguardo alle giustificazioni generate durante l'utilizzo di servizi che non sono Key Access Justifications GA.
CUSTOMER_INITIATED_SUPPORT Assistenza richiesta dal cliente, ad esempio "Numero richiesta: ####".
GOOGLE_INITIATED_SERVICE

Fa riferimento all'accesso avviato da Google per la gestione del sistema e la risoluzione dei problemi. Il personale Google può concedere questo tipo di accesso per i seguenti motivi:

  • Per eseguire il debug tecnico necessario per una richiesta di assistenza o un'indagine complessa.
  • Per risolvere problemi tecnici, come guasti dello spazio di archiviazione o danneggiamento dei dati.
THIRD_PARTY_DATA_REQUEST Accesso avviato da Google in risposta a una richiesta di tipo legale o a un procedimento giudiziario, ad esempio quando si risponde a un procedimento giudiziario del cliente che richiede a Google di accedere ai propri dati.
GOOGLE_INITIATED_REVIEW Accesso avviato da Google per motivi legati a sicurezza, attività fraudolenta, abuso o conformità, come ad esempio:
  • Garantire la sicurezza degli account e dei dati dei clienti.
  • Per verificare se i dati sono stati interessati da un evento che potrebbe influire sulla sicurezza dell'account (ad esempio, infezioni da malware).
  • Per verificare se il cliente utilizza i servizi Google in conformità ai Termini di servizio di Google.
  • Per esaminare reclami di altri utenti e clienti o altri segnali di attività illecite.
  • Per verificare che i servizi Google vengano utilizzati in modo coerente con i regimi di conformità pertinenti (ad esempio, normative antiriciclaggio).
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Si riferisce all'accesso avviato da Google per mantenere l'affidabilità del sistema. Il personale Google può concedere questo tipo di accesso per i seguenti motivi:

  • Per indagare e confermare che una sospetta interruzione del servizio non influisca sul cliente.
  • Per garantire backup e ripristino in caso di interruzioni del servizio e malfunzionamenti del sistema.
REASON_UNSPECIFIED

Hai abilitato Key Access Justifications, ma non è disponibile alcuna giustificazione per questa richiesta. Potrebbe trattarsi di un errore temporaneo, di un bug o di qualche altra circostanza.

A causa delle specifiche implementazioni di visualizzazione della giustificazione di vari sistemi di logging forniti da Google Cloud e da alcuni provider EKM, la giustificazione REASON_UNSPECIFIED potrebbe essere rappresentata come una stringa vuota. Se in un log delle richieste è presente un campo di giustificazione, ma non viene visualizzata alcuna giustificazione, ciò dovrebbe essere interpretato come aver ricevuto una giustificazione REASON_UNSPECIFIED.
CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING

Una delle seguenti operazioni viene eseguita mentre si verifica contemporaneamente un problema tecnico interno che ha impedito la generazione di un codice di giustificazione più preciso:

  • Il tuo account è stato utilizzato per eseguire qualsiasi accesso ai tuoi dati autorizzati dal criterio IAM.
  • Un sistema automatizzato di Google opera sui dati criptati dei clienti, autorizzati dal tuo criterio IAM.
  • Accesso all'Assistenza Google avviato dal cliente.
  • Accesso all'assistenza avviato da Google per proteggere l'affidabilità del sistema.

    • Quando si verifica un problema tecnico interno di questo tipo, Google si impegna immediatamente a risolvere la situazione e riporta i sistemi coinvolti in uno stato in cui verranno generati altri codici di giustificazione più precisi.

    Per ridurre il rischio operativo di un'interruzione risultante dal rifiuto di una richiesta con giustificazione CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING, Google consiglia di consentire CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING nei criteri di Key Access Justifications.
Nessun campo giustificazione presente Key Access Justifications non è abilitato per te.

Passaggi successivi