Codici dei motivi delle giustificazioni

Questa pagina fornisce l'elenco delle giustificazioni che possono essere utilizzate per richiedere l'accesso alle chiavi di crittografia.

Motivo Description
CUSTOMER_INITIATED_ACCESS Il cliente utilizza il proprio account per eseguire qualsiasi accesso ai propri dati, che è stato autorizzato dal criterio IAM. Questi accessi includono operazioni che vengono eseguite indirettamente per conto o in risposta all'attività delle risorse del cliente, come il logging.
MODIFIED_CUSTOMER_INITIATED_ACCESS Il cliente utilizza il proprio account per eseguire qualsiasi accesso ai propri dati, che è stato autorizzato dal criterio IAM. Questi accessi includono operazioni che vengono eseguite indirettamente per conto o in risposta all'attività delle risorse del cliente, come il logging.

Allo stesso tempo, si verifica una delle seguenti condizioni:

  • Un amministratore Google ha reimpostato l'account di accesso root associato all'organizzazione dell'utente negli ultimi 7 giorni.
  • Un'operazione di accesso di emergenza avviata da Google ha interagito con una risorsa nello stesso progetto o nella stessa cartella della risorsa attualmente a cui si accede negli ultimi 7 giorni.
GOOGLE_INITIATED_SYSTEM_OPERATION I sistemi di Google accedono ai dati dei clienti per ottimizzare la struttura o la qualità dei dati per gli utilizzi futuri da parte del cliente. Questi accessi possono consentire l'indicizzazione, la strutturazione, il precalcolo, l'hashing, lo sharding e la memorizzazione nella cache dei dati dei clienti. Ciò include anche il backup dei dati per motivi di ripristino di emergenza o di integrità dei dati, nonché il rilevamento di errori che i dati di backup potrebbero risolvere. Alcune operazioni, come i controlli di integrità chiave, vengono avviate dai sistemi Google in risposta diretta all'attività delle risorse del cliente, ma possono generare una giustificazione GOOGLE_INITIATED_SYSTEM_OPERATION a causa dell'architettura dei sistemi coinvolti. Gli accessi alle chiavi con questa giustificazione sono sempre al servizio di un carico di lavoro del cliente.

Se il cliente ha delegato a Google un'operazione su un piano di controllo gestito, ad esempio la creazione di un gruppo di istanze gestite, tutte le operazioni gestite verranno visualizzate come operazioni di sistema. I servizi come il gestore di gruppo di istanze gestite che attivano le operazioni di decriptazione downstream non hanno accesso ai dati dei clienti in testo non crittografato.
MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION I sistemi di Google accedono ai dati dei clienti per ottimizzare la struttura o la qualità dei dati per gli utilizzi futuri da parte del cliente. Questi accessi possono consentire l'indicizzazione, la strutturazione, il precalcolo, l'hashing, lo sharding e la memorizzazione nella cache dei dati dei clienti. Ciò include anche il backup dei dati per motivi di ripristino di emergenza o di integrità dei dati, nonché il rilevamento di errori che i dati di backup potrebbero risolvere. Alcune operazioni, come i controlli di integrità chiave, vengono avviate dai sistemi Google in risposta diretta all'attività delle risorse del cliente, ma possono generare una giustificazione GOOGLE_INITIATED_SYSTEM_OPERATION a causa dell'architettura dei sistemi coinvolti. Gli accessi alle chiavi con questa giustificazione sono sempre al servizio di un carico di lavoro del cliente.

Allo stesso tempo, si verifica una delle seguenti condizioni:

  • Un amministratore Google ha reimpostato l'account di accesso root associato all'organizzazione dell'utente negli ultimi 7 giorni.
  • Un'operazione di accesso di emergenza avviata da Google ha interagito con una risorsa nello stesso progetto o nella stessa cartella della risorsa attualmente a cui si accede negli ultimi 7 giorni.

Se il cliente ha delegato a Google un'operazione su un piano di controllo gestito, ad esempio la creazione di un gruppo di istanze gestite, tutte le operazioni gestite vengono visualizzate come operazioni di sistema. I servizi come il gestore di gruppo di istanze gestite che attivano le operazioni di decriptazione downstream non hanno accesso ai dati dei clienti in testo non crittografato.
REASON_NOT_EXPECTED

Non è previsto alcun motivo per questa richiesta di chiave poiché la richiesta è coinvolta almeno nel servizio, che ha una delle seguenti caratteristiche:

  • Il servizio non è mai stato integrato con Key Access Justifications.
  • Il servizio è stato parzialmente integrato con Key Access Justifications, ma questa integrazione è ancora in anteprima. Porzioni di questi servizi potrebbero non essere completamente integrate con Key Access Justifications, il che può portare a una mancata producibilità delle giustificazioni.

Sebbene una giustificazione REASON_NOT_EXPECTED abbia il significato sopra indicato, i servizi che non hanno ancora raggiunto lo stato GA per la loro integrazione Key Access Justifications potrebbero generare anche altre giustificazioni, tra cui REASON_UNSPECIFIED. Google non fornisce alcuna garanzia riguardo alle giustificazioni generate durante l'utilizzo di servizi che non sono Key Access Justifications GA.
CUSTOMER_INITIATED_SUPPORT Assistenza richiesta dal cliente, ad esempio "Numero richiesta: ####".
GOOGLE_INITIATED_SERVICE

Fa riferimento all'accesso avviato da Google per la gestione del sistema e la risoluzione dei problemi. Il personale Google può concedere questo tipo di accesso per i seguenti motivi:

  • Per eseguire il debug tecnico necessario per una richiesta di assistenza o un'indagine complessa.
  • Per risolvere problemi tecnici, ad esempio guasti dello spazio di archiviazione o danneggiamento dei dati.
THIRD_PARTY_DATA_REQUEST Accesso avviato da Google in risposta a una richiesta di tipo legale o a un procedimento giudiziario, ad esempio in risposta a un procedimento giudiziario avviato da un cliente che richiede a Google di accedere ai suoi dati.
GOOGLE_INITIATED_REVIEW Accesso avviato da Google per motivi legati a sicurezza, attività fraudolenta, abuso o conformità, tra cui:
  • Garantire la sicurezza degli account e dei dati dei clienti.
  • Per verificare se i dati sono stati interessati da un evento che potrebbe influire sulla sicurezza dell'account (ad esempio, infezioni da malware).
  • Per verificare se il cliente utilizza i servizi Google in conformità con i Termini di servizio di Google.
  • Per esaminare reclami di altri utenti e clienti o altri segnali di attività illecite.
  • Per verificare che i servizi Google vengano utilizzati in modo coerente con i relativi regimi di conformità (ad esempio, normative antiriciclaggio).
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Si riferisce all'accesso avviato da Google per mantenere l'affidabilità del sistema. Il personale Google può concedere questo tipo di accesso per i seguenti motivi:

  • Per indagare e confermare che una sospetta interruzione del servizio non influisca sul cliente.
  • Per garantire backup e ripristino in caso di interruzioni del servizio e malfunzionamenti del sistema.
REASON_UNSPECIFIED

Hai abilitato Key Access Justifications, ma non è disponibile alcuna giustificazione per questa richiesta. Potrebbe trattarsi di un errore temporaneo, un bug o di qualche altra circostanza.

A causa delle implementazioni specifiche della visualizzazione della giustificazione di vari sistemi di logging forniti da Google Cloud e da alcuni provider EKM, la giustificazione REASON_UNSPECIFIED potrebbe essere rappresentata come una stringa vuota. Se in un log delle richieste è presente un campo di giustificazione, ma non viene visualizzata alcuna giustificazione, ciò dovrebbe essere interpretato come aver ricevuto una giustificazione REASON_UNSPECIFIED.
CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING

È in corso l'esecuzione di una delle seguenti operazioni quando si verifica un problema tecnico interno che ha impedito la generazione di un codice di giustificazione più preciso:

  • Il tuo account è stato utilizzato per accedere ai tuoi dati autorizzati dal criterio IAM.
  • Un sistema automatizzato di Google opera sui dati criptati dei clienti, autorizzati dal tuo criterio IAM.
  • Accesso all'Assistenza Google avviato dal cliente.
  • Accesso all'assistenza avviato da Google per proteggere l'affidabilità del sistema.

    • Quando si verifica un problema tecnico interno di questo tipo, Google si impegna immediatamente a porre rimedio alla situazione e riporta i sistemi interessati in uno stato in cui verranno generati altri codici di giustificazione più precisi.

    Per ridurre il rischio operativo di un'interruzione conseguente al rifiuto di una richiesta con giustificazione CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING, Google consiglia di consentire CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING nei criteri di Key Access Justifications.
Nessun campo Motivazione presente Key Access Justifications non è abilitato per te.

Passaggi successivi