Codici dei motivi della giustificazione

Questa pagina fornisce l'elenco delle giustificazioni che possono essere utilizzate per richiedere l'accesso alle tue chiavi di crittografia.

Motivo Descrizione
CUSTOMER_INITIATED_ACCESS Il cliente utilizza il proprio account per eseguire qualsiasi accesso ai propri dati autorizzato dal suo criterio IAM. Questi accessi includono operazioni eseguite indirettamente per conto o in risposta all'attività delle risorse del cliente, ad esempio la registrazione.
MODIFIED_CUSTOMER_INITIATED_ACCESS Il cliente utilizza il proprio account per eseguire qualsiasi accesso ai propri dati autorizzato dal suo criterio IAM. Questi accessi includono operazioni eseguite indirettamente per conto o in risposta all'attività delle risorse del cliente, ad esempio la registrazione.

Allo stesso tempo, una delle seguenti condizioni è vera:

  • Un amministratore Google ha reimpostato l'account con accesso root associato all'organizzazione dell'utente negli ultimi 7 giorni.
  • Un'operazione di accesso di emergenza avviata da Google ha interagito con una risorsa nello stesso progetto o nella stessa cartella della risorsa attualmente acceduta negli ultimi 7 giorni.
GOOGLE_INITIATED_SYSTEM_OPERATION I sistemi di Google accedono ai dati dei clienti per contribuire a ottimizzare la struttura o la qualità dei dati per usi futuri da parte del cliente. Questi accessi possono essere per indicizzazione, strutturazione, precomputazione, hashing, sharding e memorizzazione nella cache dei dati dei clienti. Sono inclusi anche il backup dei dati per il ripristino di emergenza o per motivi di integrità dei dati e il rilevamento di errori che i dati di backup potrebbero correggere. Alcune operazioni, come i controlli di integrità principali, vengono avviate dai sistemi Google in risposta diretta all'attività delle risorse del cliente, ma possono generare una giustificazione GOOGLE_INITIATED_SYSTEM_OPERATION a causa dell'architettura dei sistemi coinvolti. Gli accessi alle chiavi con questa giustificazione sono sempre a servizio di un carico di lavoro del cliente.

Se il cliente ha delegato a Google un'operazione del piano di controllo gestito, come la creazione di un gruppo di istanze gestite, tutte le operazioni gestite verranno visualizzate come operazioni di sistema. Servizi come il gestore dei gruppi di istanze gestite che attivano le operazioni di decrittografia a valle non hanno accesso ai dati dei clienti in testo normale.
MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION I sistemi di Google accedono ai dati dei clienti per contribuire a ottimizzare la struttura o la qualità dei dati per usi futuri da parte del cliente. Questi accessi possono essere per indicizzazione, strutturazione, precomputazione, hashing, sharding e memorizzazione nella cache dei dati dei clienti. Sono inclusi anche il backup dei dati per il ripristino di emergenza o per motivi di integrità dei dati e il rilevamento di errori che i dati di backup potrebbero correggere. Alcune operazioni, come i controlli di integrità principali, vengono avviate dai sistemi Google in risposta diretta all'attività delle risorse del cliente, ma possono generare una giustificazione GOOGLE_INITIATED_SYSTEM_OPERATION a causa dell'architettura dei sistemi coinvolti. Gli accessi alle chiavi con questa giustificazione sono sempre a servizio di un carico di lavoro del cliente.

Allo stesso tempo, una delle seguenti condizioni è vera:

  • Un amministratore Google ha reimpostato l'account con accesso root associato all'organizzazione dell'utente negli ultimi 7 giorni.
  • Un'operazione di accesso di emergenza avviata da Google ha interagito con una risorsa nello stesso progetto o nella stessa cartella della risorsa attualmente acceduta negli ultimi 7 giorni.

Se il cliente ha delegato a Google un'operazione del piano di controllo gestito, come la creazione di un gruppo di istanze gestite, tutte le operazioni gestite vengono visualizzate come operazioni di sistema. Servizi come il gestore dei gruppi di istanze gestite che attivano le operazioni di decrittografia a valle non hanno accesso ai dati dei clienti in testo normale.
REASON_NOT_EXPECTED

Non è previsto alcun motivo per questa richiesta di chiavi perché almeno un servizio coinvolto nell'evasione della richiesta presenta una delle seguenti caratteristiche:

  • Il servizio non è mai stato integrato con le giustificazioni per l'accesso alle chiavi.
  • Il servizio è stato integrato parzialmente con le giustificazioni dell'accesso alle chiavi, ma questa integrazione è ancora in anteprima. Alcune parti di questi servizi potrebbero non essere completamente integrate con le giustificazioni per l'accesso alle chiavi, il che può comportare l'impossibilità di produrre giustificazioni.

Sebbene una giustificazione REASON_NOT_EXPECTED abbia il significato sopra indicato, i servizi che non hanno ancora raggiunto lo stato GA per l'integrazione delle giustificazioni dell'accesso alle chiavi potrebbero generare anche altre giustificazioni, tra cui REASON_UNSPECIFIED. Google non fornisce alcuna garanzia in merito alle giustificazioni generate durante l'utilizzo di servizi che non sono giustificazioni di accesso alle chiavi GA.
CUSTOMER_INITIATED_SUPPORT Assistenza richiesta dal cliente, ad esempio "Numero richiesta: ####".
GOOGLE_INITIATED_SERVICE

Si riferisce all'accesso avviato da Google per la gestione e la risoluzione dei problemi del sistema. Il personale di Google può effettuare questo tipo di accesso per i seguenti motivi:

  • Per eseguire il debug tecnico necessario per una richiesta di assistenza o un'indagine complessa.
  • Per risolvere problemi tecnici, come problemi allo spazio di archiviazione o danneggiamento dei dati.
THIRD_PARTY_DATA_REQUEST Accesso avviato da Google in risposta a una richiesta di tipo legale o a un procedimento giudiziario, incluso quando si risponde a un procedimento giudiziario avviato dal cliente che richiede a Google di accedere ai dati del cliente.
GOOGLE_INITIATED_REVIEW Accesso avviato da Google per motivi di sicurezza, frode, abuso o conformità, tra cui:
  • Per garantire la sicurezza degli account e dei dati dei clienti.
  • Per verificare se i dati sono stati interessati da un evento che potrebbe influenzare la sicurezza dell'account (ad esempio infezioni da malware).
  • Per verificare se il cliente utilizza i servizi Google in conformità con i Termini di servizio di Google.
  • Per esaminare reclami di altri utenti e clienti o altri indicatori di attività illecite.
  • Per verificare che i servizi Google vengano utilizzati in modo coerente con i relativi regimi di conformità (ad esempio le norme antiriciclaggio).
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Si riferisce all'accesso avviato da Google per garantire l'affidabilità del sistema. Il personale di Google può eseguire questo tipo di accesso per i seguenti motivi:

  • Per effettuare accertamenti e confermare che una sospetta interruzione del servizio non riguarda il cliente.
  • Per garantire il backup e il ripristino da interruzioni del servizio e malfunzionamenti del sistema.
REASON_UNSPECIFIED

Hai attivato le giustificazioni per l'accesso alle chiavi, ma non è disponibile alcuna giustificazione per questa richiesta. Il motivo potrebbe essere un errore transitorio, un bug o qualche altra circostanza.

A causa delle implementazioni specifiche di visualizzazione della giustificazione di diversi sistemi di registrazione forniti da Google Cloud e da alcuni fornitori di EKM, la giustificazione REASON_UNSPECIFIED potrebbe essere rappresentata come una stringa vuota. Se in un log delle richieste è presente un campo di giustificazione, ma non viene visualizzata alcuna giustificazione, questo deve essere interpretato come se fosse stata ricevuta una giustificazione REASON_UNSPECIFIED.
CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING

Viene eseguita una delle seguenti operazioni e contemporaneamente si verifica un problema tecnico interno che ha impedito la generazione di un codice di giustificazione più preciso:

  • Il tuo account è stato utilizzato per eseguire qualsiasi accesso ai tuoi dati autorizzato dal tuo criterio IAM.
  • Un sistema automatico di Google gestisce i dati dei clienti criptati autorizzati dal tuo criterio IAM.
  • Accesso all'assistenza Google avviato dal cliente.
  • Accesso all'assistenza avviato da Google per proteggere l'affidabilità del sistema.

    • Quando si verifica un problema tecnico interno di questo tipo, Google si adopera immediatamente per risolvere la situazione e riportare i sistemi coinvolti a uno stato in cui verranno generati altri codici di giustificazione più precisi.

    Per ridurre il rischio operativo di un'interruzione del servizio derivante dal rifiuto di una richiesta con giustificazione CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING, Google consiglia di consentire CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING nei criteri di giustificazione dell'accesso alle chiavi.

    Una giustificazione CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING potrebbe essere generata anche a seguito di un carico di lavoro che utilizza un servizio che non supporta le giustificazioni di accesso alle chiavi. In questi casi, verrà generata questa giustificazione a condizione che il servizio non supporti le giustificazioni di accesso alle chiavi.
Nessun campo di giustificazione presente Key Access Justifications non è abilitato per il tuo account.

Passaggi successivi