Présentation

Cette page présente les justifications d'accès aux clés. Key Access Justifications vous permet de définir une stratégie sur les clés Cloud Key Management Service (Cloud KMS) pour afficher, approuver et refuser les demandes d'accès aux clés en fonction du code de justification fourni. Pour certains partenaires de gestion des clés externes, vous pouvez configurer les règles de justification de l'accès aux clés en dehors de Google Cloud afin qu'elles soient appliquées exclusivement par le gestionnaire de clés externe plutôt que par Cloud KMS. Key Access Justifications fonctionne avec les types de clés Cloud KMS suivants, en fonction du package de contrôle Assured Workloads que vous sélectionnez :

Fonctionnement du chiffrement au repos

Le chiffrement au repos de Google Cloud consiste à chiffrer vos données stockées sur Google Cloud avec une clé de chiffrement qui réside à l'extérieur du service qui stocke ces données. Par exemple, si vous chiffrez des données dans Cloud Storage, ne stocke que les informations chiffrées que vous avez stockées, alors que la clé pour chiffrer les données stockées dans Cloud KMS (si vous utilisez clés de chiffrement gérées par le client (CMEK) ou dans votre gestionnaire de clés externe utilisent Cloud EKM).

Lorsque vous utilisez un service Google Cloud, vous souhaitez que vos applications continuent de fonctionner comme décrit. Pour cela, vos données doivent être déchiffrées. Par exemple, si vous exécutez une requête à l'aide de BigQuery, le service BigQuery doit déchiffrer vos données pour pouvoir les analyser. BigQuery effectue cette opération en envoyant une requête de déchiffrement au gestionnaire de clés pour obtenir les données requises.

Pour quelles raisons est-il nécessaire d'accéder à mes clés ?

Vos clés de chiffrement sont le plus souvent consultées par des systèmes automatisés lorsqu'ils traitent vos propres requêtes et charges de travail sur Google Cloud.

En plus des accès initiés par le client, un employé Google peut être amené à lancer des opérations qui utilisent vos clés de chiffrement pour les raisons suivantes :

  • Optimiser la structure ou la qualité des données : les systèmes Google peuvent avoir besoin d'accéder à vos clés de chiffrement pour indexer, structurer, précalculer, hacher, fractionner ou mettre en cache vos données.

  • Sauvegarder vos données : Google peut avoir besoin d'accéder à vos clés de chiffrement pour sauvegarder vos données à des fins de reprise après sinistre.

  • Résoudre une demande d'assistance: un employé Google devra peut-être déchiffrer votre afin de remplir ses obligations contractuelles d'assistance.

  • Gérer et résoudre les problèmes des systèmes : le personnel Google peut lancer des opérations qui utilisent vos clés de chiffrement pour effectuer le débogage technique nécessaire à une demande d'assistance ou à une enquête complexe. L'accès peut également être nécessaire pour corriger un échec de stockage ou une corruption de données.

  • Assurez l'intégrité et la conformité des données, et protégez-vous contre la fraude et les utilisations abusives: Google peut avoir besoin de déchiffrer des données pour les raisons suivantes:

    • Pour assurer la sécurité de vos données et de vos comptes.
    • Pour vous assurer que vous utilisez les services Google conformément aux les Conditions d'utilisation de Google Cloud.
    • Pour examiner les réclamations d'autres utilisateurs et clients, ou d'autres signaux les activités abusives.
    • Pour vérifier que les services Google Cloud sont utilisés conformément aux Les exigences réglementaires applicables, telles que la lutte contre le blanchiment d'argent réglementations en vigueur.
  • Maintenir la fiabilité du système : le personnel Google peut demander à accéder à votre compte pour vérifier qu'une panne suspectée du service ne vous affecte pas. Vous pouvez aussi accéder peuvent être demandées pour garantir la sauvegarde et la récupération en cas de panne ou d'échecs.

Pour consulter la liste des codes de justification, consultez les codes de motif de justification pour les justifications d'accès aux clés.

Gérer l'accès à vos clés gérées en externe

Key Access Justifications fournit un motif chaque fois que vos clés gérées en externe sont accessibles. Les raisons ne sont fournies que lorsque les clés sont gérées en externe. Les accès aux clés stockées dans Cloud KMS ou Cloud HSM ne fournissent pas de raison. Lorsqu'une clé est stockée dans votre gestionnaire de clés externe, vous recevez une justification à la fois pour l'accès basé sur le service (pour les services compatibles) et pour l'accès direct à l'API.

Une fois que vous êtes inscrit à Key Access Justifications et que vous utilisez une clé gérée en externe, vous recevez immédiatement les justifications pour chaque accès aux clés.

Si vous utilisez Key Access Justifications et Access Approval avec une clé externe gérée par le client, les demandes d'accès administratif ne peuvent pas être traitées, sauf si les approbations sont signées avec la clé gérée en externe après avoir passé un contrôle des règles Key Access Justifications pour la demande de signature. Tout les approbations d'accès signées par la clé apparaissent dans les journaux Access Transparency.

Activer Key Access Justifications

Les justifications d'accès aux clés ne peuvent être utilisées qu'avec Assured Workloads et sont activées par défaut lorsque vous créez un dossier Assured Workloads configuré pour un package de contrôle qui inclut des justifications d'accès aux clés. Pour en savoir plus, consultez la présentation d'Assured Workloads.

Exclusions du champ des justifications d'accès aux clés

Les justifications d'accès aux clés ne s'appliquent qu'aux éléments suivants :

  • Opérations sur des données chiffrées. Pour les champs d'un service donné chiffrées par une clé gérée par le client, reportez-vous à la documentation du service.
  • Transition des données au repos vers les données en cours d'utilisation. Bien que Google continue des protections à vos données utilisées, Key Access Justifications ne régit que passer des données au repos aux données en cours d'utilisation.
  • Les fonctionnalités suivantes de Compute Engine et de Persistent Disk sont exemptées lorsqu'elles sont utilisées avec CMEK:

Étape suivante