Key Access Justifications 概览

本页面简要介绍了 Key Access Justifications。Key Access Justifications 是 Google 对透明度、用户信任和客户对其数据的所有权所作出的长期承诺的一部分。借助 Access Approval，您可以授权 Google 员工访问客户数据；Access Transparency 可帮助您了解客户数据的访问时间；Key Access Justifications 可对与由客户管理的密钥加密的静态客户数据的所有互动提供密钥访问权限控制。

这些产品各有千秋，提供的访问权限管理功能可让您控制对客户数据的管理员请求，并为这些请求提供背景信息。

概览

借助 Key Access Justifications，您可以针对 Cloud Key Management Service (Cloud KMS) 密钥设置政策，以根据提供的理由代码查看、批准和拒绝密钥访问请求。对于部分外部密钥管理合作伙伴，您可以在 Google Cloud 外部配置 Key Access Justifications 政策，以便由外部密钥管理器（而非 Cloud KMS）专门强制执行。Key Access Justifications 可与以下 Cloud KMS 密钥类型搭配使用，具体取决于您选择的 Assured Workloads 控制包：

• Cloud EKM 密钥
• Cloud HSM 密钥
• Cloud KMS 软件密钥

静态加密的工作原理

Google Cloud 静态加密的工作原理是使用数据存储服务之外的加密密钥来加密存储在 Google Cloud 上的数据。例如，如果您在 Cloud Storage 中加密数据，则该服务仅存储您已存储的加密信息，而用于加密该数据的密钥存储在 Cloud KMS（如果您使用的是客户管理的加密密钥 [CMEK]）或外部密钥管理器（如果您使用的是 Cloud EKM）中。

使用 Google Cloud 服务时，您希望应用继续按如下所述方式工作，并且需要解密您的数据。例如，如果您使用 BigQuery 运行查询，则 BigQuery 服务需要解密数据才能对其进行分析。BigQuery 通过向密钥管理器发出解密请求来获取所需数据，从而实现此目的。

为什么访问我的密钥？

在 Google Cloud 上处理您自己的请求和工作负载时，自动化系统最常访问您的加密密钥。

除了客户发起的访问和自动化系统访问之外，Google 员工可能还需要出于以下原因发起使用加密密钥的操作：

• 备份数据：出于灾难恢复原因，Google 可能需要访问您的加密密钥来备份您的数据。

• 解决支持请求：Google 员工可能需要解密您的数据，以履行提供支持服务的合同义务。

• 管理和排查系统问题：Google 人员可以发起操作，使用您的加密密钥执行因支持请求或调查比较复杂而需要进行的技术调试。可能还需要访问权限来解决存储故障或数据损坏问题。

• 确保数据完整性和合规性，并防范欺诈和滥用行为：Google 可能出于以下原因解密数据：

  • 确保您的数据和账号安全无虞。
  • 确保您在使用 Google 服务时遵守 Google Cloud 服务条款。
  • 调查其他用户和客户的投诉，或是否存在其他滥用行为的迹象。
  • 验证 Google Cloud 服务的使用是否符合适用的监管要求（例如反洗钱法规）。

• 维护系统可靠性：Google 人员可以请求访问权限，以调查疑似服务中断是否会影响您。此外，系统可能会请求访问权限，以确保在服务中断或系统故障时进行备份和恢复。

如需查看理由代码列表，请参阅密钥访问理由的理由原因代码。

管理对密钥的访问权限

每次访问 Cloud KMS 管理的密钥或外部管理的密钥时，Key Access Justifications 都会提供原因。当您的密钥用于任何加密操作时，您会收到基于服务的访问权限（针对支持的服务）以及直接 API 访问权限的理由。

在您的密钥项目注册 Key Access Justifications 后，您将立即开始收到新密钥的每项密钥访问权限的理由。对于之前存在的密钥，您将在 24 小时内开始收到每项密钥访问权限的理由。

启用密钥访问理由

Key Access Justifications 只能与 Assured Workloads 搭配使用，并且当您为包含 Key Access Justifications 的控制包配置新的 Assured Workloads 文件夹时，该功能会默认处于启用状态。如需了解详情，请参阅 Assured Workloads 概览。

密钥访问理由排除项

Key Access Justifications 仅适用于以下情况：

• 对加密数据的操作：对于给定服务中由客户管理的密钥加密的字段，请参阅相应服务的文档。
• 从静态数据转换为使用中的数据：虽然 Google 会继续对您使用中的数据应用保护措施，但 Key Access Justifications 仅控制从静态数据到使用中的数据的转换。

以下 Compute Engine 和 Persistent Disk 功能在与 CMEK 搭配使用时不受影响：

• 本地 SSD
• 自动重启
• 机器映像操作

启用访问权限审批功能的 Key Access Justifications

对于使用自定义签名密钥启用了 Access Approval 的工作负载，在处理已签名的 Access Approval 请求时，也需要提供 Key Access Justifications。只有当密钥的“密钥访问理由”政策也允许为关联的密钥访问权限提供关联的理由时，系统才会处理访问权限审批请求。客户签署访问权限审批请求后，相关理由会反映在审批的签名请求中。

通过已获批准且已签名的访问权限审批请求进行的所有客户数据访问都将显示在与该审批请求关联的 Access Transparency 日志中。

后续步骤

• 请参阅适用于欧盟的主权控制的 Assured Workloads 支持的服务，以及其他受 KAJ 支持的服务列表。
• 了解如何查看理由并据此执行操作。
• 了解在哪里可以获取 Key Access Justifications 方面的支持。
• 了解 Access Approval 请求的形式。
• 了解防止未经授权的管理员权限的控制措施所依据的基本原则。