Visão geral

Nesta página, você encontra uma visão geral das justificativas de acesso às chaves. Com as justificativas de acesso às chaves, é possível definir uma política sobre as chaves do Cloud Key Management Service (Cloud KMS) para visualizar, aprovar e negar solicitações de acesso a chaves, dependendo do código de justificativa fornecido. Para parceiros de gerenciamento de chaves externos selecionados, é possível configurar políticas de Justificativas de acesso às chaves fora do Google Cloud para serem aplicadas exclusivamente pelo gerenciador de chaves externo, e não pelo Cloud KMS. As justificativas de acesso às chaves funcionam com os seguintes tipos de chave do Cloud KMS, dependendo do pacote de controle do Assured Workloads selecionado:

• Chaves do Cloud EKM
• Chaves do Cloud HSM

Como a criptografia em repouso funciona

A criptografia em repouso do Google Cloud funciona ao criptografar seus dados armazenados no Google Cloud com uma chave de criptografia que fica fora do serviço em que os dados estão armazenados. Por exemplo, se você criptografar dados no Cloud Storage, o serviço armazenará apenas as informações criptografadas armazenadas, enquanto a chave usada para criptografar esses dados será armazenada no Cloud KMS (se você estiver usando chaves de criptografia gerenciadas pelo cliente (CMEK)) ou no gerenciador de chaves externo (se estiver usando o Cloud EKM).

Ao usar um serviço do Google Cloud, você quer que seus aplicativos continuem funcionando conforme descrito, e isso exigirá que seus dados sejam descriptografados. Por exemplo, se você executar uma consulta usando o BigQuery, o serviço BigQuery precisará descriptografar os dados para poder analisá-los. Para isso, o BigQuery faz uma solicitação de descriptografia ao gerenciador de chaves para coletar os dados necessários.

Por quais motivos minhas chaves seriam acessadas?

Suas chaves de criptografia são acessadas com mais frequência por sistemas automatizados enquanto atendem às suas próprias solicitações e cargas de trabalho no Google Cloud.

Além dos acessos iniciados pelo cliente, um funcionário do Google pode precisar iniciar operações que usam suas chaves de criptografia pelos seguintes motivos:

• Otimizar a estrutura ou a qualidade dos dados: os sistemas do Google podem precisar acessar suas chaves de criptografia para indexar, estruturar, pré-calcular, gerar hash, fragmentar ou armazenar seus dados em cache.

• Fazer backup dos dados: o Google pode precisar acessar suas chaves de criptografia para fazer backup dos dados para fins de recuperação de desastres.

• Resolver uma solicitação de suporte: talvez um funcionário do Google precise descriptografar seus dados para cumprir a obrigação contratual de fornecer suporte.

• Gerenciar e resolver problemas de sistemas: a equipe do Google pode iniciar operações que usam suas chaves de criptografia para realizar a depuração técnica necessária para uma investigação ou solicitação de suporte complexa. O acesso também pode ser necessário para corrigir falhas no armazenamento ou corrupção de dados.

• Garantir a integridade e a conformidade dos dados e proteger você contra fraudes e abusos: o Google pode precisar descriptografar dados pelos seguintes motivos:

  • Para garantir a segurança dos seus dados e contas.
  • Para garantir que você esteja usando os serviços do Google em conformidade com os Termos de Serviço do Google Cloud.
  • Investigar reclamações de outros usuários e clientes ou outros sinais de atividade abusiva.
  • Verificar se os serviços do Google Cloud estão sendo usados de acordo com os requisitos regulamentares aplicáveis, como regulamentações contra lavagem de dinheiro.

• Manter a confiabilidade do sistema: a equipe do Google pode solicitar acesso para investigar se uma suspeita de interrupção do serviço não está afetando você. Além disso, o acesso pode ser solicitado para garantir backup e recuperação de interrupções ou falhas do sistema.

Para conferir a lista de códigos de justificativa, consulte Códigos de motivo para justificativas de acesso às chaves.

Como gerenciar o acesso às chaves gerenciadas externamente

As justificativas de acesso às chaves fornecem um motivo sempre que suas chaves gerenciadas externamente são acessadas. Os motivos só são fornecidos quando as chaves são gerenciadas externamente. Os acessos às chaves armazenadas no Cloud KMS ou no Cloud HSM não fornecem um motivo. Quando uma chave é armazenada no gerenciador de chaves externo, você recebe uma justificativa para o acesso baseado em serviço (para serviços com suporte) e o acesso direto à API.

Depois de se inscrever nas Justificativas de acesso às chaves e usar uma chave gerenciada externamente, você receberá imediatamente justificativas para cada acesso a uma chave.

Se você estiver usando as Justificativas de acesso às chaves e a Aprovação de acesso com uma chave externa gerenciada pelo cliente, as solicitações de acesso administrativo não poderão ser processadas, a menos que as aprovações sejam assinadas com a chave gerenciada externamente depois de passar por uma verificação de política de justificativas de acesso a chaves para a solicitação de assinatura. Todas as aprovações de acesso assinadas pela chave aparecem nos registros de transparência no acesso.

Como ativar justificações de acesso à chave

As Justificativas de acesso às chaves só podem ser usadas com o Assured Workloads e são ativadas por padrão quando você cria uma nova pasta do Assured Workloads configurada para um pacote de controle que inclui Justificativas de acesso às chaves. Consulte a visão geral do Assured Workloads para mais informações.

Exclusões das justificativas de acesso à chave

As justificativas de acesso à chave se aplicam apenas a:

• operações em dados criptografados; Para saber quais campos de um determinado serviço são criptografados por uma chave gerenciada pelo cliente, consulte a documentação do serviço.
• transição de dados em repouso para dados em uso; Enquanto o Google continua a aplicar proteções aos dados em uso, as Justificativas de acesso às chaves governam apenas a transição de dados em repouso para dados em uso.
• Os seguintes recursos do Compute Engine e do Persistent Disk são isentos quando usados com CMEK:
  • SSDs locais
  • Reinicialização automática
  • Operações de imagem de máquina

A seguir

• Confira os serviços aceitos pelo Assured Workloads para regiões da UE e suporte com controles de soberania e a lista de outros serviços compatíveis com KAJ.
• Saiba como ver e agir com base nas justificativas.
• Confira como receber suporte para as justificativas de acesso às chaves.
• Saiba como é uma solicitação de Access Approval.
• Saiba mais sobre os princípios fundamentais que servem de base para os controles que impedem o acesso administrativo não autorizado.