Descripción general de Key Access Justifications

En esta página, se proporciona una descripción general de Key Access Justifications. Key Access Justifications forman parte del compromiso a largo plazo de Google con la transparencia, la confianza del usuario y la propiedad del cliente sobre sus datos. La aprobación de acceso te permite autorizar las solicitudes del personal de Google para acceder a los datos del cliente. La transparencia de acceso te ayuda a descubrir información sobre cuándo se accede a los datos del cliente, y las justificaciones de acceso a claves proporcionan un control de acceso a claves para todas las interacciones con los datos del cliente en reposo que están encriptados con una clave administrada por el cliente.

En conjunto, cada uno de estos productos proporciona funciones de administración de acceso que te brindan control y contexto para las solicitudes administrativas de acceso a los datos del cliente.

Descripción general

Key Access Justifications te permite establecer una política en las claves de Cloud Key Management Service (Cloud KMS) para ver, aprobar y rechazar solicitudes de acceso a claves según el código de justificación proporcionado. En el caso de socios externos de administración de claves seleccionados, puedes configurar las políticas de Key Access Justifications fuera de Google Cloud para que el administrador de claves externo las aplique de forma exclusiva, en lugar de Cloud KMS. Key Access Justifications funciona con los siguientes tipos de claves de Cloud KMS según el paquete de control de Assured Workloads que selecciones:

• Claves de Cloud EKM
• Claves de Cloud HSM
• Claves de software de Cloud KMS

Cómo funciona la encriptación en reposo

La encriptación en reposo de Google Cloud funciona encriptando tus datos almacenados en Google Cloud con una clave de encriptación que se encuentra fuera del servicio en el que se almacenan los datos. Por ejemplo, si encriptas datos en Cloud Storage, el servicio solo almacena la información encriptada que almacenaste, mientras que la clave que se usa para encriptar esos datos se almacena en Cloud KMS (si usas claves de encriptación administradas por el cliente [CMEK]) o en tu administrador de claves externo (si usas Cloud EKM).

Cuando usas un servicio de Google Cloud, quieres que tus aplicaciones sigan funcionando como se describe, y esto requerirá que se desencripten tus datos. Por ejemplo, si ejecutas una consulta con BigQuery, el servicio de BigQuery necesita desencriptar tus datos para poder analizarlos. Para ello, BigQuery realiza una solicitud de desencriptación al administrador de claves para obtener los datos necesarios.

¿Por qué se accedería a mis llaves?

Los sistemas automatizados suelen acceder a tus claves de encriptación mientras atienden tus propias solicitudes y cargas de trabajo en Google Cloud.

Además de los accesos que inicia el cliente y los accesos automatizados del sistema, es posible que un empleado de Google deba iniciar operaciones que usen tus claves de encriptación por los siguientes motivos:

• Crear una copia de seguridad de tus datos: Es posible que Google necesite acceder a tus claves de encriptación para crear una copia de seguridad de tus datos por motivos de recuperación ante desastres.

• Resolver una solicitud de asistencia: Es posible que un empleado de Google deba desencriptar tus datos para cumplir con la obligación contractual de brindar asistencia.

• Administrar y solucionar problemas de los sistemas: El personal de Google puede iniciar operaciones que usan tus claves de encriptación para realizar la depuración técnica necesaria para una solicitud o investigación de asistencia compleja. Es posible que también se necesite acceso para subsanar fallas de almacenamiento o corrupción de datos.

• Garantizar la integridad y el cumplimiento de los datos, y proteger contra fraudes y abusos: Es posible que Google deba desencriptar datos por los siguientes motivos:

  • Para garantizar la seguridad de tus datos y cuentas.
  • Para asegurarte de que usas los servicios de Google de conformidad con las Condiciones del Servicio de Google Cloud.
  • Investigar reclamos de otros usuarios y clientes o alguna otra señal de actividad inadecuada
  • Para verificar que los servicios de Google Cloud se usen de acuerdo con los requisitos regulatorios aplicables, como las reglamentaciones contra el lavado de dinero

• Mantener la confiabilidad del sistema: El personal de Google puede solicitar acceso para investigar que una posible interrupción del servicio no te afecte. Además, es posible que se solicite acceso para garantizar la copia de seguridad y la recuperación ante interrupciones o fallas del sistema.

Para obtener la lista de códigos de justificación, consulta los códigos de motivos de justificación de Key Access Justifications.

Administra el acceso a tus claves

Key Access Justifications proporciona un motivo cada vez que se accede a tus claves administradas por Cloud KMS o a las claves administradas de forma externa. Cuando se usa tu clave para cualquier operación criptográfica, recibes una justificación para el acceso basado en el servicio (para los servicios compatibles) y el acceso directo a la API.

Una vez que tus proyectos de claves estén inscritos en Key Access Justifications, comenzarás a recibir de inmediato justificaciones para cada acceso de clave de claves nuevas. En el caso de las claves existentes, comenzarás a recibir justificaciones para cada acceso de clave en un plazo de 24 horas.

Habilita Key Access Justifications

Key Access Justifications solo se puede usar con Assured Workloads y se habilita de forma predeterminada cuando creas una nueva carpeta de Assured Workloads configurada para un paquete de control que incluye Key Access Justifications. Consulta la descripción general de Assured Workloads para obtener más información.

Exclusiones de Key Access Justifications

Las Key Access Justifications solo se aplican a las siguientes situaciones:

• Operaciones en datos encriptados: En el caso de los campos de un servicio determinado que están encriptados con una clave administrada por el cliente, consulta la documentación del servicio.
• La transición de los datos en reposo a los datos en uso: Mientras Google sigue aplicando protecciones a tus datos en uso, Key Access Justifications solo rige la transición de los datos en reposo a los datos en uso.

Las siguientes funciones de Compute Engine y de Persistent Disk están exentas cuando se usan con CMEK:

• SSD locales
• Reinicio automático
• Operaciones de imágenes de máquinas

Key Access Justifications con aprobación de acceso

En el caso de las cargas de trabajo con la Aprobación de acceso habilitada con una clave de firma personalizada, Key Access Justifications también se aplicará al procesamiento de solicitudes de aprobación de acceso firmadas. Las solicitudes de aprobación de acceso solo se pueden procesar si la justificación asociada para el acceso a la clave también está permitida por la política de Key Access Justifications de la clave. Cuando un cliente firma una solicitud de aprobación de acceso, la justificación asociada se refleja en la solicitud de firma para la aprobación.

Todos los accesos a los datos del cliente que se produzcan a partir de una solicitud de aprobación de acceso aprobada y firmada aparecerán en los registros de Transparencia de acceso vinculados a la solicitud de aprobación.

¿Qué sigue?

• Consulta qué servicios admite Assured Workloads para Sovereign Controls for EU y la lista de servicios adicionales compatibles con KAJ.
• Obtén más información para ver y actuar según las justificaciones.
• Obtén información sobre dónde puedes obtener asistencia para Key Access Justifications.
• Obtén información sobre cómo se ve una solicitud de Aprobación de acceso.
• Obtén información sobre los principios básicos en los que se basan los controles que impiden el acceso administrativo no autorizado.