Übersicht

Diese Seite bietet einen Überblick über Key Access Justifications. Mit Key Access Justifications können Sie Richtlinie zu Cloud KMS-Schlüsseln (Cloud Key Management Service) zum Ansehen, Genehmigen und Ablehnen des Schlüssels basierend auf den bereitgestellten Begründungscode angeben. Für ausgewählte Partner für die externe Schlüsselverwaltung können Sie Richtlinien für Key Access Justifications außerhalb von Google Cloud wird ausschließlich vom External Key Manager erzwungen, als mit Cloud KMS. Key Access Justifications funktioniert mit Cloud KMS-Schlüsseltypen abhängig davon, Kontrollpaket für Assured Workloads Ihrer Auswahl:

So funktioniert die Verschlüsselung ruhender Daten

Bei der Google Cloud-Verschlüsselung inaktiver Daten werden Ihre auf Google Cloud mit einem Verschlüsselungsschlüssel, der sich außerhalb des Dienstes befindet, in dem der Daten gespeichert werden. Wenn Sie beispielsweise Daten in Cloud Storage verschlüsseln, Der Dienst speichert nur die von Ihnen gespeicherten verschlüsselten Informationen, während der Schlüssel zum Verschlüsseln dieser Daten in Cloud KMS (wenn Sie oder in Ihrem External Key Manager (wenn Sie Cloud EKM verwenden).

Wenn Sie einen Google Cloud-Dienst verwenden, sollen Ihre Anwendungen Sie können wie beschrieben weiterarbeiten. Dazu müssen Ihre Daten entschlüsselt werden. Wenn Sie beispielsweise eine Abfrage mit BigQuery ausführen, Ihre Daten müssen entschlüsselt werden, um sie analysieren zu können. BigQuery indem eine Entschlüsselungsanfrage an den Key Manager gesendet wird, erforderlichen Daten.

Warum wird auf meine Schlüssel zugegriffen?

Ihre Verschlüsselungsschlüssel werden meistens von automatisierten Systemen abgerufen, die Bearbeitung Ihrer eigenen Anfragen und Arbeitslasten in Google Cloud.

Zusätzlich zu vom Kunden initiierten Zugriffen muss ein Google-Mitarbeiter möglicherweise Vorgänge initiieren, bei denen Ihre Verschlüsselungsschlüssel aus folgenden Gründen verwendet werden:

  • Struktur oder Qualität der Daten optimieren: Die Google-Systeme müssen möglicherweise auf Ihre Verschlüsselungsschlüssel zugreifen, um zu indexieren, zu strukturieren, vorausberechnen, Hashen, Fragmentieren oder Daten im Cache zu speichern.

  • Daten sichern: Google benötigt möglicherweise Zugriff auf Ihre Verschlüsselungsschlüssel, um Daten zum Zweck der Notfallwiederherstellung sichern.

  • Supportanfrage klären: Möglicherweise muss ein Google-Mitarbeiter Ihr um die vertraglichen Verpflichtungen zur Supportleistung zu erfüllen.

  • Systemverwaltung und Fehlerbehebung: Google-Mitarbeiter können Vorgänge einleiten. die Ihre Verschlüsselungsschlüssel für die technische Fehlerbehebung verwenden, die für eine oder komplexe Supportanfragen oder Untersuchungen. Möglicherweise ist auch Zugriff erforderlich, Speicherfehler oder Datenbeschädigungen beheben.

  • Datenintegrität und Compliance gewährleisten und Schutz vor Betrug und Missbrauch: Google kann Daten aus folgenden Gründen entschlüsseln:

    • Um die Sicherheit deiner Daten und Konten zu gewährleisten.
    • Um sicherzustellen, dass Sie Google-Dienste gemäß den die Google Cloud-Nutzungsbedingungen.
    • Prüfung von Beschwerden anderer Nutzer und Kunden oder anderer Hinweise auf missbräuchliche Aktivitäten.
    • Sie können überprüfen, ob die Google Cloud-Dienste gemäß den anwendbare regulatorische Anforderungen, z. B. Anti-Geldwäsche Vorschriften einhalten.

  • Systemzuverlässigkeit aufrechterhalten: Google-Mitarbeiter können Zugriff auf prüfen, ob ein möglicher Dienstausfall Sie nicht beeinträchtigt. Außerdem können Sie auf kann angefordert werden, um die Sicherung und Wiederherstellung bei Ausfällen oder System Störungen.

Eine Liste der Begründungscodes findest du unter Codes für die Begründungen für Key Access Justifications.

Zugriff auf extern verwaltete Schlüssel verwalten

Key Access Justifications liefert jedes Mal einen Grund, wenn Ihre extern verwalteten Schlüssel auf die zugegriffen wird. Gründe werden nur angegeben, wenn Schlüssel extern verwaltet werden. Für den Zugriff auf Schlüssel, die in Cloud KMS oder Cloud HSM gespeichert sind, ist kein Grund. Wenn ein Schlüssel in Ihrem External Key Manager gespeichert wird, erhalten Sie eine Meldung Begründung sowohl für den dienstbasierten Zugriff (für unterstützte Dienste) als auch für den direkten Zugriff API-Zugriff

Nachdem Sie bei Key Access Justifications registriert sind und einen extern verwalteten Schlüssel verwenden, für jeden Schlüsselzugriff sofort eine Begründung.

Wenn Sie Key Access Justifications und Access Approval mit einem externer vom Kunden verwalteter Schlüssel, Anfragen für Administratorzugriff können nicht sein verarbeitet, es sei denn, die Genehmigungen werden nach dem und übergeben eine Richtlinienprüfung für Key Access Justifications für die Signaturanfrage. Alle Durch den Schlüssel signierte Zugriffsgenehmigungen werden in den Access Transparency-Logs angezeigt.

Key Access Justifications aktivieren

Key Access Justifications kann nur mit Assured Workloads verwendet werden und wird durch Standardeinstellung, wenn Sie einen neuen Assured Workloads-Ordner erstellen, der für ein Kontrollpaket mit Key Access Justifications. Weitere Informationen finden Sie in der Weitere Informationen finden Sie unter Assured Workloads – Übersicht. Informationen.

Ausschlüsse für Key Access Justifications

Key Access Justifications gelten nur für:

  • Vorgänge für verschlüsselte Daten. Für die Felder innerhalb eines Dienstes, die die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind, finden Sie in der Dokumentation des Dienstes.
  • Der Übergang von inaktiven zu aktiven Daten. Während Google weiterhin Schutzmaßnahmen für Ihre aktiven Daten anwendet, regelt Key Access Justifications nur die von ruhenden Daten zu inaktiven Daten wechseln.
  • Die folgenden Compute Engine- und Persistent Disk-Funktionen sind bei der Verwendung ausgenommen mit CMEK: <ph type="x-smartling-placeholder">

Nächste Schritte