Panoramica

Questa pagina fornisce una panoramica di Key Access Justifications. Key Access Justifications ti consente di impostare criterio sulle chiavi Cloud Key Management Service (Cloud KMS) per visualizzare, approvare e rifiutare la chiave di accesso alle richieste in base il codice di giustificazione. Per determinati partner esterni di gestione delle chiavi, puoi configurare i criteri di Key Access Justifications al di fuori Google Cloud deve essere applicato esclusivamente dal gestore di chiavi esterno anziché rispetto a Cloud KMS. Key Access Justifications funziona con quanto segue I tipi di chiavi Cloud KMS, a seconda del tipo Pacchetto di controllo Assured Workloads selezioni:

Come funziona la crittografia at-rest

La crittografia at-rest di Google Cloud cripta i dati archiviati su Google Cloud con una chiave di crittografia situata all'esterno del servizio in cui vengono archiviati i dati. Ad esempio, se cripti i dati in Cloud Storage, archivia solo le informazioni crittografate che hai archiviato, mentre la chiave utilizzata per criptare i dati archiviati in Cloud KMS (se utilizzi chiavi di crittografia gestite dal cliente (CMEK)) o nel gestore di chiavi esterno (se utilizzano Cloud EKM).

Quando utilizzi un servizio Google Cloud, le applicazioni devono continuerà a funzionare come descritto e ciò richiederà la decriptazione dei tuoi dati. Ad esempio, se esegui una query utilizzando BigQuery, deve decriptare i dati per poterli analizzare. BigQuery può farlo inviando una richiesta di decrittografia al gestore di chiavi per ottenere dati richiesti.

Perché viene eseguito l'accesso alle mie chiavi?

Le tue chiavi di crittografia sono solitamente accessibili da sistemi automatici mentre per gestire le tue richieste e i tuoi carichi di lavoro su Google Cloud.

Oltre agli accessi avviati dal cliente, un dipendente Google potrebbe dover avviare operazioni che utilizzano le tue chiavi di crittografia per i seguenti motivi:

  • Ottimizzare la struttura o la qualità dei dati: i sistemi Google potrebbero dover accedere alle tue chiavi di crittografia per indicizzare, strutturare, precalcolare, hash, shard memorizzare nella cache i dati.

  • Esegui il backup dei dati: Google potrebbe dover accedere alle tue chiavi di crittografia per eseguire il backup dei dati per motivi di ripristino di emergenza.

  • Risolvere una richiesta di assistenza: un dipendente Google potrebbe dover decriptare per adempiere all'obbligo contrattuale di fornire assistenza.

  • Gestione e risoluzione dei problemi dei sistemi: il personale Google può avviare le operazioni che utilizzano le tue chiavi di crittografia per eseguire il debug tecnico necessario per un una richiesta di assistenza o un'indagine complessa. Potrebbe essere necessario l'accesso anche risolvere i guasti allo spazio di archiviazione o il danneggiamento dei dati.

  • Garantire l'integrità e la conformità dei dati e proteggere da attività fraudolente e comportamenti illeciti: Google potrebbe dover decriptare i dati per i seguenti motivi:

    • Per garantire la sicurezza dei tuoi dati e dei tuoi account.
    • Per assicurarti di utilizzare i servizi Google in conformità alle i Termini di servizio di Google Cloud.
    • Per esaminare reclami di altri utenti e clienti o altri segnali di illecita.
    • Per verificare che i servizi Google Cloud vengano utilizzati in conformità con Requisiti normativi vigenti, tra cui il riciclaggio di denaro in materia.

  • Mantenere l'affidabilità del sistema: il personale di Google può richiedere l'accesso a indaga per capire se una sospetta interruzione del servizio non ti riguarda. Inoltre, l'accesso potrebbe essere richiesto per garantire il backup e il ripristino da interruzioni del servizio o errori.

Per l'elenco dei codici di giustificazione, vedi i codici di motivazione per Key Access Justifications.

Gestione dell'accesso alle chiavi gestite esternamente

Key Access Justifications fornisce un motivo ogni volta che le tue chiavi gestite esternamente l'accesso alle risorse. I motivi sono forniti solo quando le chiavi sono gestite esternamente. Gli accessi alle chiavi archiviate in Cloud KMS o Cloud HSM non forniscono un perché. Quando una chiave viene archiviata nel gestore chiavi esterno, ricevi un giustificazione sia per l'accesso basato sui servizi (per i servizi supportati) che per l'accesso diretto Accesso all'API.

Dopo aver effettuato la registrazione in Key Access Justifications e aver utilizzato una chiave gestita esternamente, ricevere immediatamente le giustificazioni per ogni accesso alla chiave.

Se utilizzi Key Access Justifications e Access Approval con un gestita dal cliente, le richieste di accesso amministrativo non possono elaborati a meno che le approvazioni non vengano firmate con la chiave gestita esternamente dopo il superamento di un controllo dei criteri Key Access Justifications per la richiesta di firma. Tutti le approvazioni di accesso firmate dalla chiave vengono visualizzate nei log di Access Transparency.

Abilitazione di Key Access Justifications

Key Access Justifications può essere utilizzato solo con Assured Workloads ed è abilitato da predefinita quando crei una nuova cartella Assured Workloads configurata per un pacchetto di controllo che includa Key Access Justifications. Consulta le Panoramica di Assured Workloads per ulteriori informazioni informazioni.

Esclusioni di Key Access Justifications

Key Access Justifications si applica solo a:

  • Operazioni sui dati criptati. Per i campi di un determinato servizio che sono criptato con una chiave gestita dal cliente, consulta la documentazione del servizio.
  • La transizione dai dati at-rest ai dati in uso. Anche se Google continua a applicare protezioni ai dati in uso, Key Access Justifications regola solo dai dati at-rest ai dati in uso.
  • Le seguenti funzionalità di Compute Engine e Persistent Disk sono esenti se utilizzate con CMEK:

Passaggi successivi