Übersicht

Diese Seite bietet einen Überblick über Key Access Justifications. Mit Key Access Justifications können Sie Richtlinie zu Cloud KMS-Schlüsseln (Cloud Key Management Service) zum Ansehen, Genehmigen und Ablehnen des Schlüssels basierend auf den bereitgestellten Begründungscode angeben. Für ausgewählte Partner für die externe Schlüsselverwaltung können Sie Richtlinien für Key Access Justifications außerhalb von Google Cloud wird ausschließlich vom External Key Manager erzwungen, als mit Cloud KMS. Key Access Justifications funktioniert mit Cloud KMS-Schlüsseltypen abhängig davon, Kontrollpaket für Assured Workloads Ihrer Auswahl:

So funktioniert die Verschlüsselung ruhender Daten

Bei der Google Cloud-Verschlüsselung inaktiver Daten werden Ihre auf Google Cloud mit einem Verschlüsselungsschlüssel, der sich außerhalb des Dienstes befindet, in dem der Daten gespeichert werden. Wenn Sie beispielsweise Daten in Cloud Storage verschlüsseln, Der Dienst speichert nur die von Ihnen gespeicherten verschlüsselten Informationen, während der Schlüssel zum Verschlüsseln dieser Daten in Cloud KMS (wenn Sie oder in Ihrem External Key Manager (falls Sie Cloud EKM verwenden).

Wenn Sie einen Google Cloud-Dienst verwenden, sollen Ihre Anwendungen Sie können wie beschrieben weiterarbeiten. Dazu müssen Ihre Daten entschlüsselt werden. Wenn Sie beispielsweise eine Abfrage mit BigQuery ausführen, Ihre Daten müssen entschlüsselt werden, um sie analysieren zu können. BigQuery indem eine Entschlüsselungsanfrage an den Key Manager gesendet wird, erforderlichen Daten.

Warum wird auf meine Schlüssel zugegriffen?

Auf Ihre Verschlüsselungsschlüssel wird am häufigsten von automatisierten Systemen zugegriffen, wenn Ihre eigenen Anfragen und Arbeitslasten in Google Cloud verarbeitet werden.

Zusätzlich zu vom Kunden initiierten Zugriffen muss ein Google-Mitarbeiter möglicherweise Vorgänge initiieren, bei denen Ihre Verschlüsselungsschlüssel aus folgenden Gründen verwendet werden:

  • Struktur oder Qualität der Daten optimieren: Die Google-Systeme müssen möglicherweise auf Ihre Verschlüsselungsschlüssel zugreifen, um zu indexieren, zu strukturieren, vorausberechnen, Hashen, Fragmentieren oder Daten im Cache zu speichern.

  • Daten sichern: Google muss möglicherweise auf Ihre Verschlüsselungsschlüssel zugreifen, um Ihre Daten aus Gründen der Notfallwiederherstellung zu sichern.

  • Supportanfrage bearbeiten: Ein Google-Mitarbeiter muss Ihre Daten möglicherweise entschlüsseln, um der vertraglichen Verpflichtung zur Erbringung von Support nachzukommen.

  • Systeme verwalten und Fehler beheben: Google-Mitarbeiter können Vorgänge initiieren, bei denen Ihre Verschlüsselungsschlüssel verwendet werden, um technisches Debugging für eine komplexe Supportanfrage oder Prüfung durchzuführen. Möglicherweise ist auch Zugriff erforderlich, Speicherfehler oder Datenbeschädigungen beheben.

  • Datenintegrität und Compliance gewährleisten und Schutz vor Betrug und Missbrauch: Google kann Daten aus folgenden Gründen entschlüsseln:

    • Um die Sicherheit deiner Daten und Konten zu gewährleisten.
    • Um sicherzustellen, dass Sie Google-Dienste gemäß den die Google Cloud-Nutzungsbedingungen.
    • Prüfung von Beschwerden anderer Nutzer und Kunden oder anderer Hinweise auf missbräuchliche Aktivitäten.
    • Überprüfung, ob Google Cloud-Dienste gemäß anwendbaren gesetzlichen Bestimmungen, z. B. Anti-Geldwäsche-Bestimmungen, verwendet werden
  • Systemzuverlässigkeit aufrechterhalten: Google-Mitarbeiter können Zugriff auf prüfen, ob ein möglicher Dienstausfall Sie nicht beeinträchtigt. Außerdem können Sie auf kann angefordert werden, um die Sicherung und Wiederherstellung bei Ausfällen oder System Störungen.

Eine Liste der Begründungscodes findest du unter Codes für die Begründungen für Key Access Justifications.

Zugriff auf extern verwaltete Schlüssel verwalten

Key Access Justifications liefert jedes Mal einen Grund, wenn Ihre extern verwalteten Schlüssel auf die zugegriffen wird. Gründe werden nur angegeben, wenn Schlüssel extern verwaltet werden. Für den Zugriff auf Schlüssel, die in Cloud KMS oder Cloud HSM gespeichert sind, ist kein Grund. Wenn ein Schlüssel in Ihrem External Key Manager gespeichert wird, erhalten Sie eine Meldung Begründung sowohl für den dienstbasierten Zugriff (für unterstützte Dienste) als auch für den direkten Zugriff API-Zugriff

Sobald Sie für Key Access Justifications angemeldet sind und einen extern verwalteten Schlüssel verwenden, erhalten Sie umgehend Begründungen für jeden Schlüsselzugriff.

Wenn Sie Key Access Justifications und Access Approval mit einem externer vom Kunden verwalteter Schlüssel, Anfragen für Administratorzugriff können nicht sein verarbeitet, es sei denn, die Genehmigungen werden nach dem und übergeben eine Richtlinienprüfung für Key Access Justifications für die Signaturanfrage. Alle Durch den Schlüssel signierte Zugriffsgenehmigungen werden in den Access Transparency-Logs angezeigt.

Key Access Justifications aktivieren

Key Access Justifications kann nur mit Assured Workloads verwendet werden und wird durch Standardeinstellung, wenn Sie einen neuen Assured Workloads-Ordner erstellen, der für ein Kontrollpaket mit Key Access Justifications. Weitere Informationen finden Sie in der Weitere Informationen finden Sie unter Assured Workloads – Übersicht. Informationen.

Ausschlüsse für Key Access Justifications

Key Access Justifications gelten nur für:

  • Vorgänge mit verschlüsselten Daten. Für die Felder innerhalb eines Dienstes, die die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind, finden Sie in der Dokumentation des Dienstes.
  • Der Übergang von inaktiven zu aktiven Daten. Während Google weiterhin Schutzmaßnahmen für Ihre aktiven Daten anwendet, regelt Key Access Justifications nur die von ruhenden Daten zu inaktiven Daten wechseln.
  • Die folgenden Compute Engine- und Persistent Disk-Funktionen sind bei der Verwendung ausgenommen mit CMEK:

Nächste Schritte