Diese Seite wurde von der Cloud Translation API übersetzt.

Begründungen ansehen und entsprechende Maßnahmen ergreifen

Auf dieser Seite wird beschrieben, wie Sie von Key Access Justifications Begründungen aufrufen und darauf reagieren können, um Zugriff auf Ihre Verschlüsselungsschlüssel anzufordern.

Immer wenn Ihre Daten verschlüsselt oder entschlüsselt werden, sendet Key Access Justifications Ihnen eine Begründung mit dem Grund für den Zugriff. Mit der Software unserer Cloud EKM-Partner können Sie eine Richtlinie festlegen, um den Zugriff anhand des Inhalts der Begründungen automatisch zu genehmigen oder abzulehnen. Weitere Informationen zum Festlegen einer Richtlinie finden Sie in der entsprechenden Dokumentation für den ausgewählten Schlüsselmanager. Die folgenden Partner unterstützen Key Access Justifications:

Fortanix
Thales

Wenn Sie den Zugriff verweigern, können Google-Mitarbeiter Ihnen möglicherweise nicht mehr bei einem vertraglich vereinbarten Dienst helfen.

Wenn Sie den Zugriff für Anfragen mit dem Grund CUSTOMER_INITIATED_ACCESS oder GOOGLE_INITIATED_SYSTEM_OPERATION ablehnen, ist Ihr Dienst nicht mehr verfügbar.
Wenn Sie den Zugriff für Anfragen mit dem Grund CUSTOMER_INITATED_SUPPORT ablehnen, können Google-Mitarbeiter nur in den seltenen Fällen, in denen Ihr Support-Ticket Zugriff auf vertrauliche Kundendaten erfordert, auf Support-Tickets antworten. Für Support-Tickets ist dieser Zugriff in der Regel nicht erforderlich und unsere Frontline-Supportmitarbeiter haben keinen Zugriff.
Wenn Sie den Zugriff für eine Anfrage mit dem Grund GOOGLE_INITIATED_SERVICE ablehnen, werden die Verfügbarkeit und Zuverlässigkeit des Dienstes verringert und Google kann die Daten nach Ausfällen nicht mehr wiederherstellen.

Die im folgenden Abschnitt aufgeführten Codes für die Begründungen decken andere Szenarien als die Access Transparency-Codes ab und stimmen daher nicht mit ihnen überein.

Begründungen in der Google Cloud Console ansehen

Sie können auch in der Google Cloud Console die Begründung aufrufen, die Key Access Justifications beim Zugriff auf Ihre Daten an Ihr External Key Manager sendet. Damit Sie auf die Begründung zugreifen können, müssen Sie zuerst Cloud-Audit-Logs mit Cloud KMS für das Projekt aktivieren, das den für die Verschlüsselung verwendeten Schlüssel enthält.

Nachdem Sie die Einrichtung abgeschlossen haben, enthalten die Cloud-Audit-Logs auch die Begründung, die in der externen Anfrage für kryptografische Vorgänge verwendet wird. Die Begründung wird als Teil der Datenzugriffslogs für den Ressourcenschlüssel in den metadata-Einträgen für protoPayload angezeigt. Weitere Informationen zu diesen Feldern finden Sie unter Audit-Logs verstehen. Weitere Informationen zur Verwendung von Cloud-Audit-Logs mit Cloud KMS finden Sie unter Informationen zum Audit-Logging in Cloud KMS.

Beachten Sie, dass im Gegensatz zur Begründung, die mit dem External Key Manager geteilt wird, die Begründung in den Cloud-Audit-Logs nicht verwendet werden kann, um den zugehörigen kryptografischen Vorgang zu genehmigen oder abzulehnen. Google Cloud protokolliert die Begründung erst nach Abschluss des Vorgangs. Daher müssen die Logs in Google Cloud in erster Linie für die Aufbewahrung von Aufzeichnungen verwendet werden.