Diese Seite wurde von der Cloud Translation API übersetzt.

Begründungen ansehen und entsprechende Maßnahmen ergreifen

Auf dieser Seite wird beschrieben, wie Sie von Key Access Justifications Begründungen aufrufen und darauf reagieren können, um Zugriff auf Ihre Verschlüsselungsschlüssel anzufordern. Immer wenn Ihre Informationen verschlüsselt oder entschlüsselt werden, erhalten Sie von Key Access Justifications eine Begründung mit dem Grund für den Zugriff. Wie Sie Begründungen anzeigen und darauf reagieren, hängt von der Art der Schlüssel ab, die Sie mit Key Access Justifications verwenden:

Bei extern verwalteten Schlüsseln kann der Cloud EKM-Partner eine Richtlinie festlegen, die Zugriffsanfragen anhand des Inhalts der Begründungen automatisch genehmigt oder ablehnt. Weitere Informationen zum Festlegen einer Richtlinie finden Sie in der entsprechenden Dokumentation für das gewählte Schlüsselverwaltungssystem. Die folgenden Partner unterstützen Key Access Justifications:
- Fortanix
- Thales
Für alle Schlüssel, die mit Key Access Justifications-Richtlinien konfiguriert wurden, können Sie unabhängig vom Schlüsseltyp Zugriffsanfragen in den Audit-Logs von Cloud KMS ansehen.

Wenn Sie den Zugriff verweigern, können Google-Mitarbeiter Ihnen möglicherweise nicht mehr bei einem vertraglich vereinbarten Dienst helfen. Beispiel:

Wenn Sie den Zugriff für Anfragen mit dem Grund CUSTOMER_INITIATED_ACCESS oder GOOGLE_INITIATED_SYSTEM_OPERATION ablehnen, ist Ihr Dienst nicht mehr verfügbar.
Wenn Sie den Zugriff für Anfragen mit dem Grund CUSTOMER_INITATED_SUPPORT ablehnen, können Google-Mitarbeiter nur in den seltenen Fällen, in denen Ihr Support-Ticket Zugriff auf vertrauliche Kundendaten erfordert, auf Support-Tickets antworten. Für Support-Tickets ist dieser Zugriff in der Regel nicht erforderlich und unsere Supportmitarbeiter mit Kundenkontakt haben keinen Zugriff.
Wenn Sie den Zugriff für eine Anfrage mit dem Grund GOOGLE_INITIATED_SERVICE ablehnen, werden die Verfügbarkeit und Zuverlässigkeit des Dienstes verringert und Google kann die Daten nach Ausfällen nicht mehr wiederherstellen.

Begründungen für EKM-Schlüssel ansehen

In der Google Cloud Console können Sie sich die Begründungen ansehen, die Key Access Justifications beim Zugriff auf Ihre Daten an Ihren External Key Manager gesendet werden. Damit Sie auf die Begründung zugreifen können, müssen Sie zuerst Cloud-Audit-Logs mit Cloud KMS für das Projekt aktivieren, das den für die Verschlüsselung verwendeten Schlüssel enthält.

Nachdem Sie die Einrichtung abgeschlossen haben, enthalten die Cloud-Audit-Logs auch die Begründung, die in der externen Anfrage für kryptografische Vorgänge verwendet wird. Die Begründung finden Sie in den Datenzugriffslogs zum Ressourcenschlüssel in den metadata-Einträgen für protoPayload. Weitere Informationen zu diesen Feldern finden Sie unter Audit-Logs verstehen. Weitere Informationen zur Verwendung von Cloud-Audit-Logs mit Cloud KMS finden Sie unter Informationen zum Audit-Logging in Cloud KMS.

Beachten Sie, dass im Gegensatz zur Begründung, die mit dem External Key Manager geteilt wird, die Begründung in den Cloud-Audit-Logs nicht verwendet werden kann, um den zugehörigen kryptografischen Vorgang zu genehmigen oder abzulehnen. Google Cloud protokolliert die Begründung erst nach Abschluss des Vorgangs. Daher müssen die Logs in Google Cloud in erster Linie für die Aufbewahrung von Aufzeichnungen verwendet werden.

Begründungen für Cloud HSM und Softwareschlüssel ansehen

Wenn Cloud HSM und Softwareschlüssel, die mit Key Access Justifications konfiguriert sind, für Verschlüsselungs- oder Entschlüsselungsvorgänge verwendet wurden, können Sie die Cloud KMS-Audit-Logs mit den folgenden Informationen aufrufen:

key_access_justification: Der mit der Anfrage verknüpfte Begründungscode.
key_access_justification_policy_metadata: Die Metadaten der Key Access Justifications-Richtlinie für den Schlüssel mit den folgenden Informationen:
- customer_configured_policy_enforced: Gibt an, ob die für den Schlüssel festgelegte Richtlinie für Key Access Justifications für den Vorgang erzwungen wurde.
- customer_configured_policy: Gibt die Begründungscodes an, die den Zugriff auf den Schlüssel ermöglichen.
- justification_propagated_to_ekm: Gibt an, ob die Zugriffsanfrage an das External Key Manager weitergegeben wurde (falls konfiguriert).

Das folgende Beispiel zeigt einen Cloud KMS-Audit-Logeintrag für einen Cloud HSM-Schlüssel, der mit Key Access Justifications konfiguriert wurde:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }