理由の表示と対処
このページでは、Key Access Justifications が暗号鍵へのアクセスをリクエストする理由を表示し、対処する方法について説明します。
情報が暗号化または復号されるたびに、Key Access Justification からアクセスの理由を説明するメールが届きます。Cloud EKM パートナーが提供するソフトウェアを使用すると、正当化の内容に基づいてアクセスを自動的に承認または拒否するポリシーを設定できます。ポリシーの設定の詳細については、選択した鍵マネージャーの関連ドキュメントをご覧ください。次のパートナーが Key Access Justifications をサポートしています。
- Fortanix
- Thales
アクセスを拒否すると、Google 担当者が契約サービスに関するサポートをお客様に提供できなくなる可能性があります。
CUSTOMER_INITIATED_ACCESS
またはGOOGLE_INITIATED_SYSTEM_OPERATION
の理由でリクエストのアクセスを拒否すると、サービスが利用できなくなります。CUSTOMER_INITATED_SUPPORT
の理由でリクエストへのアクセスを拒否すると、サポート チケットがお客様の機密情報へのアクセスを必要とするまれなケースで、Google 担当者がサポート チケットに回答する能力が制限されます(通常、サポート チケットはこのアクセスを必要とせず、フロントラインのサポート担当者はこのアクセス権を持ちません)。GOOGLE_INITIATED_SERVICE
の理由でリクエストへのアクセスを拒否すると、サービスの可用性と信頼性が低下し、Google がサービス停止から復旧できなくなります。
次のセクションで説明する理由の理由コードは、アクセスの透明性コードとは異なるシナリオに対応しているため、一致しないようにしてください。
Google Cloud コンソールで理由を表示する
Google Cloud コンソールを使用して、データがアクセスされたときに Key Access Justifications が外部のキー マネージャーに送信する理由を表示することもできます。理由にアクセスするには、まず、暗号化に使用された鍵を含むプロジェクトで Cloud KMS を使用して Cloud Audit Logs を有効にする必要があります。
設定が完了すると、Cloud Audit Logs には、暗号化オペレーションの外部リクエストで使用されている理由も含まれます。理由は、リソースキーのデータアクセス ログの一部として、protoPayload
の metadata
エントリに表示されます。これらのフィールドの詳細については、監査ログについてをご覧ください。
Cloud KMS での Cloud Audit Logs の使用について詳しくは、Cloud KMS の監査ロギングの情報をご覧ください。
外部鍵マネージャーと共有される理由とは異なり、Cloud Audit Logs 内の理由は、関連する暗号化オペレーションの承認または拒否には使用できません。Google Cloud のログは、オペレーションが完了した後にのみ理由を記録します。したがって、Google Cloud のログは主に記録の保存に使用する必要があります。