근거 보기 및 조치

이 페이지에서는 키 액세스 근거가 암호화 키에 대한 액세스를 요청하기 위해 보내는 근거를 보고 조치를 취하는 방법을 설명합니다.

정보가 암호화되거나 복호화될 때마다 키 액세스 근거에서 액세스 이유를 설명하는 근거를 보냅니다. Google Cloud EKM 파트너의 소프트웨어를 사용 설정하면 근거 콘텐츠를 기반으로 액세스를 자동으로 승인하거나 거부하는 정책을 설정할 수 있습니다. 정책 설정에 대한 자세한 내용은 선택한 키 관리자의 관련 문서를 참조하세요. 다음 파트너는 키 액세스 근거를 지원합니다.

  • Fortanix
  • Thales

액세스를 거부하면 Google 직원이 계약 서비스를 지원하지 못할 수 있습니다.

  • CUSTOMER_INITIATED_ACCESS, MODIFIED_CUSTOMER_INITIATED_ACCESS, GOOGLE_INITIATED_SYSTEM_OPERATION 또는 MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION의 이유로 요청에 대한 액세스를 거부하면 서비스를 사용할 수 없게 됩니다.

  • CUSTOMER_INITATED_SUPPORT의 이유로 요청에 대한 액세스를 거부하면 지원 티켓이 민감한 고객 정보에 대한 액세스를 필요로 하는 드문 경우에 Google 직원이 지원 티켓에 응답할 수 있는 기능이 제한됩니다. 일반적으로 지원 티켓에서는 이 액세스를 요구하지 않으며 일선 지원 담당자에게 이 액세스 권한이 없습니다.

  • GOOGLE_INITIATED_SERVICE의 이유로 요청에 대한 액세스를 거부하면 서비스 가용성 및 안정성이 저하되고 Google은 서비스 중단으로부터 복구할 수 없게 됩니다.

다음 섹션에 나열된 정당성 이유 코드에는 액세스 투명성 코드와 다른 시나리오가 포함되므로 두 코드를 일치하지 마세요.

Google Cloud 콘솔에서 근거 보기

또한 Google Cloud 콘솔을 사용하여 데이터에 액세스할 때 키 액세스 근거에서 외부 키 관리자에게 전송하는 근거를 확인할 수 있습니다. 근거에 액세스하려면 먼저 암호화에 사용된 키가 포함된 프로젝트에서 Cloud KMS로 Cloud 감사 로그를 사용 설정해야 합니다.

설정을 완료하면 암호화 작업에 대한 외부 요청에 사용된 근거도 Cloud 감사 로그에 포함됩니다. 근거는 protoPayloadmetadata 항목에 리소스 키에 대한 데이터 액세스 로그의 일부로 표시됩니다. 이러한 필드에 대한 자세한 내용은 감사 로그 이해를 참조하세요. Cloud KMS에서 Cloud 감사 로그를 사용하는 방법에 대한 자세한 내용은 Cloud KMS 감사 로깅 정보를 참조하세요.

외부 키 관리자와 공유되는 근거와 달리 Cloud 감사 로그의 근거는 연결된 암호화 작업을 승인 또는 거부하는 데 사용될 수 없습니다. Google Cloud는 작업이 완료된 후에만 근거를 로깅합니다. 따라서 Google Cloud의 로그는 주로 기록 보관에 사용되어야 합니다.