Diese Seite wurde von der Cloud Translation API übersetzt.

Begründungen aufrufen und entsprechend handeln

Auf dieser Seite wird beschrieben, wie Sie Begründungen ansehen und darauf reagieren können, die über „Key Access Justifications“ gesendet werden, um Zugriff auf Ihre Verschlüsselungsschlüssel anzufordern. Jedes Mal, wenn Ihre Daten verschlüsselt oder entschlüsselt werden, erhalten Sie über Key Access Justifications eine Begründung, in der der Grund für den Zugriff beschrieben wird. Wie Sie Begründungen aufrufen und darauf reagieren, hängt davon ab, welche Art von Schlüsseln Sie mit Key Access Justifications verwenden:

Bei extern verwalteten Schlüsseln kann der Cloud EKM-Partner eine Richtlinie festlegen, durch die Zugriffsanfragen basierend auf dem Inhalt der Begründungen automatisch genehmigt oder abgelehnt werden. Weitere Informationen zum Festlegen einer Richtlinie finden Sie in der entsprechenden Dokumentation für den ausgewählten Schlüsselmanager. Die folgenden Partner unterstützen Key Access Justifications:
- Fortanix
- Thales
Für alle Schlüssel, die mit Richtlinien für Key Access Justifications konfiguriert sind, unabhängig vom Schlüsseltyp, können Sie sich Zugriffsanfragen in den Cloud KMS-Audit-Logs ansehen.

Wenn Sie den Zugriff verweigern, können Google-Mitarbeiter Ihnen bei einem vertraglich vereinbarten Dienst möglicherweise nicht helfen. Beispiel:

Wenn Sie den Zugriff aus den Gründen CUSTOMER_INITIATED_ACCESS oder GOOGLE_INITIATED_SYSTEM_OPERATION verweigern, ist Ihr Dienst nicht mehr verfügbar.
Wenn Sie den Zugriff aufgrund von CUSTOMER_INITATED_SUPPORT verweigern, können Google-Mitarbeiter in seltenen Fällen, in denen Ihr Supportticket Zugriff auf vertrauliche Kundendaten erfordert, nicht auf Supporttickets reagieren. Für Supporttickets ist dieser Zugriff in der Regel nicht erforderlich und unsere Supportmitarbeiter haben diesen Zugriff nicht.
Wenn Sie den Zugriff für eine Anfrage mit dem Grund GOOGLE_INITIATED_SERVICE verweigern, wird die Verfügbarkeit und Zuverlässigkeit des Dienstes reduziert und die Fähigkeit von Google, nach Ausfällen wiederherzustellen, wird beeinträchtigt.

Begründungen für EKM-Schlüssel ansehen

In der Google Cloud -Console können Sie die Begründung sehen, die Key Access Justifications an Ihren externen Schlüsselmanager sendet, wenn auf Ihre Daten zugegriffen wird. Wenn Sie auf die Begründung zugreifen möchten, müssen Sie zuerst Cloud-Audit-Logs mit Cloud KMS für das Projekt mit dem für die Verschlüsselung verwendeten Schlüssel aktivieren.

Nach Abschluss der Einrichtung enthalten die Cloud-Audit-Logs auch die Begründung, die in der externen Anfrage für kryptografische Vorgänge verwendet wurde. Die Begründung ist in den Datenzugriffslogs für den Ressourcenschlüssel in den metadata-Einträgen für protoPayload enthalten. Weitere Informationen zu diesen Feldern finden Sie unter Audit-Logs verstehen. Weitere Informationen zur Verwendung von Cloud-Audit-Logs mit Cloud KMS finden Sie unter Audit-Logging-Informationen in Cloud KMS.

Im Gegensatz zur Begründung, die mit dem externen Schlüsselmanager geteilt wird, kann die Begründung in den Cloud-Audit-Logs nicht verwendet werden, um den zugehörigen kryptografischen Vorgang zu genehmigen oder abzulehnen. Google Cloud zeichnet die Begründung erst nach Abschluss des Vorgangs auf. Daher müssen die Logs in Google Cloud hauptsächlich zur Dokumentation verwendet werden.

Begründungen für Cloud HSM- und Softwareschlüssel ansehen

Wenn Cloud HSM- und Softwareschlüssel, die mit Begründungen für den Schlüsselzugriff konfiguriert wurden, zum Ausführen von Verschlüsselungs- oder Entschlüsselungsvorgängen verwendet wurden, können Sie in den Cloud KMS-Audit-Logs die folgenden Informationen abrufen:

key_access_justification: Der Begründungscode, der mit der Anfrage verknüpft ist.
key_access_justification_policy_metadata: Die Metadaten der Richtlinie „Key Access Justifications“ für den Schlüssel mit den folgenden Informationen:
- customer_configured_policy_enforced: Gibt an, ob die für den Schlüssel festgelegte Richtlinie „Key Access Justifications“ für den Vorgang erzwungen wurde.
- customer_configured_policy: Gibt die Begründungscodes an, die den Zugriff auf den Schlüssel ermöglichen.
- justification_propagated_to_ekm: Gibt an, ob die Zugriffsanfrage an den externen Schlüsselmanager weitergegeben wurde (falls konfiguriert).

Das folgende Beispiel zeigt einen Cloud KMS-Audit-Logeintrag für einen Cloud HSM-Schlüssel, der mit Key Access Justifications konfiguriert ist:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }