Cette page a été traduite par l'API Cloud Translation.

Afficher les justifications et agir en conséquence

Cette page explique comment consulter les justifications de Key Access Justifications et prendre les mesures adéquates. envoie pour demander l'accès à vos clés de chiffrement. Chaque fois que vos informations sont chiffré ou déchiffré, Key Access Justifications vous envoie une justification décrivant l'état motif de l'accès. La façon dont vous visualisez les justifications et agissez en conséquence dépend de la type de clés que vous utilisez avec Key Access Justifications:

Pour les clés gérées en externe, le partenaire Cloud EKM peut fournir la possibilité de définir une règle qui approuve ou refuse automatiquement les demandes d'accès ; sur la base du contenu des justifications. Pour en savoir plus sur la configuration une règle, consultez la documentation pertinente pour le gestionnaire de clés que vous avez choisi. La Les partenaires suivants sont compatibles avec Key Access Justifications: <ph type="x-smartling-placeholder">
- Fortanix
- Thales
Pour toutes les clés configurées avec des règles Key Access Justifications, quelle que soit la clé vous pouvez consulter les demandes d'accès dans Cloud KMS les journaux d'audit.

Si vous leur refusez l'accès, le personnel de Google risque de ne pas pouvoir vous aider sous contrat. Exemple :

Refus de l'accès pour les requêtes pour les motifs suivants : CUSTOMER_INITIATED_ACCESS ou GOOGLE_INITIATED_SYSTEM_OPERATION entraîne le passage à indisponible.
Refus de l'accès pour les demandes pour le motif suivant : CUSTOMER_INITATED_SUPPORT limite la capacité du personnel de Google à répondre aux demandes d'assistance sur le dans de rares cas, lorsque votre demande d'assistance nécessite l'accès à des données des informations. En général, les demandes d'assistance ne nécessitent pas cet accès. Nos le personnel d'assistance de première ligne n'y a pas accès.
Refus de la demande pour le motif suivant : GOOGLE_INITIATED_SERVICE réduit la disponibilité et la fiabilité des services, et empêche Google de prendre en compte à la reprise après les pannes.

Afficher les justifications pour les clés EKM

Vous pouvez utiliser la console Google Cloud pour afficher Key Access Justifications envoie à votre gestionnaire de clés externe lorsque vos données font l'objet d'un accès. Pour accéder au vous devez d'abord activer Cloud Audit Logs avec Cloud KMS sur le projet contenant la clé utilisée pour le chiffrement.

Une fois la configuration terminée, Cloud Audit Logs inclut également utilisée dans la requête externe pour les opérations de chiffrement. La justification est incluse dans les journaux d'accès aux données sur la clé d'accès à la ressource, dans les entrées metadata pour protoPayload. Pour en savoir plus sur ces champs, consultez la page Comprendre les journaux d'audit. Pour en savoir plus sur l'utilisation de Cloud Audit Logs avec Cloud KMS, consultez la page Informations sur les journaux d'audit Cloud KMS

Notez que contrairement à la justification partagée avec le gestionnaire de clés externe, la justification dans Cloud Audit Logs ne peut pas être utilisée pour approuver ou refuser l'opération cryptographique associée. Google Cloud ne journalise que la justification une fois l'opération terminée. Par conséquent, les journaux dans Google Cloud doivent être utilisé principalement pour la tenue de registres.

Afficher les justifications pour Cloud HSM et les clés logicielles

Quand Cloud HSM et des clés logicielles configurées avec Key Access Justifications utilisés pour effectuer des opérations de chiffrement ou de déchiffrement, vous pouvez consulter Journaux d'audit Cloud KMS affichez les informations suivantes:

key_access_justification: le code de justification associées à la demande.
key_access_justification_policy_metadata: métadonnées de la règle Key Access Justifications pour la clé contenant les informations suivantes:
- customer_configured_policy_enforced: indique si le paramètre La règle Key Access Justifications définie au niveau de la clé a été appliquée pour l'opération.
- customer_configured_policy: indique les codes de justification qui autorisent l'accès à la clé.
- justification_propagated_to_ekm: indique si la demande d'accès a été propagées vers le gestionnaire de clés externe (s'il est configuré).

L'exemple suivant illustre une entrée de journal d'audit Cloud KMS pour une Clé Cloud HSM configurée avec Key Access Justifications:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }