Melihat dan menindaklanjuti justifikasi
Halaman ini menjelaskan cara melihat dan menindaklanjuti justifikasi yang dikirimkan Key Access Justifications untuk meminta akses ke kunci enkripsi Anda.
Setiap kali informasi Anda dienkripsi atau didekripsi, Key Access Justifications akan mengirimkan justifikasi yang menjelaskan alasan akses tersebut kepada Anda. Software dari partner Cloud EKM kami memungkinkan Anda menetapkan kebijakan untuk otomatis menyetujui atau menolak akses berdasarkan konten justifikasi. Untuk mengetahui informasi selengkapnya tentang cara menetapkan kebijakan, lihat dokumentasi yang relevan untuk key manager yang Anda pilih. Partner berikut mendukung Key Access Justifications:
- Fortanix
- Thales
Menolak akses dapat menghambat kemampuan staf Google untuk membantu Anda terkait layanan.
Menolak akses untuk permintaan dengan alasan
CUSTOMER_INITIATED_ACCESS
,MODIFIED_CUSTOMER_INITIATED_ACCESS
,GOOGLE_INITIATED_SYSTEM_OPERATION
, atauMODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION
akan menyebabkan layanan Anda tidak tersedia.Menolak akses untuk permintaan dengan alasan
CUSTOMER_INITATED_SUPPORT
akan membatasi kemampuan personel Google untuk merespons tiket dukungan pada kesempatan yang jarang terjadi saat tiket dukungan Anda memerlukan akses ke informasi pelanggan yang sensitif (tiket bantuan biasanya tidak memerlukan akses ini dan staf dukungan garis depan kami tidak memiliki akses ini).Menolak akses untuk permintaan dengan alasan
GOOGLE_INITIATED_SERVICE
akan mengurangi ketersediaan dan keandalan layanan serta menghambat kemampuan Google untuk melakukan pemulihan dari pemadaman layanan.
Kode alasan justifikasi yang tercantum di bagian berikut mencakup skenario yang berbeda dengan kode Transparansi Akses, jadi jangan cocokkan kode tersebut.
Melihat justifikasi di konsol Google Cloud
Anda juga dapat menggunakan konsol Google Cloud untuk melihat Key Access Justifications yang dikirimkan ke pengelola kunci eksternal saat data Anda diakses. Agar dapat mengakses justifikasi, Anda harus mengaktifkan Cloud Audit Logs dengan Cloud KMS terlebih dahulu pada project yang berisi kunci yang digunakan untuk enkripsi.
Setelah Anda menyelesaikan penyiapan, Cloud Audit Logs juga menyertakan justifikasi yang digunakan dalam permintaan eksternal untuk operasi kriptografi. Justifikasi muncul sebagai bagian dari log Akses Data pada kunci resource, dalam entri metadata
untuk protoPayload
. Untuk informasi selengkapnya tentang kolom ini, lihat Memahami log audit.
Untuk mengetahui informasi selengkapnya tentang cara menggunakan Cloud Audit Logs dengan Cloud KMS, lihat Informasi logging audit Cloud KMS.
Perlu diperhatikan bahwa tidak seperti justifikasi yang dibagikan kepada pengelola kunci eksternal, justifikasi dalam Cloud Audit Logs tidak dapat digunakan untuk menyetujui atau menolak operasi kriptografi yang terkait. Google Cloud hanya mencatat justifikasi setelah operasi selesai. Oleh karena itu, log di Google Cloud harus digunakan terutama untuk penyimpanan catatan.