此页面由 Cloud Translation API 翻译。

查看理由并据此采取行动

本页介绍了如何查看 Key Access Justifications 身份验证理由并采取相应措施来请求访问您的加密密钥。每当 Google 收集 Key Access Justifications 功能会向您发送一个说明访问原因。您查看和处理理由的方式取决于您在 Key Access Justifications 中使用的密钥类型：

对于外部管理的密钥，Cloud EKM 合作伙伴可能会提供设置政策的功能，以便根据理由的内容自动批准或拒绝访问请求。如需详细了解如何设置政策，请参阅所选密钥管理器的相关文档。通过以下合作伙伴支持 Key Access Justifications：
- Fortanix
- Thales
对于使用 Key Access Justifications 政策配置的所有密钥，不考虑密钥您可以在 Cloud KMS 中查看访问请求，审核日志。

拒绝访问可能会妨碍 Google 人员为您提供合同服务。例如：

由于 CUSTOMER_INITIATED_ACCESS 或 GOOGLE_INITIATED_SYSTEM_OPERATION 的原因而拒绝访问请求会导致您的服务不可用。
如果您以 CUSTOMER_INITATED_SUPPORT 为原因拒绝访问权限请求，在极少数情况下，当您的支持服务工单需要访问敏感客户信息时，Google 人员将无法回复该工单。支持服务工单通常不需要此权限，而且我们的一线支持人员没有此权限。
正在拒绝访问相应请求，原因：GOOGLE_INITIATED_SERVICE 会降低服务可用性和可靠性，并妨碍 Google 恢复服务中断。

查看 EKM 密钥的理由

您可以使用 Google Cloud 控制台查看理由 Key Access Justifications 发送到您的外部密钥管理器。要访问首先，您需要使用 Cloud KMS 启用 Cloud Audit Logs 对包含用于加密的密钥的项目拥有的权限。

完成设置后，Cloud Audit Logs 还包含用于加密操作的外部请求中使用的理由。该理由包含在资源键的数据访问日志的 protoPayload 的 metadata 条目中。如需详细了解这些字段，请参阅了解审核日志。如需详细了解如何将 Cloud Audit Logs 与 Cloud KMS 搭配使用，请参阅 Cloud KMS 审核日志信息。

请注意，与与外部密钥管理器共享的理由不同，Cloud Audit Logs 中的理由无法用于批准或拒绝关联的加密操作。Google Cloud 仅在操作完成后才会记录理由。因此，Google Cloud 中的日志必须是主要用于记录保存。

查看 Cloud HSM 密钥和软件密钥的理由

当配置了密钥访问理由的 Cloud HSM 和软件密钥已用于执行加密或解密操作时，您可以查看 Cloud KMS 审核日志，了解以下信息：

key_access_justification：理由代码与请求关联的操作
key_access_justification_policy_metadata：密钥的 Key Access Justifications 政策元数据，其中包含以下信息：
- customer_configured_policy_enforced：指示是否针对操作强制执行了对密钥设置的 Key Access Justifications 政策。
- customer_configured_policy：表示允许访问按键的理由代码。
- justification_propagated_to_ekm：指示访问权限请求是否传播到外部密钥管理器（如果已配置）。

以下示例演示了配置了 Key Access Justifications 的 Cloud HSM 密钥：

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }