Cette page a été traduite par l'API Cloud Translation.

Afficher les justifications et agir en conséquence

Cette page explique comment afficher les justifications envoyées par Key Access Justifications pour demander l'accès à vos clés de chiffrement et prendre les mesures adéquates. Chaque fois que vos informations sont chiffrées ou déchiffrées, Key Access Justifications vous envoie une justification décrivant la raison de l'accès. La manière dont vous affichez les justifications et les traitez dépend du type de clés que vous utilisez avec Key Access Justifications:

Pour les clés gérées en externe, le partenaire Cloud EKM peut permettre de définir une règle qui approuve ou refuse automatiquement les demandes d'accès en fonction du contenu des justifications. Pour en savoir plus sur la définition d'une règle, consultez la documentation correspondant au gestionnaire de clés que vous avez choisi. Les partenaires suivants sont compatibles avec Key Access Justifications :
- Fortanix
- Thales
Quel que soit le type de clé, vous pouvez afficher les demandes d'accès dans les journaux d'audit Cloud KMS pour toutes les clés configurées avec des règles Key Access Justifications.

Si vous refusez l'accès, le personnel de Google risque de ne pas pouvoir vous aider pour un service contractuel. Exemple :

Si vous refusez l'accès des requêtes pour des motifs CUSTOMER_INITIATED_ACCESS ou GOOGLE_INITIATED_SYSTEM_OPERATION, votre service deviendra indisponible.
Si vous refusez l'accès aux requêtes pour le motif CUSTOMER_INITATED_SUPPORT, vous limitez la capacité du personnel de Google à répondre aux demandes d'assistance dans les rares cas où celles-ci doivent accéder à des informations client sensibles. Les demandes d'assistance ne nécessitent généralement pas cet accès, et notre personnel d'assistance de première ligne n'y a pas accès.
Le refus d'une requête pour le motif GOOGLE_INITIATED_SERVICE réduit la disponibilité et la fiabilité du service, et empêche Google de se rétablir après une panne.

Afficher les justifications pour les clés EKM

Vous pouvez utiliser la console Google Cloud pour afficher la justification envoyée par Key Access Justifications à votre gestionnaire de clés externe lorsque vos données sont consultées. Pour accéder à la justification, vous devez d'abord activer Cloud Audit Logs avec Cloud KMS sur le projet contenant la clé utilisée pour le chiffrement.

Une fois la configuration terminée, Cloud Audit Logs inclut également la justification utilisée dans la requête externe concernant les opérations de chiffrement. La justification est incluse dans les journaux d'accès aux données sur la clé d'accès aux données, dans les entrées metadata pour protoPayload. Pour en savoir plus sur ces champs, consultez la section Comprendre les journaux d'audit. Pour en savoir plus sur l'utilisation de Cloud Audit Logs avec Cloud KMS, consultez la page Informations sur les journaux d'audit Cloud KMS.

Notez que contrairement à la justification partagée avec le gestionnaire de clés externe, la justification fournie dans Cloud Audit Logs ne peut pas être utilisée pour approuver ou refuser l'opération de chiffrement associée. Google Cloud ne consigne la justification qu'une fois l'opération terminée. Par conséquent, les journaux dans Google Cloud doivent être utilisés principalement à des fins d'archivage.

Afficher les justifications pour Cloud HSM et les clés logicielles

Lorsque Cloud HSM et des clés logicielles configurées avec Key Access Justifications ont été utilisés pour effectuer des opérations de chiffrement ou de déchiffrement, vous pouvez afficher les journaux d'audit Cloud KMS pour afficher les informations suivantes:

key_access_justification: code de justification associé à la requête.
key_access_justification_policy_metadata: métadonnées de la règle Key Access Justifications pour la clé contenant les informations suivantes :
- customer_configured_policy_enforced: indique si la règle Key Access Justifications définie sur la clé a été appliquée pour l'opération.
- customer_configured_policy: indique les codes de justification qui autorisent l'accès à la clé.
- justification_propagated_to_ekm: indique si la requête d'accès a été propagée au gestionnaire de clés externe (s'il est configuré).

L'exemple suivant illustre une entrée de journal d'audit Cloud KMS pour une clé Cloud HSM configurée avec Key Access Justifications:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }