Cette page a été traduite par l'API Cloud Translation.

Afficher les justifications et prendre les mesures nécessaires

Cette page explique comment afficher et mettre en application les justifications envoyées par Key Access Justifications pour demander l'accès à vos clés de chiffrement.

Chaque fois que vos informations sont chiffrées ou déchiffrées, Key Access Justifications vous envoie une justification expliquant la raison de l'accès. Les logiciels de nos partenaires Cloud EKM vous permettent de définir une règle pour approuver ou refuser automatiquement l'accès en fonction du contenu des justifications. Pour en savoir plus sur la définition d'une règle, consultez la documentation correspondant au gestionnaire de clés que vous avez choisi. Les partenaires suivants sont compatibles avec Key Access Justifications:

Fortanix
Thales

Refuser l'accès peut empêcher le personnel de Google de vous aider concernant un service sous contrat.

Si vous refusez l'accès pour les requêtes pour le motif CUSTOMER_INITIATED_ACCESS ou GOOGLE_INITIATED_SYSTEM_OPERATION, votre service deviendra indisponible.
En refusant l'accès à des demandes pour le motif CUSTOMER_INITATED_SUPPORT, vous limitez la capacité du personnel de Google à répondre aux demandes d'assistance dans les rares cas où votre demande d'assistance nécessite l'accès à des informations client sensibles (cette autorisation n'est généralement pas nécessaire pour ce type d'accès, qui n'est pas accordé au personnel d'assistance de première ligne).
Refuser l'accès à une requête pour le motif GOOGLE_INITIATED_SERVICE réduit la disponibilité et la fiabilité du service, et empêche Google de se remettre des pannes.

Les codes de motif de justification répertoriés dans la section suivante couvrent des scénarios différents de ceux des codes Access Transparency. Ne les mettez donc pas en correspondance.

Afficher les justifications dans la console Google Cloud

Vous pouvez également utiliser la console Google Cloud pour afficher la justification que Key Access Justifications envoie à votre gestionnaire de clés externe lors de l'accès à vos données. Pour accéder à la justification, vous devez d'abord activer Cloud Audit Logs avec Cloud KMS sur le projet contenant la clé utilisée pour le chiffrement.

Une fois la configuration terminée, Cloud Audit Logs inclut également la justification utilisée dans la requête externe pour les opérations de chiffrement. La justification s'affiche dans les journaux d'accès aux données sur la clé de ressource, dans les entrées metadata pour protoPayload. Pour en savoir plus sur ces champs, consultez la section Comprendre les journaux d'audit. Pour en savoir plus sur l'utilisation de Cloud Audit Logs avec Cloud KMS, consultez la page Informations sur les journaux d'audit Cloud KMS.

Notez que contrairement à la justification partagée avec le gestionnaire de clés externe, la justification figurant dans Cloud Audit Logs ne peut pas être utilisée pour approuver ou refuser l'opération cryptographique associée. Google Cloud n'enregistre la justification qu'une fois l'opération terminée. Par conséquent, les journaux de Google Cloud doivent être utilisés principalement pour la conservation des enregistrements.