Questa pagina è stata tradotta dall'API Cloud Translation.

Visualizzare le motivazioni e intervenire

In questa pagina viene descritto come visualizzare e intervenire sulle giustificazioni inviate da Key Access Justifications per richiedere l'accesso alle tue chiavi di crittografia. Ogni volta che le tue informazioni vengono criptate o decriptate, Key Access Justifications ti invia una giustificazione che descrive il motivo dell'accesso. Il modo in cui visualizzi le giustificazioni e agisci in base al tipo di chiavi che utilizzi con Key Access Justifications:

Per le chiavi gestite esternamente, il partner Cloud EKM può offrire la possibilità di impostare un criterio che approva o nega automaticamente le richieste di accesso in base ai contenuti delle giustificazioni. Per ulteriori informazioni sull'impostazione di un criterio, consulta la documentazione pertinente per il gestore di chiavi scelto. I seguenti partner supportano Key Access Justifications:
- Fortanix
- Thales
Per tutte le chiavi configurate con criteri Key Access Justifications, indipendentemente dal tipo di chiave, puoi visualizzare le richieste di accesso negli audit log di Cloud KMS.

Negare l'accesso può compromettere la capacità del personale Google di aiutarti con un servizio con contratto. Ad esempio:

Se neghi l'accesso per richieste con motivi di CUSTOMER_INITIATED_ACCESS o GOOGLE_INITIATED_SYSTEM_OPERATION, il tuo servizio diventerà non disponibile.
La negazione dell'accesso per le richieste con il motivo di CUSTOMER_INITATED_SUPPORT limita la possibilità del personale Google di rispondere ai ticket di assistenza nei rari casi in cui il ticket di assistenza richieda l'accesso a informazioni sensibili dei clienti. I ticket di assistenza in genere non richiedono questo accesso e il nostro personale di assistenza a contatto con il pubblico non ha questo accesso.
Negare l'accesso alle richieste per il motivo di GOOGLE_INITIATED_SERVICE riduce la disponibilità e l'affidabilità del servizio e inibisce la capacità di Google di recuperare le interruzioni.

Visualizza le giustificazioni per le chiavi EKM

Puoi utilizzare la console Google Cloud per visualizzare le motivazioni inviate da Key Access Justifications al gestore di chiavi esterno quando accedi ai tuoi dati. Per accedere alla giustificazione, devi prima abilitare Cloud Audit Logs con Cloud KMS nel progetto contenente la chiave utilizzata per la crittografia.

Dopo aver completato la configurazione, Cloud Audit Logs include anche la giustificazione utilizzata nella richiesta esterna per le operazioni crittografiche. La giustificazione è inclusa nei log di accesso ai dati nella chiave della risorsa, nelle voci metadata per protoPayload. Per ulteriori informazioni su questi campi, consulta Informazioni sugli audit log. Per ulteriori informazioni sull'utilizzo di Cloud Audit Logs con Cloud KMS, consulta Informazioni sugli audit log di Cloud KMS.

Tieni presente che, a differenza della giustificazione condivisa con il gestore di chiavi esterno, la giustificazione in Cloud Audit Logs non può essere utilizzata per approvare o negare l'operazione crittografica associata. Google Cloud registra la giustificazione solo al termine dell'operazione. Di conseguenza, i log in Google Cloud devono essere usati principalmente per la conservazione dei dati.

Visualizza le giustificazioni per Cloud HSM e le chiavi software

Se Cloud HSM e chiavi software configurate con Key Access Justifications sono stati utilizzati per eseguire operazioni di crittografia o decriptazione, puoi visualizzare gli audit log di Cloud KMS per visualizzare le seguenti informazioni:

key_access_justification: il codice di giustificazione associato alla richiesta.
key_access_justification_policy_metadata: i metadati del criterio Key Access Justifications per la chiave contenenti le seguenti informazioni:
- customer_configured_policy_enforced: indica se il criterio Key Access Justifications impostato sulla chiave è stato applicato o meno per l'operazione.
- customer_configured_policy: indica i codici di giustificazione che consentono l'accesso alla chiave.
- justification_propagated_to_ekm: indica se la richiesta di accesso è stata propagata al gestore di chiavi esterno (se configurato).

L'esempio seguente mostra una voce di audit log di Cloud KMS per una chiave Cloud HSM configurata con Key Access Justifications:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }