Questa pagina è stata tradotta dall'API Cloud Translation.

Visualizza le motivazioni e intervieni

In questa pagina viene descritto come visualizzare e intervenire sulle giustificazioni inviate da Key Access Justifications per richiedere l'accesso alle tue chiavi di crittografia.

Ogni volta che le tue informazioni vengono criptate o decriptate, Key Access Justifications ti invia una giustificazione che descrive il motivo dell'accesso. Il software dei nostri partner Cloud EKM consente di impostare un criterio per approvare o negare automaticamente l'accesso in base al contenuto delle giustificazioni. Per ulteriori informazioni sull'impostazione di un criterio, consulta la documentazione pertinente per il gestore di chiavi scelto. I seguenti partner supportano Key Access Justifications:

Fortanix
Thales

Negare l'accesso può ostacolare la capacità del personale di Google di aiutarti con un servizio in contratto.

Se neghi l'accesso per le richieste con motivi per CUSTOMER_INITIATED_ACCESS o GOOGLE_INITIATED_SYSTEM_OPERATION, il servizio non sarà più disponibile.
La negazione dell'accesso alle richieste con motivo CUSTOMER_INITATED_SUPPORT limita la possibilità del personale Google di rispondere alle richieste di assistenza nelle rare occasioni in cui il ticket di assistenza richieda l'accesso a informazioni sensibili sui clienti (in genere le richieste di assistenza non richiedono questo accesso e il personale di assistenza in prima linea non lo ha).
Il rifiuto dell'accesso per le richieste con motivo GOOGLE_INITIATED_SERVICE riduce la disponibilità e l'affidabilità del servizio e impedisce a Google di recuperare le interruzioni in caso di interruzioni.

I codici dei motivi della giustificazione elencati nella sezione seguente coprono scenari diversi rispetto ai codici di Access Transparency, quindi non farli corrispondere.

Visualizzare le giustificazioni nella console Google Cloud

Puoi anche utilizzare la console Google Cloud per visualizzare la motivazione che invia al gestore di chiavi esterno quando viene eseguito l'accesso ai dati. Per accedere alla giustificazione, devi prima abilitare Cloud Audit Logs con Cloud KMS nel progetto contenente la chiave utilizzata per la crittografia.

Una volta completata la configurazione, Cloud Audit Logs include anche la giustificazione utilizzata nella richiesta esterna per le operazioni crittografiche. La giustificazione viene visualizzata come parte dei log di accesso ai dati nella chiave della risorsa, nelle voci metadata per protoPayload. Per ulteriori informazioni su questi campi, consulta Informazioni sugli audit log. Per ulteriori informazioni sull'uso di Cloud Audit Logs con Cloud KMS, consulta Informazioni sull'audit logging di Cloud KMS.

Tieni presente che, a differenza di quella condivisa con il gestore di chiavi esterno, quella in Cloud Audit Logs non può essere utilizzata per approvare o rifiutare l'operazione crittografica associata. Google Cloud registra la giustificazione solo al termine dell'operazione. Pertanto, i log in Google Cloud devono essere utilizzati principalmente per la conservazione dei record.