查看理由并据此采取行动
本页介绍了如何查看 Key Access Justifications 发送的理由以请求对您的加密密钥的访问权限,并采取相应措施。每当您的信息被加密或解密时,Key Access Justifications 都会向您发送说明访问原因的正当理由。您查看和处理理由的方式取决于您与 Key Access Justifications 配合使用的密钥类型:
- 对于由外部管理的密钥,Cloud EKM 合作伙伴可能会提供相关功能,让您能够设置一项政策,以根据理由内容自动批准或拒绝访问请求。如需详细了解如何设置政策,请参阅所选密钥管理器的相关文档。以下合作伙伴支持 Key Access Justifications:
- Fortanix
- Thales
- 对于使用 Key Access Justifications 政策配置的所有密钥(无论密钥类型如何),您可以在 Cloud KMS 审核日志中查看访问请求。
拒绝访问权限可能会妨碍 Google 员工帮助您使用合同服务。例如:
- 如果出于
CUSTOMER_INITIATED_ACCESS
或GOOGLE_INITIATED_SYSTEM_OPERATION
原因拒绝访问请求,将导致您的服务变得不可用。 - 在支持服务工单需要访问敏感客户信息的极少数情况下,由于
CUSTOMER_INITATED_SUPPORT
拒绝请求的访问权限会限制 Google 员工响应支持服务工单的能力。支持服务工单通常不需要此权限,我们的一线支持人员也没有此访问权限。 - 出于
GOOGLE_INITIATED_SERVICE
原因拒绝访问请求会降低服务可用性和可靠性,并妨碍 Google 从中断中恢复的能力。
查看 EKM 密钥的理由
您可以使用 Google Cloud 控制台查看在访问您的数据时 Key Access Justifications 向您的外部密钥管理器发送的理由。如需访问理由,您首先需要使用 Cloud KMS 对包含用于加密的密钥的项目启用 Cloud Audit Logs。
完成设置后,Cloud Audit Logs 还包含外部加密操作请求中使用的理由。理由包含在资源密钥的数据访问日志中 protoPayload
的 metadata
条目中。如需详细了解这些字段,请参阅了解审核日志。如需详细了解如何将 Cloud Audit Logs 与 Cloud KMS 搭配使用,请参阅 Cloud KMS 审核日志记录信息。
请注意,与与外部密钥管理器共享的理由不同,Cloud Audit Logs 中的理由不能用于批准或拒绝关联的加密操作。只有在操作完成后,Google Cloud 才会记录理由。因此,Google Cloud 中的日志必须主要用于保存记录。
查看使用 Cloud HSM 和软件密钥的理由
使用使用 Key Access Justifications 配置的 Cloud HSM 和软件密钥执行加密或解密操作后,您可以查看 Cloud KMS 审核日志来了解以下信息:
key_access_justification
:与请求关联的理由代码。key_access_justification_policy_metadata
:密钥的 Key Access Justifications 政策元数据,其中包含以下信息:customer_configured_policy_enforced
:指示是否对操作强制执行在密钥上设置的 Key Access Justifications 政策。customer_configured_policy
:表示允许访问密钥的理由代码。justification_propagated_to_ekm
:指示访问请求是否已传播到外部密钥管理器(如果已配置)。
以下示例演示了使用 Key Access Justifications 配置的 Cloud HSM 密钥的 Cloud KMS 审核日志条目:
{ @type: "type.googleapis.com/google.cloud.audit.AuditLog" (...) metadata: { entries: { key_access_justification: { @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext" reason: "CUSTOMER_INITIATED_ACCESS" } key_access_justification_policy_metadata: { customer_configured_policy_enforced: "true" customer_configured_policy: { allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"] } justification_propagated_to_ekm: "false" } } } methodName: "useVersionToDecrypt" serviceName: "cloudkms.googleapis.com" (...) }