Visualiza y actúa según las justificaciones
En esta página, se describe cómo puedes ver y realizar acciones en función de las justificaciones que envía Key Access Justifications para solicitar acceso a tus claves de encriptación. Siempre que su información encriptado o desencriptado, Key Access Justifications te envía una justificación en la que se describe el el motivo del acceso. La forma en que veas y actúes en función de las justificaciones depende del tipo de claves que uses con Key Access Justifications:
- En el caso de las claves administradas de forma externa, el socio de Cloud EKM puede proporcionar la posibilidad de configurar una política que apruebe o rechace automáticamente las solicitudes de acceso según el contenido de las justificaciones. Para obtener más información sobre cómo configurar una política, consulta la documentación relevante del administrador de claves que elijas. El
los siguientes socios admiten Key Access Justifications:
- Fortanix
- Thales
- Para todas las claves configuradas con políticas de Key Access Justifications, sin importar la clave puedes ver las solicitudes de acceso en Cloud KMS registros de auditoría de Cloud.
La denegación del acceso puede obstaculizar la capacidad del personal de Google de ayudarte con una servicio contratado. Por ejemplo:
- Denegar el acceso a solicitudes con motivos
CUSTOMER_INITIATED_ACCESS
oGOOGLE_INITIATED_SYSTEM_OPERATION
da como resultado que tu servicio sea disponible. - Si se rechaza el acceso a las solicitudes con el motivo
CUSTOMER_INITATED_SUPPORT
, se limita la capacidad del personal de Google para responder los tickets de asistencia en el caso poco frecuente de que el ticket requiera acceso a información sensible del cliente. Por lo general, los tickets de asistencia no requieren este acceso, y el personal de asistencia de primera línea no tiene este acceso. - Denegación de acceso a la solicitud con el motivo
GOOGLE_INITIATED_SERVICE
reduce la disponibilidad y confiabilidad del servicio e inhibe la capacidad de Google para recuperarse de interrupciones.
Ver justificaciones para las claves de EKM
Puedes usar la consola de Google Cloud para ver las justificaciones de Key Access Justifications envía a tu administrador de claves externo cuando se accede a tus datos. Para acceder a la justificación, primero debes habilitar Cloud Audit Logs con Cloud KMS en el proyecto que contiene la clave que se usa para la encriptación.
Después de completar la configuración, los Registros de auditoría de Cloud también incluyen
justificación usada en la solicitud externa para operaciones criptográficas. El
justificación se incluye en los registros de acceso a los datos en la clave del recurso, en
las entradas metadata
para protoPayload
. Para obtener más información sobre estos campos,
consulta Comprende los registros de auditoría.
Para obtener más información sobre el uso de Registros de auditoría de Cloud con Cloud KMS, consulta
Información de registro de auditoría de Cloud KMS.
Ten en cuenta que, a diferencia de la justificación compartida con el administrador de claves externo, el una justificación en los Registros de auditoría de Cloud no se puede usar operación criptográfica asociada. Google Cloud solo registra la justificación una vez finalizada la operación. Por lo tanto, los registros de Google Cloud deben utilizarse principalmente para el mantenimiento de registros.
Ve justificaciones para Cloud HSM y claves de software
Cuando Cloud HSM y las claves de software con Key Access Justifications se usaron para realizar operaciones de encriptación o desencriptación, puedes ver el Registros de auditoría de Cloud KMS consulta la siguiente información:
key_access_justification
: Es el código de justificación asociado con la solicitud.key_access_justification_policy_metadata
: Metadatos de la política de Key Access Justifications para la clave que contiene la siguiente información:customer_configured_policy_enforced
: Indica si se aplicó o no la política de Key Access Justifications establecida en la clave para la operación.customer_configured_policy
: Indica los códigos de justificación que permiten acceso a la clave.justification_propagated_to_ekm
: Indica si la solicitud de acceso se propagó al administrador de claves externo (si está configurado).
En el siguiente ejemplo, se muestra una entrada de registro de auditoría de Cloud KMS para una clave de Cloud HSM configurada con Key Access Justifications:
{ @type: "type.googleapis.com/google.cloud.audit.AuditLog" (...) metadata: { entries: { key_access_justification: { @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext" reason: "CUSTOMER_INITIATED_ACCESS" } key_access_justification_policy_metadata: { customer_configured_policy_enforced: "true" customer_configured_policy: { allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"] } justification_propagated_to_ekm: "false" } } } methodName: "useVersionToDecrypt" serviceName: "cloudkms.googleapis.com" (...) }