Se usó la API de Cloud Translation para traducir esta página.

Visualiza y actúa según las justificaciones

En esta página, se describe cómo puedes ver y realizar acciones en función de las justificaciones que envía Key Access Justifications para solicitar acceso a tus claves de encriptación. Cada vez que se encripta o desencripta tu información, Key Access Justifications te envía una justificación que describe el motivo del acceso. La forma en que veas y actúes en función de las justificaciones depende del tipo de claves que uses con Key Access Justifications:

En el caso de las claves administradas de forma externa, el socio de Cloud EKM puede brindar la posibilidad de configurar una política que apruebe o rechace automáticamente las solicitudes de acceso según el contenido de las justificaciones. Para obtener más información sobre cómo configurar una política, consulta la documentación relevante del administrador de claves que elegiste. Los siguientes socios admiten Key Access Justifications:
- Fortanix
- Thales
Para todas las claves configuradas con políticas de Key Access Justifications, independientemente del tipo de clave, puedes ver las solicitudes de acceso en los registros de auditoría de Cloud KMS.

Si niegas el acceso, el personal de Google no podrá ayudarte con un servicio contratado. Por ejemplo:

Si se rechaza el acceso a las solicitudes con los motivos CUSTOMER_INITIATED_ACCESS o GOOGLE_INITIATED_SYSTEM_OPERATION, tu servicio dejará de estar disponible.
Si se rechaza el acceso a las solicitudes con el motivo CUSTOMER_INITATED_SUPPORT, se limita la capacidad del personal de Google para responder los tickets de asistencia en el caso poco frecuente de que el ticket requiera acceso a información sensible del cliente. Por lo general, los tickets de asistencia no requieren este acceso, y nuestro personal de asistencia de primera línea no tiene este acceso.
Si se rechaza el acceso a la solicitud con el motivo GOOGLE_INITIATED_SERVICE, se reduce la disponibilidad y la confiabilidad del servicio, y se inhibe la capacidad de Google de recuperarse de las interrupciones.

Visualiza las justificaciones de las claves de EKM

Puedes usar la consola de Google Cloud para ver la justificación que Key Access Justifications envía a tu administrador de claves externo cuando se accede a tus datos. Para acceder a la justificación, primero debes habilitar Cloud Audit Logs con Cloud KMS en el proyecto que contiene la clave que se usa para la encriptación.

Después de completar la configuración, los Registros de auditoría de Cloud también incluyen la justificación que se usa en la solicitud externa para las operaciones criptográficas. La justificación se incluye en los registros de acceso a los datos en la clave de recursos, en las entradas metadata de protoPayload. Para obtener más información sobre estos campos, consulta Información sobre los registros de auditoría. Para obtener más información sobre el uso de Cloud Audit Logs con Cloud KMS, consulta Información de registro de auditoría de Cloud KMS.

Ten en cuenta que, a diferencia de la justificación que se comparte con el administrador de claves externo, la justificación en los registros de auditoría de Cloud no se puede usar para aprobar o rechazar la operación criptográfica asociada. Google Cloud registra la justificación solo después de que se completa la operación. Por lo tanto, los registros de Google Cloud se deben usar principalmente para el mantenimiento de registros.

Consulta las justificaciones de Cloud HSM y las claves de software

Cuando se usan Cloud HSM y claves de software configuradas con justificaciones de acceso a claves para realizar operaciones de encriptación o desencriptación, puedes ver los registros de auditoría de Cloud KMS para ver la siguiente información:

key_access_justification: Es el código de justificación asociado con la solicitud.
key_access_justification_policy_metadata: Los metadatos de la política de Key Access Justifications para la clave que contiene la siguiente información:
- customer_configured_policy_enforced: Indica si se aplicó o no la política de Key Access Justifications establecida en la clave para la operación.
- customer_configured_policy: Indica los códigos de justificación que permiten el acceso a la clave.
- justification_propagated_to_ekm: Indica si la solicitud de acceso se propagó al administrador de claves externo (si está configurado).

En el siguiente ejemplo, se muestra una entrada de registro de auditoría de Cloud KMS para una clave de Cloud HSM configurada con Key Access Justifications:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }