Begründungen aufrufen und entsprechend handeln
Auf dieser Seite wird beschrieben, wie Sie Begründungen ansehen und darauf reagieren können, die über „Key Access Justifications“ gesendet werden, um Zugriff auf Ihre Verschlüsselungsschlüssel anzufordern. Wann immer Ihre Informationen verschlüsselt oder entschlüsselt ist, sendet Key Access Justifications Ihnen eine Begründung mit den Grund für den Zugriff. Wie Sie Begründungen sehen und darauf reagieren, hängt davon ab, Schlüsseltyp, den Sie mit Key Access Justifications verwenden:
- Für extern verwaltete Schlüssel kann der Cloud EKM-Partner den
Möglichkeit, eine Richtlinie festzulegen, die Zugriffsanfragen automatisch genehmigt oder ablehnt
je nach Inhalt der Begründungen. Weitere Informationen zum
finden Sie in der entsprechenden Dokumentation für den gewählten Key Manager. Die
folgende Partner unterstützen Key Access Justifications:
- Fortanix
- Thales
- Für alle Schlüssel, die mit Key Access Justifications-Richtlinien konfiguriert wurden – unabhängig vom Schlüssel Typ: Sie können sich Zugriffsanfragen im Cloud KMS ansehen. Audit-Logs.
Wenn Sie den Zugriff verweigern, können Google-Mitarbeiter Ihnen möglicherweise nicht mehr bei einer freiberuflichen Service. Beispiel:
- Wenn Sie den Zugriff aus den Gründen
CUSTOMER_INITIATED_ACCESS
oderGOOGLE_INITIATED_SYSTEM_OPERATION
verweigern, ist Ihr Dienst nicht mehr verfügbar. - Zugriff wird für Anfragen mit dem Grund
CUSTOMER_INITATED_SUPPORT
verweigert schränkt die Fähigkeit von Google-Mitarbeitern ein, Support-Tickets auf der seltene Fälle, in denen für Ihr Support-Ticket Zugang zu vertraulichen Kundendaten erforderlich ist Informationen. Für Supporttickets ist dieser Zugriff in der Regel nicht erforderlich und unsere Supportmitarbeiter haben diesen Zugriff nicht. - Zugriff wird für Anfrage mit dem Grund
GOOGLE_INITIATED_SERVICE
verweigert die Verfügbarkeit und Zuverlässigkeit von Diensten verringert und Google daran hindert, die Wiederherstellung nach Ausfällen.
Begründungen für EKM-Schlüssel ansehen
In der Google Cloud Console können Sie die Key Access Justifications für die Begründung (Key Access Justifications) aufrufen wird an Ihr externes Schlüsselverwaltungssystem gesendet, wenn auf Ihre Daten zugegriffen wird. Wenn Sie auf die Begründung zugreifen möchten, müssen Sie zuerst Cloud-Audit-Logs mit Cloud KMS für das Projekt mit dem für die Verschlüsselung verwendeten Schlüssel aktivieren.
Nachdem Sie die Einrichtung abgeschlossen haben, enthalten die Cloud-Audit-Logs auch die
Begründung, die in der externen Anfrage für kryptografische Vorgänge verwendet wird. Die
Begründung ist in den Datenzugriffslogs für den Ressourcenschlüssel enthalten,
Die metadata
-Einträge für protoPayload
. Weitere Informationen zu diesen Feldern
Siehe Audit-Logs verstehen.
Weitere Informationen zur Verwendung von Cloud-Audit-Logs mit Cloud KMS finden Sie unter Audit-Logging-Informationen in Cloud KMS.
Im Gegensatz zur Begründung, die mit dem External Key Manager geteilt wird, Begründung in den Cloud-Audit-Logs nicht verwendet werden kann, um den damit verbundenen kryptografischen Vorgang. Google Cloud protokolliert nur die Begründung nachdem der Vorgang abgeschlossen ist. Daher müssen die Logs in Google Cloud in erster Linie für die Aufbewahrung von Daten verwendet wird.
Begründungen für Cloud HSM und Softwareschlüssel ansehen
Wenn Cloud HSM- und Softwareschlüssel, die mit Begründungen für den Schlüsselzugriff konfiguriert wurden, zum Ausführen von Verschlüsselungs- oder Entschlüsselungsvorgängen verwendet wurden, können Sie in den Cloud KMS-Audit-Logs die folgenden Informationen abrufen:
key_access_justification
: Die Begründungscode die mit der Anfrage verknüpft sind.key_access_justification_policy_metadata
: Metadaten der Richtlinie „Key Access Justifications“ für den Schlüssel mit den folgenden Informationen:customer_configured_policy_enforced
: Gibt an, ob die für den Schlüssel festgelegte Richtlinie „Key Access Justifications“ für den Vorgang erzwungen wurde.customer_configured_policy
: Gibt die Begründungscodes an, die das Zugriff auf den Schlüssel.justification_propagated_to_ekm
: Gibt an, ob die Zugriffsanfrage an das externe Schlüsselverwaltungssystem weitergegeben werden (falls konfiguriert).
Das folgende Beispiel zeigt einen Cloud KMS-Audit-Logeintrag für einen Cloud HSM-Schlüssel, der mit Begründungen für den Schlüsselzugriff konfiguriert ist:
{ @type: "type.googleapis.com/google.cloud.audit.AuditLog" (...) metadata: { entries: { key_access_justification: { @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext" reason: "CUSTOMER_INITIATED_ACCESS" } key_access_justification_policy_metadata: { customer_configured_policy_enforced: "true" customer_configured_policy: { allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"] } justification_propagated_to_ekm: "false" } } } methodName: "useVersionToDecrypt" serviceName: "cloudkms.googleapis.com" (...) }