Begründungen ansehen und bearbeiten

Auf dieser Seite wird beschrieben, wie Sie die Begründungen, die Key Access Justifications sendet, aufrufen und bearbeiten können, um Zugriff auf Ihre Verschlüsselungsschlüssel anzufordern.

Immer wenn Ihre Informationen verschlüsselt oder entschlüsselt werden, sendet Ihnen Key Access Justifications eine Begründung mit einer Beschreibung des Grunds für den Zugriff. Mit der Software unserer Cloud EKM-Partner können Sie eine Richtlinie festlegen, um den Zugriff basierend auf dem Inhalt der Begründungen automatisch zu genehmigen oder abzulehnen. Weitere Informationen zum Festlegen einer Richtlinie finden Sie in der entsprechenden Dokumentation für den von Ihnen gewählten Schlüsselmanager. Die folgenden Partner unterstützen Key Access Justifications:

  • Fortanix
  • Thales

Wenn Sie den Zugriff verweigern, können Google-Mitarbeiter Sie möglicherweise nicht bei einem vertraglich vereinbarten Dienst unterstützen.

  • Wenn Sie den Zugriff für Anfragen mit dem Grund CUSTOMER_INITIATED_ACCESS, MODIFIED_CUSTOMER_INITIATED_ACCESS, GOOGLE_INITIATED_SYSTEM_OPERATION oder MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION ablehnen, ist Ihr Dienst nicht mehr verfügbar.

  • Wenn Sie den Zugriff für Anfragen mit dem Grund CUSTOMER_INITATED_SUPPORT ablehnen, wird die Reaktion von Google-Mitarbeitern auf Support-Tickets in den seltenen Fällen eingeschränkt, in denen Ihr Support-Ticket Zugriff auf vertrauliche Kundeninformationen erfordert (Support-Tickets benötigen diesen Zugriff in der Regel nicht und unsere Supportmitarbeiter haben diesen Zugriff nicht).

  • Wenn Sie den Zugriff für eine Anfrage mit dem Grund GOOGLE_INITIATED_SERVICE ablehnen, werden Verfügbarkeit und Zuverlässigkeit der Dienste verringert und Google kann diese nach Ausfällen nicht mehr wiederherstellen.

Die Codes für die Begründung, die im folgenden Abschnitt aufgeführt sind, beziehen sich auf andere Szenarien als die Access Transparency-Codes und stimmen daher nicht überein.

Begründungen in der Google Cloud Console ansehen

Sie können auch die Google Cloud Console verwenden, um die Begründung aufzurufen, die Key Access Justifications beim Zugriff auf Ihre Daten an Ihren External Key Manager sendet. Damit Sie auf die Begründung zugreifen können, müssen Sie zuerst Cloud-Audit-Logs mit Cloud KMS für das Projekt aktivieren, das den für die Verschlüsselung verwendeten Schlüssel enthält.

Nachdem Sie die Einrichtung abgeschlossen haben, enthalten die Cloud-Audit-Logs auch die Begründung, die in der externen Anfrage für kryptografische Vorgänge verwendet wird. Die Begründung wird als Teil der Datenzugriffslogs für den Ressourcenschlüssel in den metadata-Einträgen für protoPayload angezeigt. Weitere Informationen zu diesen Feldern finden Sie unter Audit-Logs verstehen. Weitere Informationen zur Verwendung von Cloud-Audit-Logs mit Cloud KMS finden Sie unter Informationen zum Audit-Logging in Cloud KMS.

Im Gegensatz zur Begründung, die an den externen Schlüsselmanager weitergegeben wird, kann die Begründung in den Cloud-Audit-Logs nicht zum Genehmigen oder Ablehnen des zugehörigen kryptografischen Vorgangs verwendet werden. Google Cloud protokolliert die Begründung erst, nachdem der Vorgang abgeschlossen ist. Daher müssen die Logs in Google Cloud hauptsächlich zur Aufbewahrung von Aufzeichnungen verwendet werden.