Ver e agir de acordo com as justificativas
Nesta página, descrevemos como visualizar e agir com base nas justificativas de acesso às chaves envia para solicitar acesso às chaves de criptografia. Sempre que suas informações forem criptografados ou descriptografados, as Justificativas de acesso às chaves enviam uma justificativa descrevendo o motivo do acesso. A maneira como você visualiza e age com base nas justificativas depende o tipo de chave que você está usando com as Justificativas de acesso às chaves:
- Para chaves gerenciadas externamente, o parceiro do Cloud EKM pode fornecer
definir uma política que aprove ou negue automaticamente as solicitações de acesso.
com base no conteúdo das justificativas. Para mais informações sobre como configurar
uma política, consulte a documentação relevante do gerenciador de chaves escolhido. A
parceiros que aceitam as justificativas de acesso às chaves:
- Fortanix
- Thales
- Para todas as chaves configuradas com políticas de justificativas de acesso às chaves, independente da chave padrão, é possível ver as solicitações de acesso na interface Cloud KMS registros de auditoria.
Negar o acesso pode impedir que a equipe do Google ajude você com uma ou serviço contratado. Exemplo:
- Negar acesso a solicitações com motivos de
CUSTOMER_INITIATED_ACCESS
ouGOOGLE_INITIATED_SYSTEM_OPERATION
faz com que seu serviço fique indisponível. - Negando acesso a solicitações com o motivo
CUSTOMER_INITATED_SUPPORT
limita a capacidade da equipe do Google de responder a tíquetes de suporte no raras ocasiões em que o tíquete de suporte precisa de acesso a clientes informações imprecisas ou inadequadas. Os tíquetes de suporte geralmente não exigem esse acesso, e nossa e a equipe de suporte de atendimento não tem esse acesso. - Negando o acesso da solicitação pelo motivo
GOOGLE_INITIATED_SERVICE
reduz a disponibilidade e a confiabilidade do serviço e inibe a capacidade do Google de se recuperar de interrupções.
Conferir as justificativas para as chaves EKM
Use o console do Google Cloud para conferir as justificativas de acesso às chaves envia para o gerenciador de chaves externo quando seus dados são acessados. Para acessar Para isso, primeiro ative os Registros de auditoria do Cloud com o Cloud KMS. no projeto que contém a chave usada para criptografia.
Depois que você concluir a configuração, os Registros de auditoria do Cloud também incluirão as
justificação usada na solicitação externa para operações criptográficas. A
está incluída nos registros de acesso aos dados na chave de recurso,
as entradas metadata
para protoPayload
. Para mais informações sobre esses campos,
consulte Noções básicas sobre registros de auditoria.
Para mais informações sobre como usar os Registros de auditoria do Cloud com o Cloud KMS, consulte
Informações sobre a geração de registros de auditoria do Cloud KMS.
Observe que, ao contrário da justificativa compartilhada com o gerenciador de chaves externo, a a justificativa nos Registros de auditoria do Cloud não pode ser usada para aprovar ou negar as uma operação criptográfica associada. O Google Cloud registra apenas a justificativa após a conclusão da operação. Portanto, os registros no Google Cloud precisam ser usada principalmente para manutenção de registros.
Confira as justificativas para o Cloud HSM e as chaves de software
Quando o Cloud HSM e as chaves de software configurada com Justificativas de acesso às chaves foram usadas para executar operações de criptografia ou descriptografia, Registros de auditoria do Cloud KMS para exibir as seguintes informações:
key_access_justification
: o código de justificativa associadas à solicitação.key_access_justification_policy_metadata
: os metadados da política de justificativas de acesso às chaves para a chave que contém as seguintes informações:customer_configured_policy_enforced
: indica se o A política de justificativas de acesso às chaves definida na chave foi aplicada à operação.customer_configured_policy
: indica os códigos de justificativa que permitem acesso à chave.justification_propagated_to_ekm
: indica se a solicitação de acesso foi propagadas para o gerenciador de chaves externo (se configurado).
O exemplo a seguir demonstra uma entrada de registro de auditoria do Cloud KMS Chave do Cloud HSM configurada com Justificativas de acesso às chaves:
{ @type: "type.googleapis.com/google.cloud.audit.AuditLog" (...) metadata: { entries: { key_access_justification: { @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext" reason: "CUSTOMER_INITIATED_ACCESS" } key_access_justification_policy_metadata: { customer_configured_policy_enforced: "true" customer_configured_policy: { allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"] } justification_propagated_to_ekm: "false" } } } methodName: "useVersionToDecrypt" serviceName: "cloudkms.googleapis.com" (...) }