Esta página foi traduzida pela API Cloud Translation.

Ver e agir de acordo com as justificativas

Nesta página, descrevemos como visualizar e agir com base nas justificativas que as Justificativas de acesso às chaves enviam para solicitar acesso às suas chaves de criptografia. Sempre que suas informações forem criptografadas ou descriptografadas, as Justificativas de acesso às chaves vão enviar uma justificativa com a descrição do motivo do acesso. A maneira como você visualiza e age com base nas justificativas depende do tipo de chave que você está usando com as Justificativas de acesso às chaves:

Para chaves gerenciadas externamente, o parceiro do Cloud EKM pode fornecer a capacidade de definir uma política que aprove ou negue automaticamente as solicitações de acesso com base no conteúdo das justificativas. Para mais informações sobre como definir uma política, consulte a documentação relevante do gerenciador de chaves escolhido. Os parceiros abaixo aceitam justificativas de acesso às chaves:
- Fortanix
- Thales
Para todas as chaves configuradas com políticas de justificativas de acesso às chaves, independentemente do tipo de chave, é possível visualizar solicitações de acesso nos registros de auditoria do Cloud KMS.

Negar o acesso pode dificultar a capacidade da equipe do Google de ajudar você com um serviço contratado. Exemplo:

Negar acesso a solicitações com motivos de CUSTOMER_INITIATED_ACCESS ou GOOGLE_INITIATED_SYSTEM_OPERATION faz com que o serviço fique indisponível.
Recusar o acesso a solicitações com o motivo CUSTOMER_INITATED_SUPPORT limita a capacidade da equipe do Google de responder a tíquetes de suporte na rara ocasião em que seu tíquete de suporte exigir acesso a informações confidenciais do cliente. Os tíquetes de suporte normalmente não exigem esse acesso, e nossa equipe de suporte de linha de frente não tem.
Negar o acesso a solicitações com o motivo GOOGLE_INITIATED_SERVICE reduz a disponibilidade e a confiabilidade do serviço e inibe a capacidade do Google de se recuperar de interrupções.

Conferir as justificativas para as chaves EKM

Use o console do Google Cloud para conferir as justificativas de acesso às chaves enviadas ao gerenciador de chaves externo quando seus dados são acessados. Para acessar a justificativa, primeiro ative os Registros de auditoria do Cloud com o Cloud KMS no projeto que contém a chave usada para criptografia.

Depois que você concluir a configuração, os Registros de auditoria do Cloud também incluirão a justificativa usada na solicitação externa para operações criptográficas. Ela está incluída nos registros de acesso a dados na chave de recurso, nas entradas metadata para protoPayload. Para mais informações sobre esses campos, consulte Noções básicas sobre registros de auditoria. Para mais informações sobre como usar os registros de auditoria do Cloud com o Cloud KMS, consulte Informações sobre registros de auditoria do Cloud KMS.

Observe que, ao contrário da justificativa compartilhada com o gerenciador de chaves externo, a justificativa nos Registros de auditoria do Cloud não pode ser usada para aprovar ou negar a operação criptográfica associada. O Google Cloud só registra a justificativa após a conclusão da operação. Portanto, os registros no Google Cloud precisam ser usados principalmente para manutenção de registros.

Confira as justificativas para o Cloud HSM e as chaves de software

Quando o Cloud HSM e as chaves de software configuradas com Justificativas de acesso às chaves são usadas para executar operações de criptografia ou descriptografia, é possível visualizar os registros de auditoria do Cloud KMS para conferir as seguintes informações:

key_access_justification: o código de justificativa associado à solicitação.
key_access_justification_policy_metadata: os metadados da política de justificativas de acesso às chaves para a chave que contém as seguintes informações:
- customer_configured_policy_enforced: indica se a política de justificativas de acesso às chaves definida na chave foi aplicada para a operação.
- customer_configured_policy: indica os códigos de justificativa que permitem o acesso à chave.
- justification_propagated_to_ekm: indica se a solicitação de acesso foi propagada para o gerenciador de chaves externo (se configurado).

O exemplo a seguir demonstra uma entrada de registro de auditoria do Cloud KMS para uma chave do Cloud HSM configurada com Justificativas de acesso às chaves:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }