此页面由 Cloud Translation API 翻译。

查看理由并据此采取行动

本页介绍了如何查看 Key Access Justifications 发送的理由以请求对您的加密密钥的访问权限，并采取相应措施。每当您的信息被加密或解密时，Key Access Justifications 都会向您发送说明访问原因的正当理由。您查看和处理理由的方式取决于您与 Key Access Justifications 配合使用的密钥类型：

对于由外部管理的密钥，Cloud EKM 合作伙伴可能会提供相关功能，让您能够设置一项政策，以根据理由内容自动批准或拒绝访问请求。如需详细了解如何设置政策，请参阅所选密钥管理器的相关文档。以下合作伙伴支持 Key Access Justifications：
- Fortanix
- Thales
对于使用 Key Access Justifications 政策配置的所有密钥（无论密钥类型如何），您可以在 Cloud KMS 审核日志中查看访问请求。

拒绝访问权限可能会妨碍 Google 员工帮助您使用合同服务。例如：

如果出于 CUSTOMER_INITIATED_ACCESS 或 GOOGLE_INITIATED_SYSTEM_OPERATION 原因拒绝访问请求，将导致您的服务变得不可用。
在支持服务工单需要访问敏感客户信息的极少数情况下，由于 CUSTOMER_INITATED_SUPPORT 拒绝请求的访问权限会限制 Google 员工响应支持服务工单的能力。支持服务工单通常不需要此权限，我们的一线支持人员也没有此访问权限。
出于 GOOGLE_INITIATED_SERVICE 原因拒绝访问请求会降低服务可用性和可靠性，并妨碍 Google 从中断中恢复的能力。

查看 EKM 密钥的理由

您可以使用 Google Cloud 控制台查看在访问您的数据时 Key Access Justifications 向您的外部密钥管理器发送的理由。如需访问理由，您首先需要使用 Cloud KMS 对包含用于加密的密钥的项目启用 Cloud Audit Logs。

完成设置后，Cloud Audit Logs 还包含外部加密操作请求中使用的理由。理由包含在资源密钥的数据访问日志中 protoPayload 的 metadata 条目中。如需详细了解这些字段，请参阅了解审核日志。如需详细了解如何将 Cloud Audit Logs 与 Cloud KMS 搭配使用，请参阅 Cloud KMS 审核日志记录信息。

请注意，与与外部密钥管理器共享的理由不同，Cloud Audit Logs 中的理由不能用于批准或拒绝关联的加密操作。只有在操作完成后，Google Cloud 才会记录理由。因此，Google Cloud 中的日志必须主要用于保存记录。

查看使用 Cloud HSM 和软件密钥的理由

使用使用 Key Access Justifications 配置的 Cloud HSM 和软件密钥执行加密或解密操作后，您可以查看 Cloud KMS 审核日志来了解以下信息：

key_access_justification：与请求关联的理由代码。
key_access_justification_policy_metadata：密钥的 Key Access Justifications 政策元数据，其中包含以下信息：
- customer_configured_policy_enforced：指示是否对操作强制执行在密钥上设置的 Key Access Justifications 政策。
- customer_configured_policy：表示允许访问密钥的理由代码。
- justification_propagated_to_ekm：指示访问请求是否已传播到外部密钥管理器（如果已配置）。

以下示例演示了使用 Key Access Justifications 配置的 Cloud HSM 密钥的 Cloud KMS 审核日志条目：

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }