Se usó la API de Cloud Translation para traducir esta página.

Ver justificaciones y tomar medidas al respecto

En esta página, se describe cómo puedes ver las justificaciones que requieren Key Access Justifications y tomar medidas al respecto. para solicitar acceso a tus claves de encriptación. Siempre que su información encriptado o desencriptado, Key Access Justifications te envía una justificación en la que se describe el el motivo del acceso. La forma en que ves y actúas sobre las justificaciones depende del tipo de claves que usas con Key Access Justifications:

Para las claves administradas de forma externa, el socio de Cloud EKM puede proporcionar el capacidad para establecer una política que apruebe o rechace automáticamente las solicitudes de acceso en función del contenido de las justificaciones. Más información sobre la configuración una política, consulta la documentación relevante del administrador de claves elegido. El los siguientes socios admiten Key Access Justifications:
- Fortanix
- Thales
Para todas las claves configuradas con políticas de Key Access Justifications, sin importar la clave puedes ver las solicitudes de acceso en Cloud KMS registros de auditoría de Cloud.

La denegación del acceso puede obstaculizar la capacidad del personal de Google de ayudarte con una servicio contratado. Por ejemplo:

Denegar el acceso a solicitudes con motivos CUSTOMER_INITIATED_ACCESS o GOOGLE_INITIATED_SYSTEM_OPERATION da como resultado que tu servicio sea no disponible.
Denega el acceso a las solicitudes debido a CUSTOMER_INITATED_SUPPORT. limita la capacidad del personal de Google de responder a los tickets de soporte del rara ocasión en que tu ticket de asistencia requiera acceso a un cliente información. Por lo general, los tickets de asistencia no requieren este acceso, y el personal de asistencia de primera línea no tiene este acceso.
Denegación de acceso a la solicitud con el motivo GOOGLE_INITIATED_SERVICE reduce la disponibilidad y confiabilidad del servicio e inhibe la capacidad de Google para recuperarse de las interrupciones.

Ver justificaciones para las claves de EKM

Puedes usar la consola de Google Cloud para ver las justificaciones de Key Access Justifications envía a tu administrador de claves externo cuando se accede a tus datos. Para acceder a la debes habilitar Registros de auditoría de Cloud con Cloud KMS en el proyecto que contiene la clave que se usó para la encriptación.

Después de completar la configuración, los Registros de auditoría de Cloud también incluyen justificación usada en la solicitud externa para operaciones criptográficas. El justificación se incluye en los registros de acceso a los datos en la clave del recurso, en las entradas metadata para protoPayload. Para obtener más información sobre estos campos, consulta Comprende los registros de auditoría. Para obtener más información sobre el uso de Registros de auditoría de Cloud con Cloud KMS, consulta Información de registro de auditoría de Cloud KMS.

Ten en cuenta que, a diferencia de la justificación compartida con el administrador de claves externo, el en los Registros de auditoría de Cloud no se puede usar para aprobar o rechazar operación criptográfica asociada. Google Cloud solo registra la justificación una vez finalizada la operación. Por lo tanto, los registros en Google Cloud deben usarse principalmente para llevar registros.

Ve justificaciones para Cloud HSM y claves de software

Cuando Cloud HSM y las claves de software con Key Access Justifications se usaron para realizar operaciones de encriptación o desencriptación, puedes ver el Registros de auditoría de Cloud KMS consulta la siguiente información:

key_access_justification: El código de justificación asociados con la solicitud.
key_access_justification_policy_metadata: Metadatos de la política de Key Access Justifications para la clave que contiene la siguiente información:
- customer_configured_policy_enforced: Indica si el elemento Se aplicó la política de Key Access Justifications establecida en la clave para la operación.
- customer_configured_policy: Indica los códigos de justificación que permiten acceso a la clave.
- justification_propagated_to_ekm: Indica si la solicitud de acceso fue se propagan al administrador de claves externo (si está configurado).

En el siguiente ejemplo, se muestra una entrada de registro de auditoría de Cloud KMS para un Clave de Cloud HSM configurada con Key Access Justifications:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }