Questa pagina è stata tradotta dall'API Cloud Translation.

Visualizzare le motivazioni e intervenire

Questa pagina descrive come visualizzare e intervenire sulle giustificazioni che Key Access Justifications invia per richiedere l'accesso alle tue chiavi di crittografia. Ogni volta che le tue informazioni criptato o decriptato, Key Access Justifications ti invia una giustificazione che descrive motivo dell'accesso. Il modo in cui visualizzi le giustificazioni e agisci in base alle il tipo di chiavi che stai utilizzando con Key Access Justifications:

Per le chiavi gestite esternamente, il partner Cloud EKM può fornire la possibilità di impostare un criterio che approva o nega automaticamente le richieste di accesso in base al contenuto delle giustificazioni. Per ulteriori informazioni sull'impostazione un criterio, consulta la documentazione pertinente per il gestore di chiavi che hai scelto. La i seguenti partner supportano Key Access Justifications:
- Fortanix
- Thales
Per tutte le chiavi configurate con criteri Key Access Justifications, indipendentemente dalle chiavi tipo: puoi visualizzare le richieste di accesso in Cloud KMS e gli audit log.

Negare l'accesso può compromettere la capacità del personale Google di aiutarti con con il servizio contrattuale. Ad esempio:

Negazione dell'accesso per richieste con motivi CUSTOMER_INITIATED_ACCESS o GOOGLE_INITIATED_SYSTEM_OPERATION fa sì che il tuo servizio diventi non disponibile.
Rifiuto dell'accesso per le richieste con motivo CUSTOMER_INITATED_SUPPORT limita la capacità del personale Google di rispondere alle richieste di assistenza sul rare occasioni in cui il ticket di assistenza richiede l'accesso a un cliente sensibile informazioni. I ticket di assistenza in genere non richiedono questo accesso e i nostri il personale di assistenza a contatto con il pubblico non ha questo accesso.
Rifiuto dell'accesso per la richiesta con il motivo GOOGLE_INITIATED_SERVICE riduce la disponibilità e l'affidabilità dei servizi e inibisce la capacità di Google in caso di interruzione del servizio.

Visualizza le giustificazioni per le chiavi EKM

Puoi utilizzare la console Google Cloud per visualizzare le motivazioni di Key Access Justifications vengono inviate al gestore chiavi esterno quando accedi ai tuoi dati. Per accedere al giustificazione, devi prima abilitare Cloud Audit Logs con Cloud KMS del progetto contenente la chiave usata per la crittografia.

Dopo aver completato la configurazione, Cloud Audit Logs include anche giustificazione utilizzata nella richiesta esterna per le operazioni crittografiche. La la giustificazione è inclusa nei log di accesso ai dati sulla chiave della risorsa, le voci metadata per protoPayload. Per ulteriori informazioni su questi campi, consulta Informazioni sugli audit log. Per ulteriori informazioni sull'uso di Cloud Audit Logs con Cloud KMS, consulta Informazioni sugli audit log di Cloud KMS.

Tieni presente che, a differenza della giustificazione condivisa con il gestore di chiavi esterno, in Cloud Audit Logs non può essere utilizzata per approvare o rifiutare dell'operazione crittografica associata. Google Cloud registra solo la giustificazione al termine dell'operazione. Di conseguenza, i log in Google Cloud devono utilizzati principalmente per la conservazione dei registri.

Visualizza le giustificazioni per Cloud HSM e le chiavi software

Quando Cloud HSM e chiavi software configurate con Key Access Justifications utilizzate per eseguire operazioni di crittografia o decriptazione, puoi visualizzare Audit log di Cloud KMS per visualizza le seguenti informazioni:

key_access_justification: il codice di giustificazione associati alla richiesta.
key_access_justification_policy_metadata: metadati del criterio Key Access Justifications della chiave contenente le seguenti informazioni:
- customer_configured_policy_enforced: indica se le Il criterio Key Access Justifications impostato nella chiave è stato applicato in modo forzato per l'operazione.
- customer_configured_policy: indica i codici di giustificazione che consentono l'accesso alla chiave.
- justification_propagated_to_ekm: indica se la richiesta di accesso è stata propagate al gestore di chiavi esterno (se configurato).

L'esempio seguente mostra una voce di audit log di Cloud KMS per un Chiave Cloud HSM configurata con Key Access Justifications:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }