Diese Seite wurde von der Cloud Translation API übersetzt.

Begründungen ansehen und entsprechende Maßnahmen ergreifen

Auf dieser Seite wird beschrieben, wie Sie Begründungen von Key Access Justifications abrufen und entsprechende Maßnahmen ergreifen können. sendet, um Zugriff auf Ihre Verschlüsselungsschlüssel anzufordern. Wann immer Ihre Informationen verschlüsselt oder entschlüsselt ist, sendet Key Access Justifications Ihnen eine Begründung mit den Grund für den Zugriff. Wie Sie Begründungen sehen und darauf reagieren, hängt davon ab, Schlüsseltyp, den Sie mit Key Access Justifications verwenden:

Für extern verwaltete Schlüssel kann der Cloud EKM-Partner den Möglichkeit, eine Richtlinie festzulegen, die Zugriffsanfragen automatisch genehmigt oder ablehnt je nach Inhalt der Begründungen. Weitere Informationen zum finden Sie in der entsprechenden Dokumentation für den gewählten Key Manager. Die folgende Partner unterstützen Key Access Justifications: <ph type="x-smartling-placeholder">
- Fortanix
- Thales
Für alle Schlüssel, die mit Key Access Justifications-Richtlinien konfiguriert wurden – unabhängig vom Schlüssel Typ: Sie können sich Zugriffsanfragen im Cloud KMS ansehen. Audit-Logs.

Wenn Sie den Zugriff verweigern, können Google-Mitarbeiter Ihnen eventuell nicht mehr bei einem bestimmten freiberuflichen Service. Beispiel:

Zugriffsverweigerung bei Anfragen mit folgenden Gründen: CUSTOMER_INITIATED_ACCESS oder GOOGLE_INITIATED_SYSTEM_OPERATION führt dazu, dass Ihr Dienst nicht verfügbar.
Zugriff wird für Anfragen mit dem Grund CUSTOMER_INITATED_SUPPORT verweigert schränkt die Fähigkeit von Google-Mitarbeitern ein, Support-Tickets auf der seltene Fälle, in denen für Ihr Support-Ticket Zugang zu vertraulichen Kundendaten erforderlich ist Informationen. Für Support-Tickets ist dieser Zugriff in der Regel nicht erforderlich. Frontline-Supportmitarbeiter haben keinen Zugriff darauf.
Zugriff wird für Anfrage mit dem Grund GOOGLE_INITIATED_SERVICE verweigert die Verfügbarkeit und Zuverlässigkeit von Diensten verringert und Google daran hindert, die Wiederherstellung nach Ausfällen.

Begründungen für EKM-Schlüssel ansehen

In der Google Cloud Console können Sie die Key Access Justifications für die Begründung (Key Access Justifications) aufrufen wird an Ihr externes Schlüsselverwaltungssystem gesendet, wenn auf Ihre Daten zugegriffen wird. So greifen Sie auf die Begründung: Sie müssen zuerst Cloud-Audit-Logs mit Cloud KMS aktivieren. für das Projekt, das den für die Verschlüsselung verwendeten Schlüssel enthält.

Nachdem Sie die Einrichtung abgeschlossen haben, enthalten die Cloud-Audit-Logs auch die Begründung, die in der externen Anfrage für kryptografische Vorgänge verwendet wird. Die Begründung ist in den Datenzugriffslogs für den Ressourcenschlüssel enthalten, Die metadata-Einträge für protoPayload. Weitere Informationen zu diesen Feldern Siehe Audit-Logs verstehen. Weitere Informationen zur Verwendung von Cloud-Audit-Logs mit Cloud KMS finden Sie unter Informationen zum Audit-Logging in Cloud KMS.

Im Gegensatz zur Begründung, die mit dem External Key Manager geteilt wird, Begründung in den Cloud-Audit-Logs nicht verwendet werden kann, um den damit verbundenen kryptografischen Vorgang. Google Cloud protokolliert nur die Begründung nachdem der Vorgang abgeschlossen ist. Daher müssen die Logs in Google Cloud in erster Linie für die Aufbewahrung von Daten verwendet wird.

Begründungen für Cloud HSM und Softwareschlüssel ansehen

Wenn Cloud HSM und Softwareschlüssel mit Key Access Justifications konfiguriert für Verschlüsselungs- oder Entschlüsselungsvorgänge verwendet werden, Cloud KMS-Audit-Logs nach die folgenden Informationen anzeigen:

key_access_justification: Die Begründungscode die mit der Anfrage verknüpft sind.
key_access_justification_policy_metadata: Metadaten der Richtlinie „Key Access Justifications“ für den Schlüssel mit den folgenden Informationen:
- customer_configured_policy_enforced: gibt an, ob der Die für den Schlüssel festgelegte Richtlinie für Key Access Justifications wurde für den Vorgang erzwungen.
- customer_configured_policy: Gibt die Begründungscodes an, die das Zugriff auf den Schlüssel.
- justification_propagated_to_ekm: Gibt an, ob die Zugriffsanfrage an das externe Schlüsselverwaltungssystem weitergegeben werden (falls konfiguriert).

Das folgende Beispiel zeigt einen Cloud KMS-Audit-Logeintrag für eine Cloud HSM-Schlüssel, der mit Key Access Justifications konfiguriert wurde:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }