Cette page a été traduite par l'API Cloud Translation.

Afficher les justifications et agir en conséquence

Cette page explique comment afficher les justifications envoyées par Key Access Justifications pour demander l'accès à vos clés de chiffrement et prendre les mesures adéquates.

Chaque fois que vos informations sont chiffrées ou déchiffrées, Key Access Justifications vous envoie une justification décrivant la raison de l'accès. Les logiciels de nos partenaires Cloud EKM vous permettent de définir une règle pour approuver ou refuser automatiquement l'accès en fonction du contenu des justifications. Pour en savoir plus sur la définition d'une règle, consultez la documentation correspondant au gestionnaire de clés que vous avez choisi. Les partenaires suivants sont compatibles avec Key Access Justifications:

Fortanix
Thales

Si vous refusez l'accès, le personnel de Google risque de ne pas pouvoir vous aider pour un service contractuel.

Si vous refusez l'accès des requêtes pour des motifs CUSTOMER_INITIATED_ACCESS ou GOOGLE_INITIATED_SYSTEM_OPERATION, votre service deviendra indisponible.
Si vous refusez l'accès aux requêtes pour le motif CUSTOMER_INITATED_SUPPORT, le personnel Google ne pourra plus répondre aux demandes d'assistance dans les rares cas où celle-ci nécessite un accès à des informations client sensibles (les demandes d'assistance ne nécessitent généralement pas cet accès, et notre personnel d'assistance de première ligne n'y a pas accès).
Le refus d'une requête pour le motif GOOGLE_INITIATED_SERVICE réduit la disponibilité et la fiabilité du service, et empêche Google de se rétablir après une panne.

Les codes de motif de justification répertoriés dans la section suivante couvrent des scénarios différents de ceux des codes Access Transparency. Ils ne doivent donc pas être mis en correspondance.

Afficher les justifications dans la console Google Cloud

Vous pouvez également utiliser la console Google Cloud pour afficher la justification envoyée par Key Access Justifications à votre gestionnaire de clés externe lorsque vos données sont consultées. Pour accéder à la justification, vous devez d'abord activer Cloud Audit Logs avec Cloud KMS sur le projet contenant la clé utilisée pour le chiffrement.

Une fois la configuration terminée, Cloud Audit Logs inclut également la justification utilisée dans la requête externe concernant les opérations de chiffrement. Cette justification apparaît dans les journaux d'accès aux données sur la clé de ressource, dans les entrées metadata pour protoPayload. Pour en savoir plus sur ces champs, consultez la section Comprendre les journaux d'audit. Pour en savoir plus sur l'utilisation de Cloud Audit Logs avec Cloud KMS, consultez la page Informations sur les journaux d'audit Cloud KMS.

Notez que contrairement à la justification partagée avec le gestionnaire de clés externe, la justification fournie dans Cloud Audit Logs ne peut pas être utilisée pour approuver ou refuser l'opération de chiffrement associée. Google Cloud ne consigne la justification qu'une fois l'opération terminée. Par conséquent, les journaux dans Google Cloud doivent être utilisés principalement à des fins d'archivage.