Halaman ini diterjemahkan oleh Cloud Translation API.

Melihat dan menindaklanjuti justifikasi

Halaman ini menjelaskan cara melihat dan menindaklanjuti justifikasi yang dikirim Justifikasi Akses Kunci untuk meminta akses ke kunci enkripsi Anda. Setiap kali informasi Anda dienkripsi atau didekripsi, Key Access Justifications akan mengirimkan justifikasi yang menjelaskan alasan akses tersebut. Cara Anda melihat dan menindaklanjuti justifikasi bergantung pada jenis kunci yang Anda gunakan dengan Key Access Justifications:

Untuk kunci yang dikelola secara eksternal, partner Cloud EKM dapat memberikan kemampuan untuk menetapkan kebijakan yang otomatis menyetujui atau menolak permintaan akses berdasarkan konten justifikasi. Untuk mengetahui informasi selengkapnya tentang cara menetapkan kebijakan, lihat dokumentasi yang relevan untuk pengelola kunci yang Anda pilih. Partner berikut mendukung Key Access Justifications:
- Fortanix
- Thales
Untuk semua kunci yang dikonfigurasi dengan kebijakan Key Access Justifications—terlepas dari jenis kunci—Anda dapat melihat permintaan akses di log audit Cloud KMS.

Menolak akses dapat menghambat kemampuan personel Google untuk membantu Anda terkait layanan yang dikontrak. Contoh:

Menolak akses untuk permintaan dengan alasan CUSTOMER_INITIATED_ACCESS atau GOOGLE_INITIATED_SYSTEM_OPERATION akan menyebabkan layanan Anda tidak tersedia.
Menolak akses untuk permintaan dengan alasan CUSTOMER_INITATED_SUPPORT akan membatasi kemampuan personel Google untuk merespons tiket dukungan pada kasus yang jarang terjadi saat tiket dukungan Anda memerlukan akses ke informasi pelanggan yang sensitif. Tiket dukungan biasanya tidak memerlukan akses ini dan personel dukungan lini depan kami tidak memiliki akses ini.
Menolak akses untuk permintaan dengan alasan GOOGLE_INITIATED_SERVICE akan mengurangi ketersediaan dan keandalan layanan serta menghambat kemampuan Google untuk pulih dari pemadaman.

Melihat justifikasi untuk kunci EKM

Anda dapat menggunakan konsol Google Cloud untuk melihat justifikasi yang dikirim Key Access Justifications ke pengelola kunci enkripsi eksternal saat data Anda diakses. Untuk mengakses justifikasi, Anda harus mengaktifkan Log Audit Cloud dengan Cloud KMS terlebih dahulu di project yang berisi kunci yang digunakan untuk enkripsi.

Setelah Anda menyelesaikan penyiapan, Cloud Audit Logs juga menyertakan justifikasi yang digunakan dalam permintaan eksternal untuk operasi kriptografis. Justifikasi disertakan dalam log Akses Data pada kunci resource, dalam entri metadata untuk protoPayload. Untuk informasi selengkapnya tentang kolom ini, lihat Memahami log audit. Untuk informasi selengkapnya tentang penggunaan Cloud Audit Logs dengan Cloud KMS, lihat Informasi logging audit Cloud KMS.

Perhatikan bahwa tidak seperti justifikasi yang dibagikan kepada pengelola kunci enkripsi eksternal, justifikasi dalam Log Audit Cloud tidak dapat digunakan untuk menyetujui atau menolak operasi kriptografis terkait. Google Cloud mencatat justifikasi hanya setelah operasi selesai. Oleh karena itu, log di Google Cloud harus digunakan terutama untuk pencatatan.

Melihat justifikasi untuk Cloud HSM dan kunci software

Jika kunci software dan Cloud HSM yang dikonfigurasi dengan Key Access Justifications telah digunakan untuk melakukan operasi enkripsi atau dekripsi, Anda dapat melihat log audit Cloud KMS untuk melihat informasi berikut:

key_access_justification: Kode justifikasi yang terkait dengan permintaan.
key_access_justification_policy_metadata: Metadata kebijakan Key Access Justifications untuk kunci yang berisi informasi berikut:
- customer_configured_policy_enforced: Menunjukkan apakah kebijakan Key Access Justifications yang ditetapkan pada kunci diterapkan untuk operasi atau tidak.
- customer_configured_policy: Menunjukkan kode justifikasi yang mengizinkan akses ke kunci.
- justification_propagated_to_ekm: Menunjukkan apakah permintaan akses di-propagasi ke pengelola kunci eksternal (jika dikonfigurasi).

Contoh berikut menunjukkan entri log audit Cloud KMS untuk kunci Cloud HSM yang dikonfigurasi dengan Key Access Justifications:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }