Diese Seite wurde von der Cloud Translation API übersetzt.

Begründungen ansehen und entsprechend reagieren

Auf dieser Seite wird beschrieben, wie Sie Begründungen ansehen und darauf reagieren können, die über „Key Access Justifications“ gesendet werden, um Zugriff auf Ihre Verschlüsselungsschlüssel anzufordern. Wann immer Ihre Informationen verschlüsselt oder entschlüsselt ist, sendet Key Access Justifications Ihnen eine Begründung mit den Grund für den Zugriff. Wie Sie Begründungen aufrufen und darauf reagieren, hängt davon ab, welche Art von Schlüsseln Sie mit Key Access Justifications verwenden:

Für extern verwaltete Schlüssel kann der Cloud EKM-Partner den Möglichkeit, eine Richtlinie festzulegen, die Zugriffsanfragen automatisch genehmigt oder ablehnt je nach Inhalt der Begründungen. Weitere Informationen zum Festlegen einer Richtlinie finden Sie in der entsprechenden Dokumentation für den ausgewählten Schlüsselmanager. Die folgende Partner unterstützen Key Access Justifications:
- Fortanix
- Thales
Für alle Schlüssel, die mit Richtlinien für Key Access Justifications konfiguriert sind, unabhängig vom Schlüsseltyp, können Sie Zugriffsanfragen in den Cloud KMS-Audit-Logs ansehen.

Wenn Sie den Zugriff verweigern, können Google-Mitarbeiter Ihnen bei einem vertraglich vereinbarten Dienst möglicherweise nicht helfen. Beispiel:

Wenn Sie den Zugriff aus den Gründen CUSTOMER_INITIATED_ACCESS oder GOOGLE_INITIATED_SYSTEM_OPERATION verweigern, ist Ihr Dienst nicht mehr verfügbar.
Wenn Sie den Zugriff aufgrund von CUSTOMER_INITATED_SUPPORT verweigern, können Google-Mitarbeiter in seltenen Fällen, in denen Ihr Supportticket Zugriff auf vertrauliche Kundendaten erfordert, nicht auf Supporttickets antworten. Für Supporttickets ist dieser Zugriff in der Regel nicht erforderlich und unsere Supportmitarbeiter haben diesen Zugriff nicht.
Wenn Sie den Zugriff für eine Anfrage mit dem Grund GOOGLE_INITIATED_SERVICE verweigern, wird die Verfügbarkeit und Zuverlässigkeit des Dienstes reduziert und die Fähigkeit von Google, nach Ausfällen wiederherzustellen, wird beeinträchtigt.

Begründungen für EKM-Schlüssel ansehen

In der Google Cloud Console können Sie die Key Access Justifications für die Begründung (Key Access Justifications) aufrufen wird an Ihr externes Schlüsselverwaltungssystem gesendet, wenn auf Ihre Daten zugegriffen wird. So greifen Sie auf die Begründung: Sie müssen zuerst Cloud-Audit-Logs mit Cloud KMS aktivieren. für das Projekt, das den für die Verschlüsselung verwendeten Schlüssel enthält.

Nach Abschluss der Einrichtung enthalten die Cloud-Audit-Logs auch die Begründung, die in der externen Anfrage für kryptografische Vorgänge verwendet wurde. Die Begründung ist in den Datenzugriffslogs für den Ressourcenschlüssel enthalten, Die metadata-Einträge für protoPayload. Weitere Informationen zu diesen Feldern Siehe Audit-Logs verstehen. Weitere Informationen zur Verwendung von Cloud-Audit-Logs mit Cloud KMS finden Sie unter Informationen zum Audit-Logging in Cloud KMS.

Im Gegensatz zur Begründung, die mit dem externen Schlüsselverwaltungssystem geteilt wird, kann die Begründung in den Cloud-Audit-Logs nicht verwendet werden, um den zugehörigen kryptografischen Vorgang zu genehmigen oder abzulehnen. In Google Cloud wird die Begründung erst nach Abschluss des Vorgangs protokolliert. Daher müssen die Logs in Google Cloud in erster Linie für die Aufbewahrung von Unterlagen verwendet wird.

Begründungen für Cloud HSM und Softwareschlüssel ansehen

Wenn Cloud HSM- und Softwareschlüssel, die mit Begründungen für den Schlüsselzugriff konfiguriert wurden, zum Ausführen von Verschlüsselungs- oder Entschlüsselungsvorgängen verwendet wurden, können Sie in den Cloud KMS-Audit-Logs die folgenden Informationen abrufen:

key_access_justification: Der Begründungscode, der mit der Anfrage verknüpft ist.
key_access_justification_policy_metadata: Die Metadaten der Richtlinie „Key Access Justifications“ für den Schlüssel mit den folgenden Informationen:
- customer_configured_policy_enforced: gibt an, ob der Die für den Schlüssel festgelegte Richtlinie für Key Access Justifications wurde für den Vorgang erzwungen.
- customer_configured_policy: Gibt die Begründungscodes an, die das Zugriff auf den Schlüssel.
- justification_propagated_to_ekm: Gibt an, ob die Zugriffsanfrage an den externen Schlüsselmanager weitergegeben wurde (falls konfiguriert).

Das folgende Beispiel zeigt einen Cloud KMS-Audit-Logeintrag für eine Cloud HSM-Schlüssel, der mit Key Access Justifications konfiguriert wurde:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }