Se usó la API de Cloud Translation para traducir esta página.

Ver justificaciones y tomar medidas al respecto

En esta página, se describe cómo puedes ver las justificaciones que Key Access Justifications envía para solicitar acceso a tus claves de encriptación y tomar medidas al respecto. Cada vez que tu información se encripta o se desencripta, Key Access Justifications te envía una justificación en la que se describe el motivo del acceso. La forma en que ves las justificaciones y actúas en función del tipo de claves que usas con Key Access Justifications:

Para las claves administradas de forma externa, el socio de Cloud EKM puede proporcionar la capacidad de establecer una política que apruebe o deniegue automáticamente las solicitudes de acceso según el contenido de las justificaciones. Para obtener más información sobre cómo establecer una política, consulta la documentación relevante del administrador de claves elegido. Los siguientes socios admiten Key Access Justifications:
- Fortanix
- Thales
Para todas las claves configuradas con políticas de Key Access Justifications, sin importar el tipo, puedes ver las solicitudes de acceso en los registros de auditoría de Cloud KMS.

Denegar el acceso puede obstaculizar la capacidad del personal de Google de ayudarte con un servicio contratado. Por ejemplo:

La denegación del acceso a las solicitudes con motivos CUSTOMER_INITIATED_ACCESS o GOOGLE_INITIATED_SYSTEM_OPERATION hace que el servicio deje de estar disponible.
Denegar el acceso a las solicitudes con el motivo de CUSTOMER_INITATED_SUPPORT limita la capacidad del personal de Google para responder a los tickets de asistencia en la rara ocasión en que tu ticket de asistencia requiera acceso a información sensible del cliente. Por lo general, los tickets de asistencia no requieren este acceso y nuestro personal de asistencia de primera línea no tiene este acceso.
Denegar el acceso a la solicitud con el motivo GOOGLE_INITIATED_SERVICE reduce la disponibilidad y confiabilidad del servicio y, además, inhibe la capacidad de Google de recuperarse de las interrupciones.

Ver justificaciones para las claves de EKM

Puedes usar la consola de Google Cloud para ver las justificaciones de Key Access Justifications que envía a tu administrador de claves externo cuando se accede a tus datos. Para acceder a la justificación, primero debes habilitar los Registros de auditoría de Cloud con Cloud KMS en el proyecto que contiene la clave que se usó para la encriptación.

Después de completar la configuración, los registros de auditoría de Cloud también incluyen la justificación que se usa en la solicitud externa para las operaciones criptográficas. La justificación se incluye en los registros de acceso a los datos de la clave del recurso, en las entradas metadata de protoPayload. Para obtener más información sobre estos campos, consulta Comprende los registros de auditoría. Para obtener más información sobre el uso de Registros de auditoría de Cloud con Cloud KMS, consulta la información de registros de auditoría de Cloud KMS.

Ten en cuenta que, a diferencia de la justificación compartida con el administrador de claves externo, la justificación en los registros de auditoría de Cloud no se puede usar para aprobar o rechazar la operación criptográfica asociada. Google Cloud registra la justificación solo después de que se completa la operación. Por eso, los registros en Google Cloud deben usarse principalmente para el mantenimiento de registros.

Ve justificaciones para Cloud HSM y claves de software

Cuando Cloud HSM y las claves de software configuradas con Key Access Justifications se usan para realizar operaciones de encriptación o desencriptación, puedes consultar los registros de auditoría de Cloud KMS para ver la siguiente información:

key_access_justification: Es el código de justificación asociado con la solicitud.
key_access_justification_policy_metadata: Son los metadatos de la política de Key Access Justifications para la clave que contiene la siguiente información:
- customer_configured_policy_enforced: Indica si se aplicó o no la política de Key Access Justifications en la clave para la operación.
- customer_configured_policy: Indica los códigos de justificación que permiten el acceso a la clave.
- justification_propagated_to_ekm: Indica si la solicitud de acceso se propagó al administrador de claves externo (si está configurado).

En el siguiente ejemplo, se muestra una entrada de registro de auditoría de Cloud KMS de una clave de Cloud HSM configurada con Key Access Justifications:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }