Afficher les justifications et agir en conséquence
Cette page explique comment consulter les justifications de Key Access Justifications et prendre les mesures adéquates. envoie pour demander l'accès à vos clés de chiffrement. Chaque fois que vos informations sont chiffrées ou déchiffrées, Key Access Justifications vous envoie une justification décrivant le motif de l'accès. La façon dont vous consultez et réagissez aux justifications dépend du type de clés que vous utilisez avec Key Access Justifications :
- Pour les clés gérées en externe, le partenaire Cloud EKM peut vous permettre de définir une règle qui approuve ou refuse automatiquement les demandes d'accès en fonction du contenu des justifications. Pour en savoir plus sur la définition d'une stratégie, consultez la documentation du gestionnaire de clés choisi. La
Les partenaires suivants sont compatibles avec Key Access Justifications:
- Fortanix
- Thales
- Pour toutes les clés configurées avec des stratégies de justification d'accès aux clés, quel que soit le type de clé, vous pouvez afficher les requêtes d'accès dans les journaux d'audit Cloud KMS.
Si vous refusez l'accès, le personnel de Google risque de ne pas pouvoir vous aider sous contrat. Exemple :
- Refus de l'accès pour les requêtes pour les motifs suivants :
CUSTOMER_INITIATED_ACCESS
ouGOOGLE_INITIATED_SYSTEM_OPERATION
entraîne le passage à indisponible. - Refuser l'accès pour les demandes avec le motif
CUSTOMER_INITATED_SUPPORT
limite la capacité du personnel Google à répondre aux demandes d'assistance dans les rares cas où votre demande d'assistance nécessite l'accès à des informations client sensibles. En général, les demandes d'assistance ne nécessitent pas cet accès. Nos le personnel d'assistance de première ligne n'y a pas accès. - Refus de la demande pour le motif suivant :
GOOGLE_INITIATED_SERVICE
réduit la disponibilité et la fiabilité des services, et empêche Google de prendre en compte à la reprise après les pannes.
Afficher les justifications des clés EKM
Vous pouvez utiliser la console Google Cloud pour afficher Key Access Justifications envoie à votre gestionnaire de clés externe lorsque vos données font l'objet d'un accès. Pour accéder à la justification, vous devez d'abord activer les journaux d'audit Cloud avec Cloud KMS sur le projet contenant la clé utilisée pour le chiffrement.
Une fois la configuration terminée, les journaux d'audit Cloud incluent également la justification utilisée dans la requête externe pour les opérations cryptographiques. La justification est incluse dans les journaux d'accès aux données sur la clé de ressource, dans les entrées metadata
pour protoPayload
. Pour en savoir plus sur ces champs, consultez la section Comprendre les journaux d'audit.
Pour en savoir plus sur l'utilisation de Cloud Audit Logs avec Cloud KMS, consultez la page Informations sur la journalisation d'audit Cloud KMS.
Notez que, contrairement à la justification partagée avec le gestionnaire de clés externe, la justification dans les journaux d'audit Cloud ne peut pas être utilisée pour approuver ou refuser l'opération cryptographique associée. Google Cloud ne journalise que la justification une fois l'opération terminée. Par conséquent, les journaux dans Google Cloud doivent être utilisé principalement pour la tenue de registres.
Afficher les justifications pour les clés Cloud HSM et logicielles
Lorsque des clés logicielles et des Cloud HSM configurés avec des justifications d'accès aux clés ont été utilisés pour effectuer des opérations de chiffrement ou de déchiffrement, vous pouvez consulter les journaux d'audit Cloud KMS pour afficher les informations suivantes :
key_access_justification
: code de justification associé à la requête.key_access_justification_policy_metadata
: métadonnées de la règle Key Access Justifications pour la clé contenant les informations suivantes:customer_configured_policy_enforced
: indique si la règle Key Access Justifications définie sur la clé a été appliquée ou non pour l'opération.customer_configured_policy
: indique les codes de justification qui autorisent l'accès à la clé.justification_propagated_to_ekm
: indique si la requête d'accès a été propagée au gestionnaire de clés externe (si configuré).
L'exemple suivant illustre une entrée de journal d'audit Cloud KMS pour une clé Cloud HSM configurée avec des justifications d'accès aux clés :
{ @type: "type.googleapis.com/google.cloud.audit.AuditLog" (...) metadata: { entries: { key_access_justification: { @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext" reason: "CUSTOMER_INITIATED_ACCESS" } key_access_justification_policy_metadata: { customer_configured_policy_enforced: "true" customer_configured_policy: { allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"] } justification_propagated_to_ekm: "false" } } } methodName: "useVersionToDecrypt" serviceName: "cloudkms.googleapis.com" (...) }