Afficher les justifications et agir en conséquence

Cette page explique comment afficher et traiter les justifications envoyées par Key Access Justifications pour demander l'accès à vos clés de chiffrement. Chaque fois que vos informations sont chiffrées ou déchiffrées, Key Access Justifications vous envoie une justification décrivant le motif de l'accès. La façon dont vous consultez et réagissez aux justifications dépend du type de clés que vous utilisez avec Key Access Justifications :

  • Pour les clés gérées en externe, le partenaire Cloud EKM peut vous permettre de définir une règle qui approuve ou refuse automatiquement les demandes d'accès en fonction du contenu des justifications. Pour en savoir plus sur la configuration une règle, consultez la documentation pertinente pour le gestionnaire de clés que vous avez choisi. Les partenaires suivants acceptent les justifications d'accès aux clés :
    • Fortanix
    • Thales
  • Pour toutes les clés configurées avec des règles Key Access Justifications, quelle que soit la clé vous pouvez afficher les demandes d'accès dans Cloud KMS les journaux d'audit.

Si vous leur refusez l'accès, le personnel de Google risque de ne pas pouvoir vous aider sous contrat. Exemple :

  • Si vous refuser les accès motivés par CUSTOMER_INITIATED_ACCESS ou GOOGLE_INITIATED_SYSTEM_OPERATION, votre service devient indisponible.
  • Refuser l'accès pour les demandes avec le motif CUSTOMER_INITATED_SUPPORT limite la capacité du personnel Google à répondre aux demandes d'assistance dans les rares cas où votre demande d'assistance nécessite l'accès à des informations client sensibles. En général, les demandes d'assistance ne nécessitent pas cet accès. Nos le personnel d'assistance de première ligne n'y a pas accès.
  • Refus de la demande pour le motif suivant : GOOGLE_INITIATED_SERVICE réduit la disponibilité et la fiabilité des services, et empêche Google de prendre en compte à la reprise après les pannes.

Afficher les justifications pour les clés EKM

Vous pouvez utiliser la console Google Cloud pour afficher la justification que Key Access Justifications envoie à votre gestionnaire de clés externe lorsque vos données sont consultées. Pour accéder au vous devez d'abord activer Cloud Audit Logs avec Cloud KMS sur le projet contenant la clé utilisée pour le chiffrement.

Une fois la configuration terminée, les journaux d'audit Cloud incluent également la justification utilisée dans la requête externe pour les opérations cryptographiques. La justification est incluse dans les journaux d'accès aux données sur la clé de ressource, dans les entrées metadata pour protoPayload. Pour en savoir plus sur ces champs, consultez la section Comprendre les journaux d'audit. Pour en savoir plus sur l'utilisation de Cloud Audit Logs avec Cloud KMS, consultez la page Informations sur les journaux d'audit Cloud KMS

Notez que, contrairement à la justification partagée avec le gestionnaire de clés externe, la justification dans les journaux d'audit Cloud ne peut pas être utilisée pour approuver ou refuser l'opération cryptographique associée. Google Cloud n'enregistre la justification qu'une fois l'opération terminée. Par conséquent, les journaux de Google Cloud doivent être utilisés principalement à des fins de conservation.

Afficher les justifications pour les clés Cloud HSM et logicielles

Quand Cloud HSM et des clés logicielles configurées avec Key Access Justifications utilisés pour effectuer des opérations de chiffrement ou de déchiffrement, vous pouvez consulter Journaux d'audit Cloud KMS affichez les informations suivantes:

  • key_access_justification: le code de justification associées à la demande.
  • key_access_justification_policy_metadata : métadonnées de la stratégie Key Access Justifications pour la clé contenant les informations suivantes :
    • customer_configured_policy_enforced : indique si la règle Key Access Justifications définie sur la clé a été appliquée ou non pour l'opération.
    • customer_configured_policy : indique les codes de justification permettant d'accéder à la clé.
    • justification_propagated_to_ekm: indique si la demande d'accès a été propagées vers le gestionnaire de clés externe (s'il est configuré).

L'exemple suivant illustre une entrée de journal d'audit Cloud KMS pour une clé Cloud HSM configurée avec des justifications d'accès aux clés :

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }