Afficher les justifications et y répondre

Cette page explique comment afficher et exploiter les justifications envoyées par Key Access Justifications pour demander l'accès à vos clés de chiffrement.

Chaque fois que vos informations sont chiffrées ou déchiffrées, Key Access Justifications vous en explique la raison. Les logiciels de nos partenaires Cloud EKM vous permettent de définir une règle pour approuver ou refuser automatiquement l'accès en fonction du contenu des justifications. Pour en savoir plus sur la définition d'une stratégie, consultez la documentation correspondant au gestionnaire de clés que vous avez choisi. Les partenaires suivants sont compatibles avec Key Access Justifications:

  • Fortanix
  • Thales

Le refus d'un accès peut entraver la capacité du personnel de Google à vous aider pour un service sous contrat.

  • Si vous refusez l'accès aux requêtes dont les motifs sont CUSTOMER_INITIATED_ACCESS, MODIFIED_CUSTOMER_INITIATED_ACCESS, GOOGLE_INITIATED_SYSTEM_OPERATION ou MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION, votre service deviendra indisponible.

  • Le refus des demandes d'assistance pour le motif suivant : CUSTOMER_INITATED_SUPPORT limite la capacité du personnel de Google à répondre aux demandes d'assistance dans les rares cas où votre demande d'assistance nécessite l'accès à des informations sensibles sur le client (les demandes d'assistance ne nécessitent généralement pas cet accès, et notre personnel d'assistance de première ligne ne dispose pas de cet accès).

  • Le refus de l'accès aux requêtes avec le motif GOOGLE_INITIATED_SERVICE réduit la disponibilité et la fiabilité du service, et empêche Google de se remettre des interruptions.

Les codes de motif de justification présentés dans la section suivante couvrent des scénarios différents de ceux des codes Access Transparency. Par conséquent, ne les faites pas correspondre.

Afficher les justifications dans la console Google Cloud

Vous pouvez également utiliser la console Google Cloud pour afficher la justification que Key Access Justifications envoie à votre gestionnaire de clés externe lorsque vous accédez à vos données. Pour accéder à cette justification, vous devez d'abord activer Cloud Audit Logs avec Cloud KMS pour le projet contenant la clé utilisée pour le chiffrement.

Une fois la configuration terminée, Cloud Audit Logs inclut également la justification utilisée dans la requête externe pour les opérations de chiffrement. La justification s'affiche dans les journaux d'accès aux données de la clé de ressource, dans les entrées metadata pour protoPayload. Pour en savoir plus sur ces champs, consultez Comprendre les journaux d'audit. Pour en savoir plus sur l'utilisation de Cloud Audit Logs avec Cloud KMS, consultez la page Informations sur les journaux d'audit Cloud KMS.

Notez que, contrairement à la justification partagée avec le gestionnaire de clés externe, la justification dans Cloud Audit Logs ne peut pas être utilisée pour approuver ou refuser l'opération cryptographique associée. Google Cloud n'enregistre la justification qu'une fois l'opération terminée. Par conséquent, les journaux dans Google Cloud doivent être principalement utilisés à des fins de conservation des enregistrements.