Cette page a été traduite par l'API Cloud Translation.

Afficher les justifications et agir en conséquence

Cette page explique comment afficher et prendre en compte les justifications envoyées par Key Access Justifications pour demander l'accès à vos clés de chiffrement. Chaque fois que vos informations sont chiffrées ou déchiffrées, Key Access Justifications vous envoie une justification décrivant le motif de l'accès. La façon dont vous consultez et réagissez aux justifications dépend du type de clés que vous utilisez avec Key Access Justifications:

Pour les clés gérées en externe, le partenaire Cloud EKM peut vous permettre de définir une règle qui approuve ou refuse automatiquement les demandes d'accès en fonction du contenu des justifications. Pour en savoir plus sur la définition d'une stratégie, consultez la documentation du gestionnaire de clés choisi. Les partenaires suivants acceptent les justifications d'accès aux clés :
- Fortanix
- Thales
Pour toutes les clés configurées avec des stratégies Key Access Justifications, quel que soit le type de clé, vous pouvez afficher les requêtes d'accès dans les journaux d'audit Cloud KMS.

Le refus d'accès peut empêcher le personnel Google de vous aider avec un service sous contrat. Exemple :

Si vous refuser les accès motivés par CUSTOMER_INITIATED_ACCESS ou GOOGLE_INITIATED_SYSTEM_OPERATION, votre service devient indisponible.
Refuser l'accès pour les demandes avec le motif CUSTOMER_INITATED_SUPPORT limite la capacité du personnel Google à répondre aux demandes d'assistance dans les rares cas où votre demande d'assistance nécessite l'accès à des informations client sensibles. En règle générale, les demandes d'assistance ne nécessitent pas cet accès, et notre personnel d'assistance de première ligne n'y a pas accès.
Si vous refusez les accès motivés par GOOGLE_INITIATED_SERVICE, la disponibilité et la fiabilité du service est réduite, et Google ne peut plus assurer la récupération suite aux pannes.

Afficher les justifications des clés EKM

Vous pouvez utiliser la console Google Cloud pour afficher la justification que Key Access Justifications envoie à votre gestionnaire de clés externe lorsque vos données sont consultées. Pour accéder à la justification, vous devez d'abord activer les journaux d'audit Cloud avec Cloud KMS sur le projet contenant la clé utilisée pour le chiffrement.

Une fois la configuration terminée, les journaux d'audit Cloud incluent également la justification utilisée dans la requête externe pour les opérations cryptographiques. La justification est incluse dans les journaux d'accès aux données sur la clé de ressource, dans les entrées metadata pour protoPayload. Pour en savoir plus sur ces champs, consultez la section Comprendre les journaux d'audit. Pour en savoir plus sur l'utilisation de Cloud Audit Logs avec Cloud KMS, consultez la page Informations sur la journalisation d'audit Cloud KMS.

Notez que contrairement à la justification partagée avec le gestionnaire de clés externe, la justification dans les journaux d'audit Cloud ne peut pas être utilisée pour approuver ou refuser l'opération cryptographique associée. Google Cloud n'enregistre la justification qu'après l'opération. Par conséquent, les journaux de Google Cloud doivent être utilisés principalement à des fins de conservation.

Afficher les justifications pour les clés Cloud HSM et logicielles

Lorsque des clés logicielles et des Cloud HSM configurés avec des justifications d'accès aux clés ont été utilisés pour effectuer des opérations de chiffrement ou de déchiffrement, vous pouvez consulter les journaux d'audit Cloud KMS pour afficher les informations suivantes:

key_access_justification: code de justification associé à la requête.
key_access_justification_policy_metadata: métadonnées de la stratégie Key Access Justifications pour la clé contenant les informations suivantes :
- customer_configured_policy_enforced: indique si la règle Key Access Justifications définie sur la clé a été appliquée ou non pour l'opération.
- customer_configured_policy: indique les codes de justification permettant d'accéder à la clé.
- justification_propagated_to_ekm: indique si la requête d'accès a été propagée au gestionnaire de clés externe (si configuré).

L'exemple suivant illustre une entrée de journal d'audit Cloud KMS pour une clé Cloud HSM configurée avec des justifications d'accès aux clés:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }