Questa pagina è stata tradotta dall'API Cloud Translation.

Visualizzare le giustificazioni e intervenire

Questa pagina descrive come visualizzare e intervenire sulle giustificazioni inviate da Giustificazioni accesso alle chiavi per richiedere l'accesso alle tue chiavi di crittografia. Ogni volta che le tue informazioni vengono criptate o decriptate, Key Access Justifications ti invia una giustificazione che descrive il motivo dell'accesso. Il modo in cui visualizzi e gestisci le giustificazioni dipende dal tipo di chiavi che utilizzi con le giustificazioni per l'accesso alle chiavi:

Per le chiavi gestite esternamente, il partner Cloud EKM potrebbe fornire la possibilità di impostare un criterio che approvi o rifiuti automaticamente le richieste di accesso in base ai contenuti delle giustificazioni. Per ulteriori informazioni sull'impostazione di un criterio, consulta la documentazione pertinente per il gestore delle chiavi scelto. I seguenti partner supportano le giustificazioni per l'accesso alle chiavi:
- Fortanix
- Thales
Per tutte le chiavi configurate con i criteri di giustificazione dell'accesso alle chiavi, indipendentemente dal tipo di chiave, puoi visualizzare le richieste di accesso nei log di controllo di Cloud KMS.

La mancata autorizzazione all'accesso può ostacolare la capacità del personale di Google di aiutarti con un servizio in contratto. Ad esempio:

Se neghi l'accesso per richieste con motivi CUSTOMER_INITIATED_ACCESS o GOOGLE_INITIATED_SYSTEM_OPERATION, il tuo servizio diventa disponibile.
La mancata autorizzazione di accesso per le richieste con il motivo CUSTOMER_INITATED_SUPPORT limita la capacità del personale di Google di rispondere ai ticket di assistenza nei rari casi in cui il ticket di assistenza richieda l'accesso a informazioni sensibili del cliente. In genere i ticket di assistenza non richiedono questo accesso e il nostro personale di assistenza in prima linea non dispone di questo accesso.
Il rifiuto dell'accesso per la richiesta con il motivo GOOGLE_INITIATED_SERVICE riduce la disponibilità e l'affidabilità del servizio e inibisce la capacità di Google di riprendersi dagli arresti anomali.

Visualizzare le giustificazioni per le chiavi EKM

Puoi utilizzare la console Google Cloud per visualizzare la giustificazione inviata da Key Access Justifications al tuo gestore di chiavi esterno quando viene eseguito l'accesso ai dati. Per accedere alla giustificazione, devi prima attivare Cloud Audit Logs con Cloud KMS nel progetto contenente la chiave utilizzata per la crittografia.

Una volta completata la configurazione, Cloud Audit Logs include anche la giustificazione utilizzata nella richiesta esterna per le operazioni di crittografia. La giustificazione è inclusa nei log di accesso ai dati nella chiave della risorsa, nelle voci metadata per protoPayload. Per ulteriori informazioni su questi campi, consulta Informazioni sui log di controllo. Per ulteriori informazioni sull'utilizzo di Cloud Audit Logs con Cloud KMS, consulta Informazioni sull'audit logging di Cloud KMS.

Tieni presente che, a differenza della motivazione condivisa con il gestore di chiavi esterno, la motivazione nei log di controllo di Cloud non può essere utilizzata per approvare o negare l'operazione di crittografia associata. Google Cloud logga la motivazione solo al termine dell'operazione. Pertanto, i log in Google Cloud devono essere utilizzati principalmente per la registrazione.

Visualizzare le giustificazioni per le chiavi software e Cloud HSM

Quando le chiavi software e Cloud HSM configurate con giustificazioni di accesso alle chiavi sono state utilizzate per eseguire operazioni di crittografia o decrittografia, puoi visualizzare i log di controllo di Cloud KMS per visualizzare le seguenti informazioni:

key_access_justification: il codice giustificativo associato alla richiesta.
key_access_justification_policy_metadata: i metadati del criterio Key Access Justifications per la chiave contenente le seguenti informazioni:
- customer_configured_policy_enforced: indica se il criterio Key Access Justifications impostato sulla chiave è stato applicato per l'operazione.
- customer_configured_policy: indica i codici di giustificazione che consentono di accedere alla chiave.
- justification_propagated_to_ekm: indica se la richiesta di accesso è stata propagata al gestore chiavi esterno (se configurato).

L'esempio seguente mostra una voce del log di controllo Cloud KMS per una chiave Cloud HSM configurata con giustificazioni di accesso alla chiave:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }