Questa pagina è stata tradotta dall'API Cloud Translation.

Visualizzare le giustificazioni e intervenire

Questa pagina descrive come visualizzare e intervenire sulle giustificazioni che Key Access Justifications invia per richiedere l'accesso alle tue chiavi di crittografia. Ogni volta che le tue informazioni vengono criptate o decriptate, Key Access Justifications ti invia una giustificazione che descrive il motivo dell'accesso. Il modo in cui visualizzi e gestisci le giustificazioni dipende dal tipo di chiavi che utilizzi con le giustificazioni per l'accesso alle chiavi:

Per le chiavi gestite esternamente, il partner Cloud EKM potrebbe fornire la possibilità di impostare un criterio che approvi o rifiuti automaticamente le richieste di accesso in base ai contenuti delle giustificazioni. Per ulteriori informazioni sull'impostazione un criterio, consulta la documentazione pertinente per il gestore di chiavi che hai scelto. La i seguenti partner supportano Key Access Justifications:
- Fortanix
- Thales
Per tutte le chiavi configurate con criteri Key Access Justifications, indipendentemente dalle chiavi tipo: puoi visualizzare le richieste di accesso in Cloud KMS e gli audit log.

La mancata autorizzazione all'accesso può ostacolare la capacità del personale di Google di aiutarti con un servizio contratto. Ad esempio:

Negazione dell'accesso per richieste con motivi CUSTOMER_INITIATED_ACCESS o GOOGLE_INITIATED_SYSTEM_OPERATION fa sì che il tuo servizio diventi non disponibile.
Rifiuto dell'accesso per le richieste con motivo CUSTOMER_INITATED_SUPPORT limita la capacità del personale Google di rispondere alle richieste di assistenza sul rare occasioni in cui il ticket di assistenza richiede l'accesso a un cliente sensibile informazioni. In genere i ticket di assistenza non richiedono questo accesso e il nostro personale di assistenza in prima linea non dispone di questo accesso.
Il rifiuto dell'accesso per la richiesta con il motivo GOOGLE_INITIATED_SERVICE riduce la disponibilità e l'affidabilità del servizio e inibisce la capacità di Google di riprendersi dagli arresti anomali.

Visualizza le giustificazioni per le chiavi EKM

Puoi utilizzare la console Google Cloud per visualizzare le motivazioni di Key Access Justifications vengono inviate al gestore chiavi esterno quando accedi ai tuoi dati. Per accedere al giustificazione, devi prima abilitare Cloud Audit Logs con Cloud KMS del progetto contenente la chiave usata per la crittografia.

Una volta completata la configurazione, Cloud Audit Logs include anche la giustificazione utilizzata nella richiesta esterna per le operazioni di crittografia. La giustificazione è inclusa nei log di accesso ai dati nella chiave della risorsa, nelle voci metadata per protoPayload. Per ulteriori informazioni su questi campi, consulta Informazioni sugli audit log. Per ulteriori informazioni sull'uso di Cloud Audit Logs con Cloud KMS, consulta Informazioni sugli audit log di Cloud KMS.

Tieni presente che, a differenza della motivazione condivisa con il gestore di chiavi esterno, la giustificazione nei log di controllo di Cloud non può essere utilizzata per approvare o negare l'operazione di crittografia associata. Google Cloud registra solo la giustificazione al termine dell'operazione. Pertanto, i log in Google Cloud devono essere utilizzati principalmente per la registrazione.

Visualizzare le giustificazioni per le chiavi software e Cloud HSM

Quando Cloud HSM e chiavi software configurate con Key Access Justifications utilizzate per eseguire operazioni di crittografia o decriptazione, puoi visualizzare Audit log di Cloud KMS per visualizza le seguenti informazioni:

key_access_justification: il codice di giustificazione associati alla richiesta.
key_access_justification_policy_metadata: i metadati dei criteri Key Access Justifications per la chiave contenente le seguenti informazioni:
- customer_configured_policy_enforced: indica se le Il criterio Key Access Justifications impostato nella chiave è stato applicato in modo forzato per l'operazione.
- customer_configured_policy: indica i codici di giustificazione che consentono l'accesso alla chiave.
- justification_propagated_to_ekm: indica se la richiesta di accesso è stata propagate al gestore di chiavi esterno (se configurato).

L'esempio seguente mostra una voce del log di controllo Cloud KMS per una chiave Cloud HSM configurata con giustificazioni di accesso alla chiave:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }