Visualizzare le giustificazioni e intervenire
In questa pagina viene descritto come visualizzare e intervenire sulle motivazioni inviate da Key Access Justifications per richiedere l'accesso alle tue chiavi di crittografia.
Ogni volta che le tue informazioni vengono criptate o decriptate, Key Access Justifications ti invia una giustificazione che descrive il motivo dell'accesso. Il software dei nostri partner Cloud EKM consente di impostare un criterio per approvare o negare automaticamente l'accesso in base al contenuto delle giustificazioni. Per ulteriori informazioni sull'impostazione di un criterio, consulta la documentazione pertinente per il gestore delle chiavi che hai scelto. I seguenti partner supportano Key Access Justifications:
- Fortanix
- Thales
Negare l'accesso può ostacolare la capacità del personale di Google di aiutarti con un servizio contratto.
Se neghi l'accesso per le richieste con motivi
CUSTOMER_INITIATED_ACCESS
,MODIFIED_CUSTOMER_INITIATED_ACCESS
,GOOGLE_INITIATED_SYSTEM_OPERATION
oMODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION
, il servizio non sarà più disponibile.Negare l'accesso per le richieste per il motivo
CUSTOMER_INITATED_SUPPORT
limita la possibilità del personale Google di rispondere alle richieste di assistenza nelle rare occasioni in cui il ticket di assistenza richieda l'accesso a informazioni sensibili sui clienti (in genere le richieste di assistenza non richiedono questo accesso e il personale di assistenza a contatto con il pubblico non lo ha).Negare l'accesso per richiesta per la ragione di
GOOGLE_INITIATED_SERVICE
riduce la disponibilità e l'affidabilità del servizio e impedisce a Google di recuperare le interruzioni in caso di interruzioni.
I codici dei motivi della giustificazione elencati nella seguente sezione coprono scenari diversi rispetto ai codici di Access Transparency, quindi non farli corrispondere.
Visualizzazione delle giustificazioni nella console Google Cloud
Puoi anche utilizzare la console Google Cloud per visualizzare la motivazione che invia al gestore di chiavi esterno quando viene eseguito l'accesso ai dati. Per accedere alla giustificazione, devi prima abilitare Cloud Audit Logs con Cloud KMS nel progetto contenente la chiave utilizzata per la crittografia.
Una volta completata la configurazione, Cloud Audit Logs include anche la giustificazione utilizzata nella richiesta esterna per le operazioni crittografiche. La giustificazione viene visualizzata come parte dei log di accesso ai dati sulla chiave della risorsa, nelle voci metadata
per protoPayload
. Per ulteriori informazioni su questi campi, consulta Informazioni sugli audit log.
Per ulteriori informazioni sull'utilizzo di Cloud Audit Logs con Cloud KMS, consulta le informazioni sugli audit log di Cloud KMS.
Tieni presente che, a differenza della giustificazione condivisa con il gestore di chiavi esterno, la giustificazione in Cloud Audit Logs non può essere utilizzata per approvare o rifiutare l'operazione crittografica associata. Google Cloud registra la giustificazione solo al termine dell'operazione. Pertanto, i log in Google Cloud devono essere utilizzati principalmente per la conservazione dei record.