Esta página foi traduzida pela API Cloud Translation.

Veja e tome medidas relativamente a justificações

Esta página descreve como pode ver e tomar medidas relativamente às justificações que as Justificações de acesso às chaves enviam para pedir acesso às suas chaves de encriptação. Sempre que as suas informações são encriptadas ou desencriptadas, as Justificações de acesso às chaves enviam-lhe uma justificação que descreve o motivo do acesso. A forma como vê e age em relação às justificações depende do tipo de chaves que está a usar com as Justificações de acesso às chaves:

Para chaves geridas externamente, o parceiro do EKM na nuvem pode fornecer a capacidade de definir uma política que aprove ou recuse automaticamente pedidos de acesso com base no conteúdo das justificações. Para mais informações sobre a definição de uma política, consulte a documentação relevante do gestor de chaves escolhido. Os seguintes parceiros suportam as justificações de acesso a chaves:
- Fortanix
- Thales
Para todas as chaves configuradas com políticas de Justificações de acesso às chaves, independentemente do tipo de chave, pode ver os pedidos de acesso nos registos de auditoria do Cloud KMS.

A recusa de acesso pode dificultar a capacidade do pessoal da Google de ajudar com um serviço contratado. Por exemplo:

A recusa de acesso a pedidos com os motivos CUSTOMER_INITIATED_ACCESS ou GOOGLE_INITIATED_SYSTEM_OPERATION faz com que o seu serviço fique indisponível.
A recusa de acesso para pedidos com o motivo CUSTOMER_INITATED_SUPPORT limita a capacidade do pessoal da Google de responder a pedidos de apoio técnico na rara ocasião em que o seu pedido de apoio técnico requer acesso a informações confidenciais do cliente. Normalmente, os pedidos de apoio técnico não requerem este acesso e o nosso pessoal de apoio técnico de primeira linha não tem este acesso.
A recusa de acesso para pedidos com o motivo GOOGLE_INITIATED_SERVICE reduz a disponibilidade e a fiabilidade do serviço e impede a capacidade da Google de recuperar de interrupções.

Veja as justificações para chaves EKM

Pode usar a Google Cloud consola para ver a justificação que o acesso às chaves envia para o seu gestor de chaves externo quando os seus dados são acedidos. Para aceder à justificação, primeiro tem de ativar os registos de auditoria do Google Cloud com o Cloud KMS no projeto que contém a chave usada para a encriptação.

Depois de concluir a configuração, os registos de auditoria do Cloud também incluem a justificação usada no pedido externo de operações criptográficas. A justificação está incluída nos registos de acesso aos dados na chave de recurso, nas entradas metadata para protoPayload. Para mais informações sobre estes campos, consulte o artigo Compreender os registos de auditoria. Para mais informações sobre a utilização dos registos de auditoria do Cloud com o Cloud KMS, consulte as informações de registo de auditoria do Cloud KMS.

Tenha em atenção que, ao contrário da justificação partilhada com o gestor de chaves externo, a justificação nos registos de auditoria do Cloud não pode ser usada para aprovar ou recusar a operação criptográfica associada. Google Cloud registra a justificação apenas após a conclusão da operação. Por conseguinte, os registos em Google Cloud têm de ser usados principalmente para a manutenção de registos.

Veja as justificações para o Cloud HSM e as chaves de software

Quando o Cloud HSM e as chaves de software configuradas com as Justificações de acesso às chaves foram usadas para realizar operações de encriptação ou desencriptação, pode ver os registos de auditoria do Cloud KMS para ver as seguintes informações:

key_access_justification: o código de justificação associado ao pedido.
key_access_justification_policy_metadata: Os metadados da política de justificações de acesso às chaves para a chave que contém as seguintes informações:
- customer_configured_policy_enforced: indica se a política de justificações de acesso às chaves definida na chave foi aplicada à operação.
- customer_configured_policy: indica os códigos de justificação que permitem o acesso à chave.
- justification_propagated_to_ekm: indica se o pedido de acesso foi propagado para o gestor de chaves externo (se configurado).

O exemplo seguinte demonstra uma entrada do registo de auditoria do Cloud KMS para uma chave do Cloud HSM configurada com justificações de acesso a chaves:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }