Acessar e agir com base em justificativas

Esta página descreve como você pode conferir e agir em relação às justificativas que o Key Access Justifications envia para solicitar acesso às suas chaves de criptografia. Sempre que suas informações forem criptografadas ou descriptografadas, as Justificativas do acesso às chaves vão enviar uma justificativa descrevendo o motivo do acesso. A maneira de visualizar e agir em relação às justificativas depende do tipo de chave que você está usando com as justificativas de acesso à chave:

  • Para chaves gerenciadas externamente, o parceiro do Cloud EKM pode oferecer a possibilidade de definir uma política que aprove ou recuse solicitações de acesso com base no conteúdo das justificativas. Para mais informações sobre como definir uma política, consulte a documentação relevante do gerenciador de chaves escolhido. Os seguintes parceiros aceitam as justificativas de acesso às chaves:
    • Fortanix
    • Thales
  • Para todas as chaves configuradas com políticas de justificativas de acesso às chaves, independentemente do tipo de chave, você pode conferir as solicitações de acesso nos registros de auditoria do Cloud KMS.

A negação de acesso pode impedir que a equipe do Google ajude você com um serviço contratado. Exemplo:

  • Negar o acesso a solicitações com motivos de CUSTOMER_INITIATED_ACCESS ou GOOGLE_INITIATED_SYSTEM_OPERATION faz com que seu serviço fique indisponível.
  • Negar o acesso a solicitações com o motivo CUSTOMER_INITATED_SUPPORT limita a capacidade da equipe do Google de responder a tíquetes de suporte nas ocasiões raras em que o tíquete de suporte exige acesso a informações sensíveis do cliente. Os tickets de suporte geralmente não exigem esse acesso, e nossa equipe de suporte de primeira linha não tem esse acesso.
  • Negar o acesso à solicitação com o motivo GOOGLE_INITIATED_SERVICE reduz a disponibilidade e a confiabilidade do serviço e impede a recuperação do Google de interrupções.

Conferir justificativas para chaves EKM

É possível usar o console do Google Cloud para conferir a justificativa de acesso à chave que é enviada ao gerenciador de chaves externo quando seus dados são acessados. Para acessar a justificação, primeiro ative os registros de auditoria do Cloud com o Cloud KMS no projeto que contém a chave usada para criptografia.

Depois de concluir a configuração, os Registros de auditoria do Cloud também incluem a justificação usada na solicitação externa para operações criptográficas. A justificação é incluída nos registros de acesso a dados na chave de recurso, nas entradas metadata de protoPayload. Para mais informações sobre esses campos, consulte Noções básicas sobre registros de auditoria. Para mais informações sobre o uso do Cloud Audit Logs com o Cloud KMS, consulte Informações sobre registros de auditoria do Cloud KMS.

Ao contrário da justificativa compartilhada com o gerenciador de chaves externo, a justificação nos registros de auditoria do Cloud não pode ser usada para aprovar ou negar a operação criptográfica associada. Google Cloud registra a justificativa somente após a conclusão da operação. Portanto, os registros em Google Cloud precisam ser usados principalmente para manter registros.

Conferir justificativas para chaves de software e do Cloud HSM

Quando o Cloud HSM e as chaves de software configuradas com justificativas de acesso à chave foram usadas para realizar operações de criptografia ou descriptografia, é possível conferir os registros de auditoria do Cloud KMS para acessar as seguintes informações:

  • key_access_justification: o código de justificativa associado à solicitação.
  • key_access_justification_policy_metadata: os metadados da política de justificativas de acesso às chaves da chave que contém as seguintes informações:
    • customer_configured_policy_enforced: indica se a política de justificativas de acesso à chave definida na chave foi aplicada ou não para a operação.
    • customer_configured_policy: indica os códigos de justificativa que permitem o acesso à chave.
    • justification_propagated_to_ekm: indica se a solicitação de acesso foi propagada para o gerenciador de chaves externo (se configurado).

O exemplo a seguir demonstra uma entrada de registro de auditoria do Cloud KMS para uma chave do Cloud HSM configurada com justificações de acesso à chave:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }