Conferir e agir de acordo com as justificativas

Nesta página, descrevemos como analisar e agir com base nas justificativas enviadas pelas Justificativas de acesso às chaves para solicitar acesso às suas chaves de criptografia.

Sempre que suas informações forem criptografadas ou descriptografadas, as Justificativas de acesso às chaves vão enviar uma justificativa com a descrição do motivo do acesso. O software dos nossos parceiros do Cloud EKM permite que você defina uma política para aprovar ou negar acesso automaticamente com base no conteúdo das justificativas. Para mais informações sobre como definir uma política, consulte a documentação relevante do gerenciador de chaves escolhido. Os seguintes parceiros são compatíveis com as justificativas de acesso às chaves:

  • Fortanix
  • Thales

Negar o acesso pode impedir que a equipe do Google ajude você com um serviço contratado.

  • Negar o acesso para solicitações com motivos de CUSTOMER_INITIATED_ACCESS, MODIFIED_CUSTOMER_INITIATED_ACCESS, GOOGLE_INITIATED_SYSTEM_OPERATION ou MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION faz com que seu serviço fique indisponível.

  • Negar o acesso para solicitações devido a CUSTOMER_INITATED_SUPPORT limita a capacidade da equipe do Google de responder a tíquetes de suporte na rara ocasião em que o tíquete de suporte requer acesso a informações confidenciais do cliente. Os tíquetes de suporte normalmente não exigem esse acesso, e nossa equipe de suporte de linha de frente não tem esse acesso.

  • Negar o acesso para solicitação com o motivo GOOGLE_INITIATED_SERVICE reduz a disponibilidade e a confiabilidade do serviço, além de impedir a recuperação de interrupções do Google.

Os códigos de motivo de justificativa listados na seção a seguir abrangem cenários diferentes dos códigos da Transparência no acesso. Portanto, não correspondam a eles.

Como acessar as justificativas no console do Google Cloud

Também é possível usar o console do Google Cloud para conferir a justificativa que as Justificativas de acesso às chaves enviam ao gerenciador de chaves externo quando seus dados são acessados. Para acessar a justificativa, primeiro você precisa ativar os Registros de auditoria do Cloud com o Cloud KMS no projeto que contém a chave usada para criptografia.

Depois de concluir a configuração, os registros de auditoria do Cloud também incluem a justificativa usada na solicitação externa para operações criptográficas. A justificativa aparece como parte dos registros de acesso a dados na chave de recurso, nas entradas metadata de protoPayload. Para mais informações sobre esses campos, consulte Noções básicas sobre registros de auditoria. Para mais informações sobre como usar os Registros de auditoria do Cloud com o Cloud KMS, consulte Informações sobre geração de registros de auditoria do Cloud KMS.

Observe que, ao contrário da justificativa compartilhada com o gerenciador de chaves externo, a justificativa nos registros de auditoria do Cloud não pode ser usada para aprovar ou negar a operação criptográfica associada. O Google Cloud registra a justificativa apenas após a conclusão da operação. Portanto, os registros no Google Cloud precisam ser usados principalmente para manutenção de registros.