概览

本页面简要介绍了 Key Access Justifications。通过 Key Access Justifications，您可以设置 关于 Cloud Key Management Service (Cloud KMS) 密钥的政策，以查看、批准和拒绝密钥 具体取决于提供的 理由代码。 对于选定的外部密钥管理合作伙伴，您可以在 Google Cloud 只能由外部密钥管理器强制执行， 与 Cloud KMS 相比Key Access Justifications 支持以下各项 Cloud KMS 密钥类型 Assured Workloads 控制包 您可以选择：

• Cloud EKM 密钥
• Cloud HSM 密钥

静态加密的工作原理

Google Cloud 静态加密的工作原理是对存储在 加密密钥位于相应服务之外 数据。例如，如果您对 Cloud Storage 中的数据进行加密， 服务只存储您已存储的加密信息，而密钥 对相应数据存储在 Cloud KMS 中（如果您使用 客户管理的加密密钥 (CMEK) 或外部密钥管理器（如果您 使用 Cloud EKM）。

使用 Google Cloud 服务时，您希望应用继续按如下所述方式工作，并且需要解密您的数据。例如，如果您使用 BigQuery 运行查询，BigQuery 服务需要解密您的数据才能对其进行分析。BigQuery 为此，它会向密钥管理器发出解密请求，以获取 所需的数据

为什么访问我的密钥？

加密密钥通常由自动化系统访问， 在 Google Cloud 上处理您自己的请求和工作负载。

除了客户发起的访问之外，Google 员工可能还需要： 出于以下原因启动使用您的加密密钥的操作：

• 优化数据的结构或质量：Google 系统可能需要 访问加密密钥以索引、结构、预计算、哈希、分片或 缓存您的数据

• 备份您的数据：Google 可能需要访问您的加密密钥才能进行备份 备份您的数据以用于灾难恢复。

• 解决支持请求：Google 员工可能需要 数据履行提供支持的合同义务。

• 管理系统和排查问题：Google 员工可以发起操作 使用加密密钥执行 提出复杂的支持请求或调查可能还需要访问权限才能执行以下操作： 修复存储故障或数据损坏。

• 确保数据完整性和合规性，并防范欺诈和滥用行为： Google 可能需要解密数据，原因如下：

  • 为了确保您的数据和账号的安全。
  • 为确保您使用 Google 服务时遵守 Google Cloud 服务条款。
  • 为了调查其他用户和客户的投诉，或根据其他 滥用行为。
  • 验证 Google Cloud 服务的使用是否符合 适用的监管要求，如反洗钱 法规。

• 保持系统可靠性：Google 员工可以请求访问 调查疑似服务中断不会对您造成影响。此外，访问 以确保在服务中断或对系统进行备份和恢复时 错误。

如需查看理由代码列表，请参阅 Key Access Justifications 的理由原因代码。

管理对外部管理的密钥的访问权限

每次外部管理的密钥时，Key Access Justifications 都会提供原因 资源。只有在密钥由外部管理时，才提供原因。 访问存储在 Cloud KMS 或 Cloud HSM 中的密钥不提供 原因。当密钥存储在外部密钥管理器中时，您会收到 基于服务访问（针对受支持的服务）和直接访问的理由 API 访问权限。

在您注册 Key Access Justifications 并使用外部管理的密钥后， 您会立即收到针对每次密钥访问的理由。

如果您将 Key Access Justifications 和 Access Approval 与 外部客户管理的密钥，则无法 会进行处理，除非在之后使用外部管理的密钥对批准进行签名， 通过签名请求的 Key Access Justifications 政策检查。全部 由密钥签名的 Access Approval 会显示在 Access Transparency 日志中。

启用密钥访问理由

Key Access Justifications 只能用于 Assured Workloads，并且由 创建新 Assured Workloads 文件夹时，为 包含 Key Access Justifications 的控制软件包。请参阅 如需了解详情，请参阅 Assured Workloads 概览 信息。

密钥访问理由排除项

密钥访问理由仅适用于：

• 对加密数据的操作。对于给定服务中 使用客户管理的密钥加密，请参阅服务文档。
• 从静态数据转换为使用中的数据。虽然 Google 会一如既往地 对使用中的数据应用保护措施，Key Access Justifications 仅适用于 从静态数据到使用中的数据的转换。
• 使用时，以下 Compute Engine 和 Persistent Disk 功能可以豁免 使用 CMEK： <ph type="x-smartling-placeholder">
  </ph>
  • 本地 SSD
  • 自动重启
  • 机器映像操作

后续步骤

• 请参阅以下各项支持的服务： Assured Workloads for 欧盟区域以及对主权管制的支持 以及KAJ 支持的其他服务列表。
• 了解如何查看理由并采取相应措施。
• 了解如何获取对 Key Access Justifications 支持。
• 了解 Access Approval 请求是什么样的。
• 了解用于防止未经授权的人员实施控制措施的核心原则 基于管理员权限。