Descripción general

En este tema, se proporciona una descripción general de Key Access Justifications. Para obtener información sobre cómo crear y administrar claves externas, consulta Descripción general de Cloud EKM.

Descripción general

Key Access Justifications funciona cuando agregas un campo a tus solicitudes de Cloud EKM para que puedas ver el motivo de cada solicitud. Con socios de administración de claves externos seleccionados, puedes aprobar o rechazar de forma automática estas solicitudes, según la justificación.

Habilita Key Access Justifications

Para habilitar una organización para las Key Access Justifications, envía el formulario de solicitud de acceso.

Administra el acceso a tus claves administradas de forma externa

Key Access Justifications proporciona una razón cada vez que se accede a tus claves administradas de forma externa. Los motivos solo son visibles cuando las claves se administran de forma externa. Las claves almacenadas en Cloud KMS o Cloud HSM no mostrarán un motivo visible cuando el servicio acceda a ellas. Cuando se almacene una clave en tu administrador de claves externo, recibirás una justificación para el acceso basado en servicios (para servicios compatibles) y el acceso directo a la API.

Una vez que incorpores las Key Access Justifications y uses una clave administrada externamente, recibirás justificaciones de inmediato para cada acceso de clave.

¿Por qué se accedería a mis claves?

La encriptación en reposo de Google Cloud funciona mediante la encriptación de tus datos almacenados en Google Cloud con una clave de encriptación que se encuentra fuera del servicio en el que se almacenan los datos. Por ejemplo, si encriptas datos en Cloud Storage, el servicio solo almacena la información encriptada que almacenaste, mientras que la clave que se usa para encriptar esos datos se almacena en Cloud KMS (si usas claves de encriptación administradas por el cliente [CMEK]) o en tu administrador de claves externo (si usas Cloud External Key Manager).

Cuando usas un servicio de Google Cloud, quieres que tus aplicaciones sigan funcionando como se describe, y esto requerirá que los datos se desencripten. Por ejemplo, si ejecutas una consulta con BigQuery, el servicio de BigQuery debe desencriptar los datos para analizarlos. Para ello, BigQuery deberá llamar al administrador de claves a fin de desencriptar los datos.

Para obtener una lista de justificaciones, consulta Motivos de Key Access Justifications.

Visualiza y actúa según las justificaciones

Cada vez que se encripta o desencripta tu información, Key Access Justifications te envía una justificación que describe el motivo del acceso. El software de nuestros socios de Cloud EKM te permite establecer una política para aprobar o rechazar de forma automática el acceso en función del contenido de las justificaciones. Consulta la documentación relevante del administrador de claves elegido para obtener más información sobre cómo configurar la política. Los siguientes socios admiten Key Access Justifications:

  • Ionic
  • Fortanix
  • Thales