Überblick

Dieses Thema bietet eine Übersicht über Key Access Justifications. Informationen zum Erstellen und Verwalten externer Schlüssel finden Sie unter Cloud EKM – Übersicht.

Für Key Access Justifications wird Ihren Cloud EKM-Anfragen ein Feld hinzugefügt, mit dem Sie den Grund für jede Anfrage anzeigen können. Mit ausgewählten Partnern für die externe Schlüsselverwaltung können Sie diese Anfragen je nach Begründung automatisch genehmigen oder ablehnen.

Funktionsweise der Verschlüsselung ruhender Daten

Bei der Google Cloud-Verschlüsselung inaktiver Daten werden Ihre in Google Cloud gespeicherten Daten mit einem Verschlüsselungsschlüssel verschlüsselt, der sich außerhalb des Dienstes befindet, in dem die Daten gespeichert sind. Wenn Sie beispielsweise Daten in Cloud Storage verschlüsseln, speichert der Dienst nur die verschlüsselten Informationen, die Sie gespeichert haben. Der zum Verschlüsseln dieser Daten verwendete Schlüssel hingegen wird im Cloud KMS (wenn Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden) oder in Ihrem externen Schlüsselverwaltungssystem (bei Verwendung von Cloud External Key Manager) gespeichert.

Wenn Sie einen Google Cloud-Dienst verwenden, möchten Sie, dass Ihre Anwendungen wie beschrieben weiter funktionieren. Dazu müssen Ihre Daten entschlüsselt werden. Wenn Sie beispielsweise eine Abfrage mit BigQuery ausführen, muss der BigQuery-Dienst Ihre Daten entschlüsseln, um sie analysieren zu können. Dazu ruft BigQuery den Schlüsselmanager auf, um die Daten zu entschlüsseln.

Warum wird auf meine Schlüssel zugegriffen?

Ihre Verschlüsselungsschlüssel werden am häufigsten von automatisierten Systemen aufgerufen, während Ihre eigenen Anfragen und Arbeitslasten in Google Cloud verarbeitet werden.

Zusätzlich zu den vom Kunden initiierten Zugriffen muss ein Google-Mitarbeiter möglicherweise aus folgenden Gründen Vorgänge initiieren, bei denen Ihre Verschlüsselungsschlüssel verwendet werden:

  • Struktur oder Qualität der Daten optimieren: Google-Systeme müssen möglicherweise auf Ihre Verschlüsselungsschlüssel zugreifen, um Ihre Daten zu indexieren, zu strukturieren, vorzuberechnen, zu hashen, zu fragmentieren oder im Cache zu speichern.

  • Daten sichern: Aus Gründen der Notfallwiederherstellung muss Google möglicherweise auf Ihre Verschlüsselungsschlüssel zugreifen, um Ihre Daten zu sichern.

  • Supportanfrage klären: Unter Umständen muss ein Google-Mitarbeiter Ihre Daten entschlüsseln, um die vertragliche Verpflichtung zur Bereitstellung von Support zu erfüllen.

  • Systeme verwalten und Fehler beheben: Google-Mitarbeiter können Vorgänge initiieren, bei denen Ihre Verschlüsselungsschlüssel verwendet werden, um technische Fehlerbehebungen durchzuführen, die für eine komplexe Supportanfrage oder Prüfung erforderlich sind. Möglicherweise wird auch Zugriff benötigt, um Speicherfehler oder Datenbeschädigungen zu beheben.

  • Datenintegrität und Compliance gewährleisten und vor Betrug und Missbrauch schützen: Google muss Daten möglicherweise aus folgenden Gründen entschlüsseln:

    • Um die Sicherheit Ihrer Daten und Konten zu gewährleisten.
    • Um sicherzustellen, dass Sie Google-Dienste gemäß den Google-Nutzungsbedingungen verwenden.
    • Um Beschwerden anderer Nutzer und Kunden oder andere Hinweise auf missbräuchliche Aktivitäten zu untersuchen
    • Um zu überprüfen, ob Google-Dienste gemäß den relevanten Compliance-Regelungen, z. B. den Anti-Geldwäsche-Bestimmungen, genutzt werden.
  • Systemzuverlässigkeit aufrechterhalten: Google-Mitarbeiter können Zugriff anfordern, um zu untersuchen, ob Sie von einem möglichen Dienstausfall nicht betroffen sind. Außerdem kann Zugriff angefordert werden, um die Sicherung und Wiederherstellung nach Ausfällen oder Systemausfällen sicherzustellen.

Eine Liste der Begründungscodes finden Sie unter Begründungscodes für Key Access Justifications.

Zugriff auf extern verwaltete Schlüssel verwalten

Key Access Justifications gibt bei jedem Zugriff auf Ihre extern verwalteten Schlüssel einen Grund an. Gründe werden nur angegeben, wenn Schlüssel extern verwaltet werden. Für den Zugriff auf Schlüssel, die in Cloud KMS oder Cloud HSM gespeichert sind, gibt es keinen Grund. Wenn ein Schlüssel in Ihrem externen Schlüsselverwaltungssystem gespeichert ist, erhalten Sie eine Begründung für den dienstbasierten Zugriff (bei unterstützten Diensten) und den direkten API-Zugriff.

Nachdem Sie sich bei Key Access Justifications registriert und einen extern verwalteten Schlüssel verwendet haben, erhalten Sie für jeden Schlüsselzugriff sofort eine Begründung.

Wenn Sie Key Access Justifications und die Access Approval mit einem externen, vom Kunden verwalteten Schlüssel verwenden, können Administratorzugriffsanfragen nur verarbeitet werden, wenn die Genehmigungen mit dem extern verwalteten Schlüssel signiert werden, nachdem Sie eine Key Access Justifications-Richtlinienprüfung für die Signaturanfrage übergeben haben. Alle mit dem Schlüssel signierten Zugriffsgenehmigungen werden in Access Transparency-Logs angezeigt.

Key Access Justifications aktivieren

Wenn Sie Key Access Justifications für eine Organisation aktivieren möchten, müssen Sie sich bei Assured Workloads registrieren. Key Access Justifications ist standardmäßig für alle Assured Workloads-Kunden aktiviert.

Informationen zu den ersten Schritten mit Assured Workloads finden Sie unter Assured Workloads verwenden.

Ausschlüsse für Key Access Justifications

Key Access Justifications gelten nur für:

  • Vorgänge für verschlüsselte Daten. Informationen zu den Feldern in einem bestimmten Dienst, die durch einen extern verwalteten Schlüssel verschlüsselt werden, finden Sie in der Dokumentation des von Ihnen verwendeten Dienstes.
  • Der Übergang von inaktiven zu aktiven Daten. Google wendet zwar weiterhin Schutzmaßnahmen auf Ihre aktiven Daten an, aber die Key Access Justifications regeln die Umstellung von ruhenden Daten zu ausschließlich aktiven Daten.
  • CMEK-Ausnahmen für Compute Engine/Persistent Disk:
    • Lokale SSDs und automatische Neustarts sind ausgeschlossen.
    • Maschinen-Image-Vorgänge sind ausgeschlossen.

Nächste Schritte