概览

本页面简要介绍了 Key Access Justifications。借助 Key Access Justifications，您可以针对 Cloud Key Management Service (Cloud KMS) 密钥设置政策，以便根据提供的理由代码查看、批准和拒绝密钥访问请求。对于选定的外部密钥管理合作伙伴，您可以将 Google Cloud 之外的 Key Access Justifications 政策配置为仅由外部密钥管理器强制执行，而不是由 Cloud KMS 强制执行。Key Access Justifications 支持以下 Cloud KMS 密钥类型，具体取决于您选择的 Assured Workloads 控制包：

• Cloud EKM 密钥
• Cloud HSM 密钥

静态加密的工作原理

Google Cloud 静态加密的工作原理是，使用位于数据存储服务之外的加密密钥对存储在 Google Cloud 中的数据进行加密。例如，如果您对 Cloud Storage 中的数据进行加密，则该服务仅存储您已存储的加密信息，而用于加密这些数据的密钥存储在 Cloud KMS 中（如果您使用的是客户管理的加密密钥 [CMEK]）或外部密钥管理器中（如果您使用 Cloud EKM）。

使用 Google Cloud 服务时，您希望应用继续按如下所述方式工作，并且需要解密您的数据。例如，如果您使用 BigQuery 运行查询，BigQuery 服务需要对数据进行解密，然后才能对其进行分析。BigQuery 通过向密钥管理器发出解密请求来获取所需数据来实现这一点。

为什么访问我的密钥？

您的加密密钥通常由自动化系统访问，同时在 Google Cloud 上处理您自己的请求和工作负载。

除了客户发起的访问之外，Google 员工可能还需要发起使用您的加密密钥的操作，原因如下：

• 优化数据的结构或质量：Google 系统可能需要访问您的加密密钥，以便为数据编制索引、设计数据结构、预计算、对数据进行哈希处理、分片或缓存。

• 备份数据：出于灾难恢复原因，Google 可能需要访问您的加密密钥以备份数据。

• 解决支持请求：Google 员工可能需要解密您的数据，以履行提供支持的合同义务。

• 管理系统和排查系统问题：Google 员工可以启动使用您的加密密钥执行复杂支持请求或调查所需的技术调试的操作。您可能还需要访问，以修复存储故障或数据损坏。

• 确保数据完整性和合规性，并防范欺诈和滥用行为：Google 可能需要解密数据，原因如下：

  • 为了确保您的数据和账号的安全。
  • 为了确保您按照 Google Cloud 服务条款使用 Google 服务。
  • 为了调查其他用户和客户的投诉，或调查其他表明存在滥用行为的迹象。
  • 验证 Google Cloud 服务的使用是否符合适用的监管要求，例如反洗钱法规。

• 维护系统可靠性：Google 员工可以申请访问权限，以便调查疑似服务中断不会对您产生影响。此外，用户可能需要请求访问权限，以确保在服务中断或系统故障中能够进行备份和恢复。

如需查看理由代码列表，请参阅 Key Access Justifications 的理由原因代码。

管理对外部管理的密钥的访问权限

每次有人访问您外部管理的密钥时，Key Access Justifications 都会提供原因。只有在密钥由外部管理时，才提供原因。对存储在 Cloud KMS 或 Cloud HSM 中的密钥进行的访问未提供原因。当密钥存储在外部密钥管理器中时，您将同时获得基于服务的访问（针对受支持的服务）和直接 API 访问的正当理由。

注册 Key Access Justifications 并使用由外部管理的密钥后，对于每次密钥访问，您会立即收到理由。

如果您将 Key Access Justifications 和 Access Approval 与外部客户管理的密钥搭配使用，则无法处理管理员权限请求，除非在通过签名请求的 Key Access Justifications 政策检查后使用外部管理的密钥对批准进行签名。该密钥签名的所有访问权限审批都会显示在 Access Transparency 日志中。

启用密钥访问理由

Key Access Justifications 只能用于 Assured Workloads，并且当您创建为包含 Key Access Justifications 的控制软件包配置的新 Assured Workloads 文件夹时，系统会默认启用 Key Access Justifications。如需了解详情，请参阅 Assured Workloads 概览。

密钥访问理由排除项

密钥访问理由仅适用于：

• 对加密数据的操作。如需了解给定服务中由客户管理的密钥加密的字段，请参阅该服务的文档。
• 从静态数据转换为使用中的数据。虽然 Google 会继续对您的使用中的数据应用保护，但 Key Access Justifications 仅管控从静态数据到使用中的数据的转换。
• 与 CMEK 搭配使用时，以下 Compute Engine 和 Persistent Disk 功能可以豁免：
  • 本地 SSD
  • 自动重启
  • 机器映像操作

后续步骤

• 请参阅 Assured Workloads 的适用于具有主权管制的欧盟区域和支持的 Assured Workloads 支持的服务，以及 KAJ 支持的其他服务列表。
• 了解如何查看理由并采取相应措施。
• 了解如何获取对 Key Access Justifications 支持。
• 了解 Access Approval 请求是什么样的。
• 了解防止未经授权的管理员权限所依据的控制措施的核心原则。