概览

本页面简要介绍了 Key Access Justifications。借助 Key Access Justifications，您可以针对 Cloud Key Management Service (Cloud KMS) 密钥设置政策，以便根据提供的理由代码查看、批准和拒绝密钥访问请求。对于部分外部密钥管理合作伙伴，您可以在 Google Cloud 外部配置 Key Access Justifications 政策，以便由外部密钥管理器（而非 Cloud KMS）专门强制执行。Key Access Justifications 可与以下 Cloud KMS 密钥类型搭配使用，具体取决于您选择的 Assured Workloads 控制包：

• Cloud EKM 密钥
• Cloud HSM 密钥

静态加密的工作原理

Google Cloud 静态加密的工作原理是使用数据存储服务之外的加密密钥来加密存储在 Google Cloud 上的数据。例如，如果您对 Cloud Storage 中的数据进行加密， 服务只存储您已存储的加密信息，而密钥 对相应数据存储在 Cloud KMS 中（如果您使用 客户管理的加密密钥 (CMEK) 或外部密钥管理器（如果您 使用 Cloud EKM）。

使用 Google Cloud 服务时，您希望应用继续按如下所述方式工作，并且需要解密您的数据。例如，如果您使用 BigQuery 运行查询，BigQuery 服务需要解密您的数据才能对其进行分析。BigQuery 通过向密钥管理器发出解密请求来获取所需数据，从而实现此目的。

为什么访问我的密钥？

在 Google Cloud 上处理您自己的请求和工作负载时，自动化系统最常访问您的加密密钥。

除了客户发起的访问之外，Google 员工可能还需要： 出于以下原因启动使用您的加密密钥的操作：

• 优化数据的结构或质量：Google 系统可能需要 访问加密密钥以索引、结构、预计算、哈希、分片或 缓存您的数据

• 备份数据：出于灾难恢复原因，Google 可能需要访问您的加密密钥来备份您的数据。

• 解决支持请求：Google 员工可能需要 数据履行提供支持的合同义务。

• 管理系统和排查问题：Google 员工可以发起操作 使用加密密钥执行 提出复杂的支持请求或调查可能还需要访问权限才能执行以下操作： 修复存储故障或数据损坏。

• 确保数据完整性和合规性，并防范欺诈和滥用行为： Google 可能需要解密数据，原因如下：

  • 确保您的数据和账号安全无虞。
  • 确保您在使用 Google 服务时遵守 Google Cloud 服务条款。
  • 为了调查其他用户和客户的投诉，或根据其他 滥用行为。
  • 验证 Google Cloud 服务的使用是否符合 适用的监管要求，如反洗钱 法规。

• 保持系统可靠性：Google 员工可以请求访问 调查疑似服务中断不会对您造成影响。此外，系统可能会请求访问权限，以确保在服务中断或系统故障时进行备份和恢复。

如需查看理由代码列表，请参阅密钥访问理由的理由原因代码。

管理对外部托管密钥的访问权限

每次访问外部托管密钥时，密钥访问理由都会提供原因。只有在外部管理密钥时，才会提供原因。访问存储在 Cloud KMS 或 Cloud HSM 中的密钥不提供 原因。将密钥存储在外部密钥管理器时，您将收到基于服务的访问权限（针对支持的服务）以及直接 API 访问权限的理由。

在您注册使用 Key Access Justifications 并使用外部托管密钥后，您将立即收到每个密钥访问权限的理由。

如果您将 Key Access Justifications 和 Access Approval 与 外部客户管理的密钥，则无法 会进行处理，除非在之后使用外部管理的密钥对批准进行签名， 通过签名请求的 Key Access Justifications 政策检查。全部 由密钥签名的 Access Approval 会显示在 Access Transparency 日志中。

启用密钥访问理由

Key Access Justifications 只能用于 Assured Workloads，并且由 创建配置新 Assured Workloads 文件夹时， 包含 Key Access Justifications 的控制软件包。如需了解详情，请参阅 Assured Workloads 概览。

密钥访问理由排除项

密钥访问理由仅适用于：

• 对加密数据的操作。对于给定服务中 使用客户管理的密钥加密，请参阅服务文档。
• 从静态数据转换为使用中的数据。虽然 Google 会一如既往地 对使用中的数据应用保护措施，Key Access Justifications 仅适用于 从静态数据到使用中的数据的转换。
• 以下 Compute Engine 和永久性磁盘功能在与 CMEK 搭配使用时不受影响：
  • 本地 SSD
  • 自动重启
  • 机器映像操作

后续步骤

• 请参阅 Assured Workloads for EU Regions and Support with Sovereignty Controls 支持的服务以及其他受 KAJ 支持的服务列表。
• 了解如何查看理由并采取相应措施。
• 了解在哪里可以获取 Key Access Justifications 方面的支持。
• 了解 Access Approval 请求的形式。
• 了解用于防止未经授权的人员实施控制措施的核心原则 基于管理员权限。