概要

このトピックでは、Key Access Justifications の概要について説明します。外部鍵の作成と管理の詳細については、Cloud EKM の概要をご覧ください。

概要

Key Access Justifications は、Cloud EKM リクエストに各リクエストの理由を表示できるフィールドを追加することによって機能します。一部の外部鍵管理パートナーでは、この理由に基づいてこれらのリクエストを自動的に承認または拒否できます。

Key Access Justifications の有効化

組織で Key Access Justification を有効にするには、アクセス リクエスト フォームを送信します。

外部で管理する鍵へのアクセスを管理する

Key Access Justifications は、外部で管理する鍵がアクセスされるたびに理由を生成します。理由は、鍵が外部で管理されている場合にのみ表示されます。Cloud KMS または Cloud HSM に保存されている鍵は、サービスからアクセスされたときに目に見える理由を表示しません。鍵が外部のキー マネージャーに保存されると、サービスベースのアクセス(サポートされるサービスの場合)と API の直接アクセスの両方の理由が表示されます。

Key Access Justifications のオンボーディングを行った後に外部で管理される鍵を使用すると、すべてのアクセスの理由がすぐに表示されます。

鍵にアクセスする理由

Google Cloud で保存されているデータの暗号化は、Google Cloud に保存されているデータを、データが保存されているサービスの外部にある暗号化鍵で暗号化することで行われます。たとえば、Cloud Storage でデータを暗号化した場合、サービスでは暗号化された情報のみが保存されます。データの暗号化に使用した鍵は、顧客管理の暗号鍵(CMEK)の場合は Cloud KMS に、また Cloud External Key Manager の場合は外部鍵マネージャーに保存されます。

Google Cloud サービスを使用する場合、アプリケーションを説明どおりに動作させ続けるには、データを復号する必要があります。たとえば、BigQuery を使用してクエリを実行する場合、BigQuery サービスは分析のためにデータを復号する必要があります。これを行うには、データを復号するためにキー マネージャーを呼び出す必要があります。

理由の一覧については、Key Access Justifications の理由をご覧ください。

正当化の表示と操作

情報が暗号化または復号されるたびに、Key Access Justification からアクセスの理由を説明するメールが届きます。Cloud EKM パートナーが提供するソフトウェアを使用すると、正当化の内容に基づいてアクセスを自動的に承認または拒否するポリシーを設定できます。ポリシーの設定方法について詳しくは、使用する鍵管理システムの関連ドキュメントをご覧ください。次のパートナーが Key Access Justifications をサポートしています。

  • Ionic
  • Fortanix
  • Thales

下記のjustificationの理由のコードは、アクセスの透明性コードとは異なるシナリオに対応しているため、これらも一致しません。

正当化理由コード

理由 説明
CUSTOMER_INITIATED_ACCESS お客様は、自身のアカウントを使用して、IAM ポリシーで承認された自身のデータへのアクセスを実行します。
MODIFIED_CUSTOMER_INITIATED_ACCESS お客様は、自身のアカウントを使用して、IAM ポリシーで承認された自身のデータへのアクセスを実行します。それと同時に、Google 管理者がユーザーの組織に関連付けられた root アクセス アカウントをリセットしたか、Google が開始したブレークグラス オペレーションがアクセスされたリソースに影響しました。
GOOGLE_INITIATED_SYSTEM_OPERATION Google が顧客データにアクセスして、お客様の今後の使用のためにデータ構造や品質を最適化します。これらのアクセスは、顧客データのインデックス登録、構造化、事前計算、ハッシング、シャーディング、キャッシングに使用できます。また、障害復旧や整合性のためにデータをバックアップしたり、バックアップ データで解決できるエラーを検出したりすることもできます。

マネージド インスタンス グループの作成など、お客様がマネージド コントロール プレーンのオペレーションを Google に委任した場合、すべてのマネージド オペレーションがシステム オペレーションとして表示されます。ダウンストリームの復号オペレーションをトリガーするマネージド インスタンス グループ マネージャーなどのサービスには、クリアテキストのお客様データへのアクセス権がありません。

MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION Google がお客様のデータにアクセスして、お客様の今後の使用のためにデータ構造や品質を最適化します。これらのアクセスは、顧客データのインデックス登録、構造化、事前計算、ハッシング、シャーディング、キャッシングに使用できます。また、障害復旧や整合性のためにデータをバックアップしたり、バックアップ データで解決できるエラーを検出したりすることもできます。それと同時に、Google が開始したブレークグラス オペレーションが、アクセスされたリソースに影響しました。
REASON_NOT_EXPECTED

次の理由により、この鍵リクエストには理由はありません。

  • 該当のサービスが Key Access Justifications と統合されていない。
  • このサービスはまだプレビュー中であるため、外部キー マネージャーを呼び出す残りのメソッドがまだ存在する場合がありますが、依然として正当性を提供しません。
CUSTOMER_INITIATED_SUPPORT お客様が開始したサポート(例: 「ケース番号: ####」)。
GOOGLE_INITIATED_SERVICE

システム管理とトラブルシューティングのために Google が開始したアクセスを指します。Google の従業員は、次のような理由でこの種類のアクセス権を使用できます。

  • 複雑なサポート リクエストや調査に必要な技術的なデバッグを行う。
  • ストレージ障害やデータ破損などの技術的問題を解決する。
THIRD_PARTY_DATA_REQUEST 法的要請または法的手続きに対応するために Google が開始したアクセス(Google がお客様自身のデータにアクセスする必要がある法的手続きに対応する場合など)。
GOOGLE_INITIATED_REVIEW 次のようなセキュリティ、詐欺、乱用、コンプライアンスに関する目的で Google が開始したアクセス:
  • お客様のアカウントおよびデータの安全性とセキュリティを確保する
  • アカウントのセキュリティに影響を与える可能性のあるイベント(マルウェア感染など)によってデータが影響を受けるかどうかを確認する
  • お客様が Google 利用規約に準拠して Google サービスを使用しているかどうかを確認する
  • 他のユーザーやお客様からの申し立て、または不正行為の兆候を調査する
  • Google サービスが、関連するコンプライアンス制度(マネーロンダリング防止規制など)と一貫して使用されていることを確認する
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

システムの信頼性を維持するために Google が開始したアクセスを指します。Google の従業員は、次の理由でこの種類のアクセスを行うことができます。

  • 疑わしいサービス停止がお客様に影響しないかどうかを調べて確認する。
  • 停電やシステム障害からのバックアップと復旧を確実に行う。
REASON_UNSPECIFIED Key Access Justifications が有効になっていますが、正当化されるリクエストはありません。一時的なエラー、バグ、またはその他の状況が考えられます。
[理由] フィールドがない Key Access Justifications が有効になっていない。

Key Access Justifications の除外

Key Access Justifications は以下にのみ適用されます。

  • 暗号化されたデータに対するオペレーション。外部で管理する鍵で暗号化されるサービス内のフィールドについては、使用しているサービスのドキュメントをご覧ください。
  • 保存データから使用中のデータへの移行。Google は使用中のデータに引き続き保護を適用しますが、Key Access Justifications は、保存データから使用中のデータへの移行を管理します。
  • CMEK の除外。
    • BigQuery:
      • BigQuery ML と BigQuery BI Engine は除外されます。
    • Compute Engine/永続ディスク
      • ローカル SSD と自動再起動は除外されます。
      • マシンイメージ オペレーションは除外されます。

サポート サービス

サービス ステータス
BigQuery GA
Cloud Spanner GA
Cloud Storage GA
Cloud SQL GA
Compute Engine GA
Google Kubernetes Engine GA
Persistent Disk GA
Pub/Sub GA

次のステップ