このトピックでは、Key Access Justifications の概要について説明します。外部鍵の作成と管理の詳細については、Cloud EKM の概要をご覧ください。
概要
Key Access Justifications は、Cloud EKM リクエストに各リクエストの理由を表示できるフィールドを追加することによって機能します。一部の外部鍵管理パートナーでは、この理由に基づいてこれらのリクエストを自動的に承認または拒否できます。
Key Access Justifications の有効化
組織で Key Access Justification を有効にするには、アクセス リクエスト フォームを送信します。
外部で管理する鍵へのアクセスを管理する
Key Access Justifications は、外部で管理する鍵がアクセスされるたびに理由を生成します。理由は、鍵が外部で管理されている場合にのみ表示されます。Cloud KMS または Cloud HSM に保存されている鍵は、サービスからアクセスされたときに目に見える理由を表示しません。鍵が外部のキー マネージャーに保存されると、サービスベースのアクセス(サポートされるサービスの場合)と API の直接アクセスの両方の理由が表示されます。
Key Access Justifications のオンボーディングを行った後に外部で管理される鍵を使用すると、すべてのアクセスの理由がすぐに表示されます。
鍵にアクセスする理由
Google Cloud で保存されているデータの暗号化は、Google Cloud に保存されているデータを、データが保存されているサービスの外部にある暗号化鍵で暗号化することで行われます。たとえば、Cloud Storage でデータを暗号化した場合、サービスでは暗号化された情報のみが保存されます。データの暗号化に使用した鍵は、顧客管理の暗号鍵(CMEK)の場合は Cloud KMS に、また Cloud External Key Manager の場合は外部鍵マネージャーに保存されます。
Google Cloud サービスを使用する場合、アプリケーションを説明どおりに動作させ続けるには、データを復号する必要があります。たとえば、BigQuery を使用してクエリを実行する場合、BigQuery サービスは分析のためにデータを復号する必要があります。これを行うには、データを復号するためにキー マネージャーを呼び出す必要があります。
理由の一覧については、Key Access Justifications の理由をご覧ください。
正当化の表示と操作
情報が暗号化または復号されるたびに、Key Access Justification からアクセスの理由を説明するメールが届きます。Cloud EKM パートナーが提供するソフトウェアを使用すると、正当化の内容に基づいてアクセスを自動的に承認または拒否するポリシーを設定できます。ポリシーの設定方法について詳しくは、使用する鍵管理システムの関連ドキュメントをご覧ください。次のパートナーが Key Access Justifications をサポートしています。
- Ionic
- Fortanix
- Thales
下記のjustificationの理由のコードは、アクセスの透明性コードとは異なるシナリオに対応しているため、これらも一致しません。
正当化理由コード
| 理由 | 説明 |
CUSTOMER_INITIATED_ACCESS
|
お客様は、自身のアカウントを使用して、IAM ポリシーで承認された自身のデータへのアクセスを実行します。 |
MODIFIED_CUSTOMER_INITIATED_ACCESS
|
お客様は、自身のアカウントを使用して、IAM ポリシーで承認された自身のデータへのアクセスを実行します。それと同時に、Google 管理者がユーザーの組織に関連付けられた root アクセス アカウントをリセットしたか、Google が開始したブレークグラス オペレーションがアクセスされたリソースに影響しました。 |
GOOGLE_INITIATED_SYSTEM_OPERATION
|
Google が顧客データにアクセスして、お客様の今後の使用のためにデータ構造や品質を最適化します。これらのアクセスは、顧客データのインデックス登録、構造化、事前計算、ハッシング、シャーディング、キャッシングに使用できます。また、障害復旧や整合性のためにデータをバックアップしたり、バックアップ データで解決できるエラーを検出したりすることもできます。 マネージド インスタンス グループの作成など、お客様がマネージド コントロール プレーンのオペレーションを Google に委任した場合、すべてのマネージド オペレーションがシステム オペレーションとして表示されます。ダウンストリームの復号オペレーションをトリガーするマネージド インスタンス グループ マネージャーなどのサービスには、クリアテキストのお客様データへのアクセス権がありません。 |
MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION
|
Google がお客様のデータにアクセスして、お客様の今後の使用のためにデータ構造や品質を最適化します。これらのアクセスは、顧客データのインデックス登録、構造化、事前計算、ハッシング、シャーディング、キャッシングに使用できます。また、障害復旧や整合性のためにデータをバックアップしたり、バックアップ データで解決できるエラーを検出したりすることもできます。それと同時に、Google が開始したブレークグラス オペレーションが、アクセスされたリソースに影響しました。 |
REASON_NOT_EXPECTED
|
次の理由により、この鍵リクエストには理由はありません。
|
CUSTOMER_INITIATED_SUPPORT
|
お客様が開始したサポート(例: 「ケース番号: ####」)。 |
GOOGLE_INITIATED_SERVICE
|
システム管理とトラブルシューティングのために Google が開始したアクセスを指します。Google の従業員は、次のような理由でこの種類のアクセス権を使用できます。
|
THIRD_PARTY_DATA_REQUEST
|
法的要請または法的手続きに対応するために Google が開始したアクセス(Google がお客様自身のデータにアクセスする必要がある法的手続きに対応する場合など)。 |
GOOGLE_INITIATED_REVIEW
|
次のようなセキュリティ、詐欺、乱用、コンプライアンスに関する目的で Google が開始したアクセス:
|
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT
|
システムの信頼性を維持するために Google が開始したアクセスを指します。Google の従業員は、次の理由でこの種類のアクセスを行うことができます。
|
REASON_UNSPECIFIED
|
Key Access Justifications が有効になっていますが、正当化されるリクエストはありません。一時的なエラー、バグ、またはその他の状況が考えられます。 |
| [理由] フィールドがない | Key Access Justifications が有効になっていない。 |
Key Access Justifications の除外
Key Access Justifications は以下にのみ適用されます。
- 暗号化されたデータに対するオペレーション。外部で管理する鍵で暗号化されるサービス内のフィールドについては、使用しているサービスのドキュメントをご覧ください。
- 保存データから使用中のデータへの移行。Google は使用中のデータに引き続き保護を適用しますが、Key Access Justifications は、保存データから使用中のデータへの移行を管理します。
- CMEK の除外。
- BigQuery:
- BigQuery ML と BigQuery BI Engine は除外されます。
- Compute Engine/永続ディスク
- ローカル SSD と自動再起動は除外されます。
- マシンイメージ オペレーションは除外されます。
- BigQuery:
サポート サービス
| サービス | ステータス |
| BigQuery | GA |
| Cloud Spanner | GA |
| Cloud Storage | GA |
| Cloud SQL | GA |
| Compute Engine | GA |
| Google Kubernetes Engine | GA |
| Persistent Disk | GA |
| Pub/Sub | GA |
次のステップ
- Key Access Justifications のサポートに関する情報をご覧ください。