概览

本主题简要介绍了 Key Access Justifications。如需了解如何创建和管理外部密钥,请参阅 Cloud EKM 概览

概览

密钥访问理由的工作原理是在 Cloud EKM 请求中添加一个字段,以便您查看每个请求的原因。借助特定的外部密钥管理合作伙伴,您可以根据理由自动批准或拒绝这些请求。

启用密钥访问理由

如需为组织启用 Key Access Justifications,请提交访问权限请求表单

管理外部托管密钥的访问权限

每次访问外部托管密钥时,密钥访问理由都会提供原因。只有在外部管理密钥时,才会显示原因。存储在 Cloud KMS 或 Cloud HSM 中的密钥在通过服务访问时不会显示可见原因。将密钥存储在外部密钥管理器时,您将收到基于服务的访问权限(针对支持的服务)以及直接 API 访问权限的理由。

在您获准使用密钥访问理由并使用外部托管密钥后,您将立即收到每个密钥访问权限的理由。

为什么访问我的密钥?

Google Cloud 静态加密的工作原理是使用数据存储服务之外的加密密钥来加密存储在 Google Cloud 上的数据。例如,如果您在 Cloud Storage 中加密数据,则该服务仅存储您已存储的加密信息,而用于加密该数据的密钥则存储在 Cloud KMS 中(如果您使用的是客户管理的加密密钥 (CMEK))或在外部密钥管理器中(如果您使用的是 Cloud External Key Manager)。

使用 Google Cloud 服务时,您希望应用继续按如下所述方式工作,并且需要解密您的数据。例如,如果您使用 BigQuery 运行查询,则 BigQuery 服务需要解密数据才能对其进行分析。为此,BigQuery 需要调用密钥管理器才能解密数据。

如需查看理由列表,请参阅密钥访问理由原因

查看理由并据此执行操作

每当您的信息被加密或解密时,Key Access Justifications 会向您发送一个理由,说明访问的原因。通过我们的 Cloud EKM 合作伙伴提供的软件,您可以设置政策以根据理由的内容自动批准或拒绝访问。如需详细了解如何设置政策,请参阅所选密钥管理器的相关文档。以下合作伙伴支持密钥访问理由:

  • Ionic
  • Fortanix
  • Thales

下面列出的理由原因代码涵盖的场景与 Access Transparency 代码不同,因此这些代码不匹配。

理由原因代码

原因 说明
CUSTOMER_INITIATED_ACCESS 客户使用其帐号执行对 IAM 政策授权的任何数据的访问权限。
MODIFIED_CUSTOMER_INITIATED_ACCESS 客户使用其帐号执行对 IAM 政策授权的任何数据的访问权限。同时,Google 管理员已重置与用户组织关联的根访问权限帐号,或者由 Google 发起的紧急访问权限操作影响了被访问的资源。
GOOGLE_INITIATED_SYSTEM_OPERATION Google 员工会访问客户数据,以帮助优化数据结构或质量,以供客户将来使用。这些访问可用于对客户数据进行索引、构建、预计算、哈希处理、分片和缓存。这也包括出于灾难恢复或数据完整性原因而备份数据,以及检测备份数据可能可补救的错误。

请注意,如果客户已将托管式控制平面操作委托给 Google,例如创建托管实例组,则所有托管操作都将显示为系统操作。触发下游解密操作的托管实例组管理器等服务无权访问明文客户数据。

MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION Google 会访问客户数据以帮助优化数据结构或质量,以供客户将来使用。这些访问可用于对客户数据进行索引、构建、预计算、哈希处理、分片和缓存。此外,出于备份或数据完整性方面的考虑,还应备份数据,以及检测备份数据可能可补救的错误。同时,Google 发起的紧急访问权限操作影响了被访问的资源。
REASON_NOT_EXPECTED

此次密钥请求预计无任何理由,原因如下:

  • 相关服务从未与 Key Access Justifications 集成。
  • 该服务仍处于预览版阶段,因此可能仍具有调用外部密钥管理器的残留方法,但仍然无法提供理由。
CUSTOMER_INITIATED_SUPPORT 客户发起的支持,例如“Case Number:####”。
GOOGLE_INITIATED_SERVICE

请参阅 Google 发起的系统管理和问题排查访问。Google 员工有可能会出于以下原因授予此类访问权限:

  • 执行复杂的支持请求或调查所需的技术调试。
  • 解决技术问题(例如存储故障或数据损坏)的方法。
THIRD_PARTY_DATA_REQUEST Google 按照法律要求或司法程序发起的访问,包括 Google 在客户要求的情况下按照司法程序访问客户自己的数据。
GOOGLE_INITIATED_REVIEW Google 发起的针对安全性、欺诈、滥用或合规性目的访问,包括:
  • 确保客户帐号和数据的安全性。
  • 确认数据是否受到可能影响帐号安全的事件(例如,恶意软件感染)的影响。
  • 确认客户是否按照 Google 服务条款使用 Google 服务。
  • 调查其他用户和客户的投诉,或其他可能表明存在滥用行为的迹象。
  • 检查 Google 服务的使用是否符合相关合规性制度(例如,反洗钱条例)。
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

指的是由 Google 发起的访问,以维护系统可靠性。Google 员工可能会因以下原因进行此类访问:

  • 进行调查并确认可疑的服务中断不会影响客户。
  • 确保从服务中断和系统故障中恢复数据。
REASON_UNSPECIFIED 您已启用 Key Access Justifications,但没有适合此请求的理由。原因可能是暂时性错误、错误或某种其他情况。
不存在理由字段 您没有为 Key Access Justifications 启用。

密钥访问理由排除项

密钥访问理由仅适用于:

  • 对加密数据的操作。对于给定服务中由外部托管密钥加密的字段,请参阅您使用的给定服务的文档。
  • 从静态数据转换为使用中的数据。虽然 Google 会继续对您使用中的数据应用保护措施,但密钥访问理由仅控制从静态数据到使用中的数据的转换
  • CMEK 豁免。
    • BigQuery:
      • 不包括 BigQuery ML 和 BigQuery BI Engine。
    • Compute Engine/永久性磁盘
      • 排除本地 SSD 和自动重启。
      • 排除机器映像操作。

支持的服务

服务 状态
BigQuery GA
Cloud Spanner GA
Cloud Storage GA
Cloud SQL GA
Compute Engine GA
Google Kubernetes Engine GA
永久性磁盘 GA
Pub/Sub GA

后续步骤