Descripción general

En esta página, se proporciona una descripción general de las justificaciones de acceso a claves. Key Access Justifications te permite definir política sobre claves de Cloud Key Management Service (Cloud KMS) para ver, aprobar y rechazar claves de acceso a las solicitudes de acceso según la código de justificación. Para socios de administración de claves externos seleccionados, puedes configurar las políticas de Key Access Justifications fuera de a Google Cloud que lo aplique exclusivamente el administrador de claves externo que en Cloud KMS. Key Access Justifications funciona con los siguientes los tipos de claves de Cloud KMS según Paquete de control de Assured Workloads selecciona una de las siguientes opciones:

• Claves de Cloud EKM
• Claves de Cloud HSM

Cómo funciona la encriptación en reposo

La encriptación en reposo de Google Cloud funciona encriptando tus datos almacenados en Google Cloud con una clave de encriptación que se encuentra fuera del servicio en el que se almacenan los datos. Por ejemplo, si encriptas datos en Cloud Storage, el servicio solo almacena la información encriptada que almacenaste, mientras que la clave que se usa para encriptar esos datos se almacena en Cloud KMS (si usas claves de encriptación administradas por el cliente [CMEK]) o en tu administrador de claves externo (si usas Cloud EKM).

Cuando usas un servicio de Google Cloud, quieres que tus aplicaciones sigan funcionando como se describe, y esto requerirá que se desencripten tus datos. Por ejemplo, si ejecutas una consulta con BigQuery, el conjunto de datos necesita desencriptar tus datos para poder analizarlos. Para ello, BigQuery realiza una solicitud de desencriptación al administrador de claves para obtener los datos necesarios.

¿Por qué accederían a mis claves?

Los sistemas automatizados suelen acceder a tus claves de encriptación mientras atienden tus propias solicitudes y cargas de trabajo en Google Cloud.

Además de los accesos que inicia el cliente, es posible que un empleado de Google necesite iniciar operaciones que usen tus claves de encriptación por los siguientes motivos:

• Optimizar la estructura o la calidad de los datos: Es posible que los sistemas de Google necesiten acceder a tus claves de encriptación para indexar, estructurar, procesar previamente, generar hash, fragmentar o almacenar en caché tus datos.

• Crea una copia de seguridad de tus datos: Es posible que Google necesite acceder a tus claves de encriptación para lo siguiente: y crear copias de seguridad de los datos por motivos de recuperación ante desastres.

• Resolver una solicitud de asistencia: Es posible que un empleado de Google deba desencriptar su datos para cumplir con la obligación contractual de proporcionar asistencia.

• Administrar y solucionar problemas de los sistemas: El personal de Google puede iniciar operaciones que usan tus claves de encriptación para realizar la depuración técnica necesaria para una solicitud o investigación de asistencia compleja. Es posible que también se necesite acceso para remediar fallas de almacenamiento o corrupción de datos.

• Garantizar la integridad y el cumplimiento de los datos, y proteger contra fraudes y abusos: Es posible que Google deba desencriptar datos por los siguientes motivos:

  • Para garantizar la seguridad de tus datos y cuentas.
  • Para asegurarte de que usas los servicios de Google de conformidad con las Condiciones del Servicio de Google Cloud.
  • Para investigar reclamos de otros usuarios y clientes, o cualquier otro indicador de actividad abusiva.
  • Para verificar que los servicios de Google Cloud se usen de acuerdo con los requisitos regulatorios aplicables, como las reglamentaciones contra el lavado de dinero

• Mantener la confiabilidad del sistema: El personal de Google puede solicitar acceso a investigar si una presunta interrupción del servicio no te afecta. Además, es posible que se solicite acceso para garantizar la copia de seguridad y la recuperación ante interrupciones o fallas del sistema.

Para ver la lista de códigos de justificación, consulta códigos de motivos de justificación de Key Access Justifications.

Administra el acceso a tus claves administradas de forma externa

Key Access Justifications proporciona un motivo cada vez que se accede a tus claves administradas de forma externa. Los motivos solo se proporcionan cuando las claves se administran de forma externa. Los accesos a las claves almacenadas en Cloud KMS o Cloud HSM no proporcionan un motivo. Cuando se almacena una clave en tu administrador de claves externo, recibes un justificación tanto para el acceso basado en servicios (para los servicios compatibles) como para Acceso a la API.

Después de inscribirte en Key Access Justifications y usar una clave administrada de forma externa, reciban de inmediato justificaciones por cada acceso a una clave.

Si usas Key Access Justifications y Access Approval con una administrada por el cliente externa, las solicitudes de acceso administrativo no pueden se procesan, a menos que las aprobaciones se firmen con la clave administrada de forma aprobar una verificación de política de Key Access Justifications para la solicitud de firma. Todas las aprobaciones de acceso que firma la clave aparecen en los registros de Transparencia de acceso.

Habilita Key Access Justifications

Key Access Justifications solo se puede usar con Assured Workloads y se habilita de forma predeterminada cuando creas una nueva carpeta de Assured Workloads configurada para un paquete de control que incluye Key Access Justifications. Consulta la descripción general de Assured Workloads para obtener más información.

Exclusiones de Key Access Justifications

Las Key Access Justifications solo se aplican a lo siguiente:

• Operaciones con datos encriptados. Para los campos dentro de un servicio determinado que están encriptados con una clave administrada por el cliente, consulta la documentación del servicio.
• La transición de los datos en reposo a los datos en uso. Mientras Google sigue aplicando protecciones a tus datos en uso, Key Access Justifications solo rige la transición de los datos en reposo a los datos en uso.
• Las siguientes funciones de Compute Engine y Persistent Disk están exentas cuando se usan con CMEK:
  • SSD locales
  • Reinicio automático
  • Operaciones de imágenes de máquinas

¿Qué sigue?

• Consulta los servicios compatibles con Assured Workloads para Regiones y asistencia de la UE con controles de soberanía y la lista de servicios adicionales compatibles con KAJ.
• Obtén información para ver y actuar según las justificaciones.
• Obtén información sobre dónde puedes obtener asistencia para Key Access Justifications.
• Obtén más información sobre cómo se ve una solicitud de Aprobación de acceso.
• Obtén información sobre los principios básicos sobre los que se basa en los controles que evitan el acceso de administrador se basan.