Présentation

Cette page présente Key Access Justifications. Key Access Justifications vous permet de définir sur les clés Cloud Key Management Service (Cloud KMS) pour afficher, approuver et refuser la clé les demandes d'accès en fonction code de justification. Pour certains partenaires externes de gestion des clés, vous pouvez configurer des règles Key Access Justifications en dehors de Google Cloud doit être exclusivement appliqué par le gestionnaire de clés externe que par Cloud KMS. Key Access Justifications fonctionne avec les éléments suivants : les types de clés Cloud KMS en fonction Package de contrôle Assured Workloads vous sélectionnez:

• Clés Cloud EKM
• Clés Cloud HSM

Fonctionnement du chiffrement au repos

Le chiffrement au repos de Google Cloud consiste à chiffrer vos données stockées Google Cloud à l'aide d'une clé de chiffrement hébergée en dehors du service sont stockées. Par exemple, si vous chiffrez des données dans Cloud Storage, ne stocke que les informations chiffrées que vous avez stockées, alors que la clé pour chiffrer les données stockées dans Cloud KMS (si vous utilisez de chiffrement gérées par le client (CMEK) ou dans votre gestionnaire de clés externe utilisent Cloud EKM).

Lorsque vous utilisez un service Google Cloud, vous voulez que vos applications continuent de fonctionner comme indiqué, et cela nécessite que vos données soient déchiffrées. Par exemple, si vous exécutez une requête avec BigQuery, service doit déchiffrer vos données pour pouvoir les analyser. BigQuery fait cela en envoyant une demande de déchiffrement au gestionnaire de clés pour obtenir les données requises.

Pour quelles raisons est-il nécessaire d'accéder à mes clés ?

Les systèmes automatisés accèdent le plus souvent à vos clés de chiffrement le traitement de vos propres requêtes et charges de travail sur Google Cloud.

Outre les accès initiés par le client, un employé Google peut avoir besoin lancer des opérations qui utilisent vos clés de chiffrement pour les raisons suivantes:

• Optimisez la structure ou la qualité des données: les systèmes Google peuvent avoir besoin accéder à vos clés de chiffrement pour indexer, structurer, précalculer, hacher, partitionner ou mettre en cache vos données.

• Sauvegardez vos données: Google devra peut-être accéder à vos clés de chiffrement pour sauvegarder vos données pour des raisons de reprise après sinistre.

• Résoudre une demande d'assistance: un employé Google devra peut-être déchiffrer votre afin de remplir ses obligations contractuelles d'assistance.

• Gestion et dépannage des systèmes: le personnel de Google peut lancer les opérations. qui utilisent vos clés de chiffrement pour effectuer le débogage technique nécessaire demande d'assistance ou enquête complexe. Un accès peut également être nécessaire pour pour corriger une défaillance de stockage ou une corruption de données.

• Assurez l'intégrité et la conformité des données, et protégez-vous contre la fraude et les utilisations abusives: Google peut avoir besoin de déchiffrer des données pour les raisons suivantes:

  • Pour assurer la sécurité de vos données et de vos comptes.
  • Pour vous assurer que vous utilisez les services Google conformément aux les Conditions d'utilisation de Google Cloud.
  • Pour examiner les réclamations d'autres utilisateurs et clients, ou d'autres signaux les activités abusives.
  • Pour vérifier que les services Google Cloud sont utilisés conformément aux Les exigences réglementaires applicables, telles que la lutte contre le blanchiment d'argent de protection des données.

• Maintenir la fiabilité du système: le personnel de Google peut demander l'accès aux enquêter pour vérifier qu'une interruption susceptible de service ne vous concerne pas. Vous pouvez aussi accéder peuvent être demandées pour garantir la sauvegarde et la récupération en cas de panne ou d'échecs.

Pour obtenir la liste des codes de justification, reportez-vous à la section codes de motif de justification pour Key Access Justifications.

Gérer l'accès à vos clés gérées en externe

Key Access Justifications fournit un motif chaque fois que vos clés gérées en externe sont accessibles. Les motifs ne sont fournis que lorsque les clés sont gérées en externe. Les accès aux clés stockées dans Cloud KMS ou Cloud HSM ne fournissent ou motif. Lorsqu'une clé est stockée dans votre gestionnaire de clés externe, vous recevez une justification de l'accès basé sur les services (pour les services compatibles) et de l'accès direct Accès à l'API.

Une fois que vous êtes inscrit à Key Access Justifications et que vous avez utilisé une clé gérée en externe, reçoivent immédiatement une justification pour chaque accès à une clé.

Si vous utilisez Key Access Justifications et Access Approval avec une une clé externe gérée par le client, les demandes d'accès administrateur ne peuvent pas être traitées, sauf si les approbations sont signées avec la clé gérée en externe après en passant une vérification de la stratégie Key Access Justifications pour la demande de signature. Tout les approbations d'accès signées par la clé apparaissent dans les journaux Access Transparency.

Activer Key Access Justifications

Key Access Justifications ne peut être utilisé qu'avec Assured Workloads et est activé par par défaut lorsque vous créez un dossier Assured Workloads configuré pour un package de contrôle qui inclut Key Access Justifications. Consultez le Présentation d'Assured Workloads pour en savoir plus des informations.

Exclusions du champ des justifications d'accès aux clés

Les justifications d'accès aux clés ne s'appliquent qu'aux éléments suivants :

• Opérations sur des données chiffrées. Pour les champs d'un service donné chiffrées par une clé gérée par le client, reportez-vous à la documentation du service.
• Transition des données au repos vers les données en cours d'utilisation. Bien que Google continue des protections à vos données utilisées, Key Access Justifications ne régit que passer des données au repos aux données en cours d'utilisation.
• Les fonctionnalités suivantes de Compute Engine et de Persistent Disk sont exemptées lorsqu'elles sont utilisées avec CMEK: <ph type="x-smartling-placeholder">
  </ph>
  • Disques SSD locaux
  • Redémarrage automatique
  • Opérations sur les images système

Étape suivante

• Voir les services compatibles avec Assured Workloads pour Régions de l'UE et assistance pour les contrôles de souveraineté et la liste des services supplémentaires compatibles avec KAJ.
• Découvrez comment afficher les justifications et agir en conséquence.
• Découvrez comment obtenir de l'aide concernant Key Access Justifications.
• En savoir plus sur les demandes Access Approval
• En savoir plus sur les principes fondamentaux sur lesquels les contrôles pour éviter les accès non autorisés des accès administrateur.