Justificación de acceso a la clave

En este tema, se proporciona una descripción general de la característica de justificación de acceso clave de Cloud EKM. Para crear y administrar claves externas, consulta la página sobre cómo administrar claves de Cloud EKM.

Descripción general

La justificación para el acceso a claves funciona agregando un campo a tus solicitudes de Cloud EKM que te permite ver el motivo de cada solicitud. Con socios seleccionados de administración de claves externas, puedes aprobar o rechazar estas solicitudes de manera automática, según la justificación.

Habilita la justificación de acceso a claves

A fin de habilitar una organización para la justificación de acceso a claves, envía el formulario de solicitud de acceso.

Administra el acceso a tus claves administradas de forma externa

La justificación para el acceso a claves proporciona un motivo cada vez que se accede a tus claves administradas de forma externa. Los motivos solo son visibles cuando las claves se administran de forma externa. Las claves almacenadas en Cloud KMS o Cloud HSM no mostrarán un motivo visible cuando accedan a tu servicio. Cuando se almacena una clave en tu administrador de clave externa, recibirás una justificación para el acceso basado en servicios (para servicios compatibles) y acceso directo a la API.

Una vez que te incorpores para la justificación de acceso a claves y uses una clave administrada de forma externa, recibirás justificación inmediatamente por cada acceso a la clave.

¿Por qué se accederían a mis claves?

La encriptación en reposo de Google Cloud encripta tus datos almacenados en Google Cloud con una clave de encriptación que reside fuera del servicio en el que se almacenan. Por ejemplo, si encriptas datos en Cloud Storage, el servicio solo almacena la información encriptada que almacenaste, mientras que la clave que se usó para encriptar esos datos se almacenará en Cloud KMS (si usas. claves de encriptación administradas por el cliente (CMEK) o en tu administrador de claves externo (si usas Cloud External Key Manager)

Cuando usas un servicio de Google Cloud, deseas que tus aplicaciones continúen funcionando como se describe y esto requerirá que los datos se desencripten. Por ejemplo, si ejecutas una consulta con BigQuery, el servicio de BigQuery debe desencriptar tus datos para analizarlos. Con ese fin, BigQuery deberá llamar al administrador de claves para desencriptar los datos.

Para ver una lista de justificaciones, consulta Motivos de justificación de el acceso clave.

Visualiza y actúa según las justificaciones

Cada vez que tu información se encripta o se desencripta, la justificación del acceso a claves te envía una justificación que describe el motivo del acceso. El software de nuestros socios de Cloud EKM te permite establecer políticas para aprobar o denegar el acceso automáticamente según el contenido de las justificacións. Consulta la documentación relevante para tu administrador de claves elegido a fin de obtener más información sobre cómo establecer la política. Los siguientes socios son compatibles con la justificación de acceso a claves:

  • Ionic
  • Fortanix
  • Thales

Los códigos de motivos de justificación que se mencionan a continuación abarcan situaciones diferentes de los códigos de Transparencia de acceso, por lo que no coinciden con ellos.

Códigos de los motivos de justificación

Motivo Descripción
CUSTOMER_INITIATED_ACCESS El cliente usa su cuenta para tener cualquier acceso a sus propios datos autorizados por su propia política de IAM.
MODIFIED_CUSTOMER_INITIATED_ACCESS El cliente usa su cuenta para realizar cualquier acceso a sus propios datos autorizados por su propia política de IAM. Sin embargo, un administrador de Google restableció recientemente la cuenta de superusuario asociada con la organización del usuario.
GOOGLE_INITIATED_SYSTEM_OPERATION Google accede a los datos del cliente con el fin de ayudar a optimizar la estructura de los datos o la calidad para usos futuros del cliente. Esto incluye accesos para fines de indexación, estructuración, procesamiento previo, hash, fragmentación y almacenamiento en caché. Esto también incluye crear una copia de seguridad de los datos para la recuperación ante desastres o la integridad de los datos y detectar errores que se puedan repetir a partir de esos datos.

Ten en cuenta que el cliente delegó una operación de plano de control administrado a Google, como la creación de un grupo de instancias administrado, todas las operaciones administradas se mostrarán como operaciones del sistema. Los servicios como el administrador de grupo de instancias administrado que activan operaciones de desencriptación descendentes no tienen acceso a los datos de clientes con texto no encriptado.

REASON_NOT_EXPECTED No se espera ningún motivo para esta solicitud de clave, ya que el servicio en cuestión nunca se integró con las Key Access Justifications o está todavía en modo de vista previa, por lo tanto, aún tiene métodos residuales que llaman al administrador de claves externo, pero no proporcionan una justificación.
CUSTOMER_INITIATED_SUPPORT Asistencia que inició el cliente, por ejemplo, "Número de caso: ####".
GOOGLE_INITIATED_SERVICE Acceso que inició Google, por ejemplo, para realizar la administración del sistema y la solución de problemas, que incluye lo siguiente:
  • Copia de seguridad y recuperación ante interrupciones y fallas del sistema.
  • Investigación para confirmar que el cliente no se ve afectado por los presuntos problemas de servicio.
  • Solución de problemas técnicos, como fallas de almacenamiento o corrupción de datos
THIRD_PARTY_DATA_REQUEST Acceso que Google inició en respuesta a una solicitud legal o proceso legal, incluso cuando se responde a un proceso legal del cliente que requiere que Google acceda a sus propios datos.
GOOGLE_INITIATED_REVIEW Google inició el acceso por motivos de seguridad, fraude, abuso o cumplimiento, incluidos los siguientes:
  • Garantizar la seguridad y protección de las cuentas y los datos de los clientes
  • Confirmar si los datos se están afectados por un evento que podría causar un impacto en la seguridad de la cuenta (por ejemplo, infecciones con software malicioso)
  • Confirmar si el cliente usa los servicios de Google en conformidad con las Condiciones del Servicio de Google.
  • Investigación de reclamos de otros usuarios y clientes, o de otros indicadores de actividad abusiva
  • Verificar que los servicios de Google se usen de acuerdo con los regímenes de cumplimiento relevantes (por ejemplo, las normativas contra el lavado de dinero)
REASON_UNSPECIFIED La justificación de acceso a clave está habilitada, pero no se ofrece ninguna justificación para la solicitud. Esto puede deberse a un error transitorio, un error o alguna otra circunstancia.
No hay campos de justificación presentes La Justificación de acceso clave no está habilitada para este cliente.

Exclusiones de justificación de acceso clave

La justificación para el acceso clave solo se aplica a lo siguiente:

  • Operaciones sobre datos encriptados. Para los campos dentro de un servicio determinado que están encriptados por una clave administrada de forma externa, consulta la documentación del servicio determinado que usas.
  • La transición de los datos en reposo a los datos en uso. Si bien Google continúa aplicando protecciones al uso de tus datos en uso, la Justificación de acceso a clave rige la transición de los datos en reposo a datos únicamente en uso
  • Exenciones de CMEK.
    • BigQuery:
      • Se excluyen BigQuery ML y BigQuery BI Engine.
    • Compute Engine/Persistent Disk
      • Se excluyen el SSD y el reinicio automático.
      • Se excluyen las operaciones de imágenes de máquinas.

Servicios compatibles

Servicio Status
Compute Engine Vista previa
Persistent Disk Vista previa
BigQuery DG

Obtén ayuda y asistencia

Envíe un correo electrónico a kaj-pm@google.com para todas las consultas de asistencia.