Key Access Justification

このトピックでは、Cloud EKM の Key Access Justification 機能の概要について説明します。外部鍵を作成して管理するには、Cloud EKM 鍵の管理をご覧ください。

概要

Key Access Justification は、Cloud EKM リクエストに各リクエストの理由を確認できるフィールドを 追加することで機能します。一部の外部鍵管理パートナーでは、この理由に基づいてこれらのリクエストを自動的に承認または拒否できます。

Key Access Justification を有効にする

組織で Key Access Justification を有効にするには、アクセス リクエスト フォームを送信します。

外部で管理する鍵へのアクセスを管理する

Key Access Justification は、外部で管理する鍵がアクセスされるたびに理由を提供します。理由は、鍵が外部で管理されている場合にのみ表示されます。Cloud KMS または Cloud HSM に保存されている鍵は、サービスからアクセスされたときに目に見える理由を表示しません。鍵が外部のキー マネージャーに保存されると、サービスベースのアクセス(サポートされるサービスの場合)と API の直接アクセスの両方の理由が表示されます。

Key Access Justification のオンボーディングを行った後に外部で管理される鍵を使用すると、それぞれの鍵アクセスで正当化の理由がすぐに表示されます。

鍵にアクセスする理由

Google Cloud で保存されているデータの暗号化は、Google Cloud に保存されているデータを、データが保存されているサービスの外部にある暗号化鍵で暗号化することで行われます。たとえば、Cloud Storage でデータを暗号化した場合、サービスでは暗号化された情報のみが保存されます。データの暗号化に使用した鍵は、顧客管理の暗号鍵(CMEK)の場合は Cloud KMS に、また Cloud External Key Manager の場合は外部鍵マネージャーに保存されます。

Google Cloud サービスを使用する場合、アプリケーションを説明どおりに動作させ続けるには、データを復号する必要があります。たとえば、BigQuery を使用してクエリを実行する場合、BigQuery サービスは分析のためにデータを復号する必要があります。これを行うには、データを復号するためにキー マネージャーを呼び出す必要があります。

正当化の一覧については、Key Access Justification の理由をご覧ください。

正当化の表示と操作

情報が暗号化または復号されるたびに、Key Access Justification からアクセスの理由を説明するメールが届きます。Cloud EKM パートナーが提供するソフトウェアを使用すると、正当化の内容に基づいてアクセスを自動的に承認または拒否するポリシーを設定できます。ポリシーの設定方法について詳しくは、使用する鍵管理システムの関連ドキュメントをご覧ください。Key Access Justification は次のパートナーによりサポートされています。

  • Ionic
  • Fortanix
  • Thales

下記のjustificationの理由のコードは、アクセスの透明性コードとは異なるシナリオに対応しているため、これらも一致しません。

正当化理由コード

理由 説明
CUSTOMER_INITIATED_ACCESS お客様が自分のアカウントを使用して、独自の IAM ポリシーで承認された独自のデータにアクセスします。
MODIFIED_CUSTOMER_INITIATED_ACCESS お客様が自分のアカウントを使用して、独自の IAM ポリシーで承認された独自のデータにアクセスします。ただし、Google 管理者が、ユーザーの組織に関連付けられたスーパーユーザー アカウントを最近リセットしました。
GOOGLE_INITIATED_SYSTEM_OPERATION Google がお客様のデータにアクセスして、お客様の今後の使用のためにデータ構造や品質を最適化します。これには、インデックス登録、構造化、事前計算、ハッシュ化、シャーディング、キャッシュを目的としたアクセスなどがあります。これには、災害復旧またはデータの整合性の理由によるデータのバックアップ、およびそのバックアップ データから修正できるエラーの検出も含まれます。

マネージド インスタンス グループの作成など、お客様がマネージド コントロール プレーンのオペレーションを Google に委任した場合、すべてのマネージド オペレーションがシステム オペレーションとして表示されます。ダウンストリームの復号オペレーションをトリガーするマネージド インスタンス グループ マネージャーなどのサービスには、クリアテキストのお客様データへのアクセス権がありません。

REASON_NOT_EXPECTED この鍵リクエストには理由はありません。これは、問題のサービスが Key Access Justifications と統合されていないか、まだプレビュー中であるため、外部のキー マネージャーを呼び出すが正当な理由を提供しないメソッドが残っている可能性があるためです。
CUSTOMER_INITIATED_SUPPORT お客様が開始したサポート(例: 「ケース番号: ####」)。
GOOGLE_INITIATED_SERVICE 次のようなシステム管理とトラブルシューティングを行うために Google が開始したアクセス:
  • サービス停止とシステム障害からのバックアップと復旧
  • サービスに関する問題が疑われた場合に、お客様がその影響を受けていないことを確認するための調査
  • ストレージ障害やデータ破損などの技術的問題の修正
THIRD_PARTY_DATA_REQUEST 法的要請または法的手続きに対応するために Google が開始したアクセス(Google がお客様自身のデータにアクセスする必要がある法的手続きに対応する場合など)。
GOOGLE_INITIATED_REVIEW 次のようなセキュリティ、詐欺、乱用、コンプライアンスに関する目的で Google が開始したアクセス:
  • お客様のアカウントおよびデータの安全性とセキュリティを確保する
  • アカウントのセキュリティに影響を与える可能性のあるイベント(マルウェア感染など)によってデータが影響を受けるかどうかを確認する
  • お客様が Google 利用規約に準拠して Google サービスを使用しているかどうかを確認する
  • 他のユーザーやお客様からの申し立て、または不正行為の兆候を調査する
  • Google サービスが、関連するコンプライアンス制度(マネーロンダリング防止規制など)と一貫して使用されていることを確認する
REASON_UNSPECIFIED Key Access Justification は有効になっていますが、正当化されるリクエストはありません。この原因として、一時的なエラーやバグなどが考えられます。
[理由] フィールドがない このお客様の [Key Access Justification] は有効になっていません。

Key Access Justification からの除外

Key Access Justification は次の場合にのみ適用されます。

  • 暗号化されたデータに対するオペレーション。外部で管理する鍵で暗号化されるサービス内のフィールドについては、使用しているサービスのドキュメントをご覧ください。
  • 保存データから使用中のデータへの移行。Google は使用中のデータに引き続き保護を適用します。Key Access Justification は、保存データから使用中のデータへの移行を管理します。
  • CMEK の除外。
    • BigQuery:
      • BigQuery ML と BigQuery BI Engine は除外されます。
    • Compute Engine/永続ディスク
      • ローカル SSD と自動再起動は除外されます。
      • マシンイメージ オペレーションは除外されます。

サポート サービス

サービス ステータス
Compute Engine プレビュー
Persistent Disk プレビュー
BigQuery GA

ヘルプとサポートの利用

お問い合わせについては、kaj-pm@google.com までメールでご連絡ください。