Visão geral

Este tópico fornece uma visão geral das Justificativas de acesso às chaves. Para informações sobre como criar e gerenciar chaves externas, consulte Visão geral do Cloud EKM.

As justificativas de acesso à chave funcionam com a adição um campo às solicitações do Cloud EKM que permite visualizar o motivo de cada solicitação. Os parceiros de gerenciamento de chaves externos permitem aprovar ou negar automaticamente essas solicitações com base na justificativa.

Como funciona a criptografia em repouso

A criptografia em repouso no Google Cloud funciona criptografando seus dados armazenados no Google Cloud com uma chave de criptografia que reside fora do serviço em que os dados estão armazenados. Por exemplo, se você criptografar dados no Cloud Storage, o serviço armazenará apenas as informações criptografadas armazenadas, enquanto a chave usada para criptografar esses dados será armazenada no Cloud KMS (se você estiver usando chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) ou no gerenciador de chaves externo (se estiver usando o Cloud External Key Manager).

Ao usar um serviço do Google Cloud, você quer que seus aplicativos continuem funcionando conforme descrito, e isso exigirá que seus dados sejam descriptografados. Por exemplo, se você executar uma consulta usando o BigQuery, o serviço do BigQuery precisará descriptografar os dados para analisá-los. Para isso, o BigQuery chama o gerenciador de chaves para descriptografar os dados.

Por quais motivos minhas chaves seriam acessadas?

Suas chaves de criptografia são acessadas com mais frequência por sistemas automatizados enquanto atendem às suas próprias solicitações e cargas de trabalho no Google Cloud.

Além dos acessos iniciados pelo cliente, um funcionário do Google pode precisar iniciar operações que usam suas chaves de criptografia pelos seguintes motivos:

  • Otimize a estrutura ou a qualidade dos dados: os sistemas do Google talvez precisem acessar suas chaves de criptografia para indexar, estruturar, pré-computar, gerar hash, fragmentar ou armazenar em cache os dados.

  • Fazer backup dos dados: o Google pode precisar acessar suas chaves de criptografia para fazer backup dos dados por motivos de recuperação de desastres.

  • Resolver uma solicitação de suporte: um funcionário do Google pode precisar descriptografar seus dados para cumprir a obrigação contratual de fornecer suporte.

  • Gerencie e resolva problemas de sistemas: a equipe do Google pode iniciar operações que usam suas chaves de criptografia para realizar a depuração técnica necessária para uma solicitação ou investigação de suporte complexa. O acesso também pode ser necessário para corrigir uma falha de armazenamento ou a corrupção de dados.

  • Garantir a integridade e a conformidade dos dados, além de proteger contra fraudes e abusos: o Google pode precisar descriptografar dados pelos seguintes motivos:

    • Garantir a segurança dos seus dados e contas.
    • Verificar se você está usando os Serviços do Google em conformidade com os Termos de Serviço.
    • Para investigar reclamações de outros usuários e clientes ou outros sinais de atividade abusiva.
    • Verificar se os serviços do Google estão sendo usados de acordo com os regimes de compliance relevantes, como as regulamentações contra lavagem de dinheiro.

  • Manter a confiabilidade do sistema: a equipe do Google pode solicitar acesso para investigar se uma suspeita de falha temporária do serviço não está afetando você. Além disso, o acesso pode ser solicitado para garantir o backup e a recuperação de interrupções ou falhas do sistema.

Confira a lista de códigos de justificativa em códigos de motivo da justificativa para justificações de acesso às chaves.

Como gerenciar o acesso às chaves gerenciadas externamente

As justificativas de acesso às chaves informam um motivo sempre que as chaves gerenciadas externamente são acessadas. Os motivos são fornecidos apenas quando as chaves são gerenciadas externamente. Os acessos a chaves armazenadas no Cloud KMS ou no Cloud HSM não fornecem um motivo. Quando uma chave é armazenada no gerenciador de chaves externo, você recebe uma justificativa para o acesso baseado em serviço (para serviços com suporte) e o acesso direto à API.

Depois de se inscrever nas Justificativas de acesso às chaves e usar uma chave gerenciada externamente, você recebe imediatamente as justificativas para cada acesso às chaves.

Se você estiver usando as Justificativas de acesso às chaves e a Aprovação de acesso com uma chave gerenciada pelo cliente externa, as solicitações de acesso administrativo não poderão ser processadas, a menos que as aprovações sejam assinadas com a chave gerenciada externamente após a verificação da política de Justificativas de acesso às chaves para a solicitação de assinatura. Todas as aprovações de acesso assinadas pela chave aparecem nos registros da Transparência no acesso.

Como ativar justificações de acesso à chave

Para ativar as justificativas de acesso às chaves para uma organização, é necessário se inscrever no Assured Workloads. As justificativas de acesso às chaves são ativadas para todos os clientes do Assured Workloads por padrão.

Para saber como começar a usar Assured Workloads, consulte Como usar Assured Workloads.

Exclusões das justificativas de acesso à chave

As justificativas de acesso à chave se aplicam apenas a:

  • operações em dados criptografados; Para os campos em um determinado serviço que são criptografados por uma chave gerenciada externamente, consulte a documentação do serviço fornecido.
  • transição de dados em repouso para dados em uso; Enquanto o Google continua a aplicar proteções aos dados em uso, as Justificativas de acesso às chaves regem a transição de dados em repouso para dados em uso apenas.
  • Isenções de CMEK do Compute Engine/disco permanente:
    • A SSD local e a reinicialização automática são excluídas.
    • As operações de imagem de máquina não estão incluídas.

A seguir