Esta página foi traduzida pela API Cloud Translation.
Switch to English

Justificativas de acesso do Cloud EKM

Neste tópico, apresentamos uma visão geral do recurso de justificativa do acesso a chaves do Cloud EKM. Para criar e gerenciar chaves externas, consulte Como gerenciar chaves do Cloud EKM.

Visão geral

O processo de justificativa do acesso à chaves funciona adicionando um campo às solicitações do Cloud EKM, que permite visualizar o motivo de cada solicitação. Os parceiros de gerenciamento de chaves externos permitem aprovar ou negar automaticamente essas solicitações com base na justificativa.

Como ativar a justificativa do acesso a chaves

Para ativar a organização de justificativa do acesso a chaves, envie o formulário de solicitação de acesso.

Como gerenciar o acesso às chaves gerenciadas externamente

A justificação do acesso às chaves fornece um motivo para o acesso das chaves gerenciadas externamente. Os motivos são visíveis apenas quando as chaves são gerenciadas externamente. As chaves armazenadas no Cloud KMS ou no Cloud HSM não mostrarão o motivo quando acessados pelo serviço. Quando uma chave é armazenada no seu gerenciador de chaves externo, você recebe uma justificativa de acesso baseado em serviços (para serviços compatíveis) e de acesso direto à API.

Depois de integrar a justificativa de acesso à chave e usar uma chave gerenciada externamente, você receberá justificativas imediatamente para cada acesso à chave.

Por quais motivos minhas chaves seriam acessadas?

A criptografia em repouso do Google Cloud criptografa os dados armazenados no Google Cloud com uma chave de criptografia que fica fora do serviço em que os dados são armazenados. Por exemplo, se você criptografar dados no Cloud Storage, o serviço armazenará apenas as informações criptografadas que você armazenou, enquanto a chave usada para criptografar esses dados será armazenada no Cloud KMS (se você estiver usando: chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) ou no gerenciador de chaves externo (se você estiver usando o Cloud External Key Manager).

Ao usar um serviço do Google Cloud, você quer que seus aplicativos continuem funcionando conforme descrito, e isso exigirá que seus dados sejam descriptografados. Por exemplo, se você executar uma consulta usando o BigQuery, o serviço do BigQuery precisará descriptografar os dados para analisá-los. Para fazer isso, o BigQuery precisará chamar o gerenciador de chaves para descriptografar os dados.

Para ver uma lista de justificativas, consulte Principais motivos da justificativa do acesso.

Como visualizar justificativas e agir com base nelas

Sempre que suas informações forem criptografadas ou descriptografados, a justificativa do acesso à chave enviará uma justificativa descrevendo o motivo do acesso. O software dos nossos parceiros do Cloud EKM permite que você defina uma política para aprovar ou negar automaticamente o acesso com base no conteúdo das justificativas. Consulte a documentação relevante do gerente de chaves escolhido para mais informações sobre como definir a política. Os seguintes parceiros são compatíveis com a justificativa do acesso a chaves:

  • Ionic
  • Fortanix
  • Thales

Códigos de motivo da justificativa

Motivo Descrição
CUSTOMER_INITIATED_ACCESS O cliente usa a própria conta para realizar qualquer acesso aos próprios dados, o que é autorizado pela própria política de IAM.
MODIFIED_CUSTOMER_INITIATED_ACCESS O cliente usa a conta para realizar qualquer acesso aos próprios dados autorizados pela própria política do IAM. No entanto, um administrador do Google redefiniu recentemente a conta de superusuário associada à Organização do usuário.
GOOGLE_INITIATED_SYSTEM_OPERATION O Google acessa os dados do cliente para ajudar a otimizar a estrutura dos dados ou a qualidade para uso futuro pelo cliente. Isso inclui acessos para fins de indexação, estruturação, pré-computação, hash, fragmentação e armazenamento em cache. Também inclui o backup de dados por motivos de recuperação de desastres ou integridade de dados e a detecção de erros que podem ser corrigidos desses dados de backup.

Observe que, quando o cliente delegou uma operação de plano de controle gerenciado ao Google, como a criação de um grupo de instâncias gerenciadas, todas as operações gerenciadas passaram a ser exibidas como operações do sistema. Serviços como o gerenciador de grupos de instâncias gerenciadas que acionam operações de descriptografia downstream não têm acesso a dados de cliente sem texto.

REASON_NOT_EXPECTED Nenhum motivo é esperado para essa solicitação de chave, porque o serviço em questão nunca foi integrado às justificativas do acesso à chave ou ainda está em Visualização. Portanto, ainda pode haver métodos residuais que chamam o gerenciador de chaves externo, mas sem uma justificativa fornecida.
CUSTOMER_INITIATED_SUPPORT Suporte iniciado pelo cliente, por exemplo, "Número do caso: ####".
GOOGLE_INITIATED_SERVICE Acesso iniciado pelo Google, por exemplo, para executar o gerenciamento e a solução de problemas do sistema, inclui o seguinte:
  • Backup e recuperação de interrupções e falhas do sistema.
  • investigação para confirmar que o cliente não é afetado por problemas de serviço suspeitos.
  • correção de problemas técnicos, como falha de armazenamento ou corrupção de dados
THIRD_PARTY_DATA_REQUEST Acesso iniciado pelo Google em resposta a uma solicitação legal ou processo legal, inclusive ao responder a um processo legal do cliente que exija que o Google acesse os próprios dados do cliente.
GOOGLE_INITIATED_REVIEW Acesso iniciado pelo Google para fins de segurança, fraude, abuso ou conformidade, incluindo o seguinte:
  • Garantir a segurança e proteção das contas e dos dados do cliente
  • confirmar se os dados são afetados por um evento que pode afetar a segurança da conta (por exemplo, infecções por malware)
  • confirmar se o cliente está usando serviços do Google em conformidade com os Termos de Serviço do Google.
  • Investigar reclamações de outros usuários e clientes ou outros sinais de atividade abusiva.
  • Confirmação se os serviços do Google estão sendo usados de maneira consistente com os regimes de conformidade relevantes, por exemplo, regulamentações contra lavagem de dinheiro.
REASON_UNSPECIFIED A justificação de acesso à chave está ativada, mas nenhuma justificativa está disponível para a solicitação. Isso pode ter ocorrido devido a um erro temporário, a um bug ou alguma outra circunstância.
Nenhum campo de justificativa presente A justificação do acesso à chaves não está ativada para este cliente.

Exclusões da justificativa do acesso à chave

A justificação do acesso à chaves só se aplica aos seguintes itens:

  • operações em dados criptografados; Para os campos em um determinado serviço que são criptografados por uma chave gerenciada externamente, consulte a documentação do serviço fornecido.
  • transição de dados em repouso para dados em uso; O Google continua a aplicar proteções aos dados em uso, mas a justificativa do acesso à chave controla a transição de dados em repouso para apenas uso em dados.
  • isenções de CMEK.
    • BigQuery:
      • O BigQuery ML e o BigQuery BI Engine são excluídos.
    • Disco permanente/Compute Engine.
      • A SSD local e a reinicialização automática são excluídas.
      • As operações de imagem da máquina são excluídas.

Serviços compatíveis

Serviço Status
Compute Engine Visualizar
Persistent Disk Visualizar
BigQuery GA

Como receber ajuda e suporte

Envie todas as consultas ao suporte por e-mail: kaj-pm@google.com.