正当化理由コード

同時に、次のいずれかに該当します。

• 過去 7 日以内に、ユーザーの組織に関連付けられた root アクセス アカウントが Google 管理者によってリセットされました。
• Google が開始した緊急アクセス オペレーションで、過去 7 日間に現在アクセスされているリソースと同じプロジェクトまたはフォルダ内のリソースが操作されました。

マネージド インスタンス グループの作成など、お客様がマネージド コントロール プレーンのオペレーションを Google に委任した場合、すべてのマネージド オペレーションがシステム オペレーションとして表示されます。ダウンストリームの復号オペレーションをトリガーするマネージド インスタンス グループ マネージャーなどのサービスには、クリアテキストのお客様データへのアクセス権がありません。

同時に、次のいずれかに該当します。

• 過去 7 日以内に、ユーザーの組織に関連付けられた root アクセス アカウントが Google 管理者によってリセットされました。
• Google が開始した緊急アクセス オペレーションで、過去 7 日間に現在アクセスされているリソースと同じプロジェクトまたはフォルダ内のリソースが操作されました。

マネージド インスタンス グループの作成など、お客様がマネージド コントロール プレーンのオペレーションを Google に委任した場合、すべてのマネージド オペレーションがシステム オペレーションとして表示されます。ダウンストリームの復号オペレーションをトリガーするマネージド インスタンス グループ マネージャーなどのサービスには、クリアテキストのお客様データへのアクセス権がありません。

次のいずれかの特性を持つリクエストの処理には、少なくともサービスが関わっているため、この鍵リクエストには理由はありません。

• このサービスが Key Access Justifications と統合されていません。
• このサービスは Key Access Justifications と部分的に統合されていますが、この統合はまだプレビュー中です。このようなサービスの一部は Key Access Justifications と完全に統合されていない可能性があります。そのため、理由が作成できない場合があります。

REASON_NOT_EXPECTED 理由には前述の意味がありますが、Key Access Justifications 統合の一般提供ステータスにまだ到達していないサービスでも、他の理由（REASON_UNSPECIFIED など）が生成される場合があります。Google は、Key Access Justifications の一般提供ではないサービスを使用しているときに生成された理由について、いかなる保証もいたしません。

システム管理とトラブルシューティングのために Google が開始したアクセスを指します。Google の担当者がこの種のアクセスを行う理由は次のとおりです。

• 複雑なサポート リクエストや調査に必要な技術的なデバッグを行う。
• ストレージ障害やデータ破損などの技術的問題を解決する。

• お客様のアカウントおよびデータの安全性とセキュリティを確保する
• アカウントのセキュリティに影響を与える可能性のあるイベント（マルウェア感染など）によってデータが影響を受けるかどうかを確認する
• お客様が Google 利用規約に準拠して Google サービスを使用しているかどうかを確認する
• 他のユーザーやお客様からの申し立て、または不正行為の兆候を調査する
• Google サービスが、関連するコンプライアンス制度（マネーロンダリング防止規制など）と一貫して使用されていることを確認する

システムの信頼性を維持するために Google が開始したアクセスを指します。Google の担当者がこの種のアクセスを行う理由は次のとおりです。

• 疑わしいサービス停止がお客様に影響しないかどうかを調べて確認する。
• 停電やシステム障害からのバックアップと復旧を確実に行う。

Key Access Justifications が有効になっていますが、正当化されるリクエストはありません。理由として、一時的なエラー、バグ、またはその他の状況が考えられます。

Google Cloud と特定の EKM プロバイダによって提供されるさまざまなロギング システムの特定の理由表示の実装により、REASON_UNSPECIFIED の理由は空の文字列として表されることがあります。リクエストログに理由フィールドが存在しても理由が表示されない場合は、REASON_UNSPECIFIED の理由が受信されたと解釈する必要があります。

より厳密な理由コードの生成を妨げる内部の技術的な問題が同時に発生した場合、次のいずれかのオペレーションが実行されます。

• お客様のアカウントは、IAM ポリシーで承認された独自のデータへのアクセスの実行に使用されています。
• 自動化された Google システムは、IAM ポリシーで承認された暗号化された顧客データを操作します。
• お客様が開始した Google サポート アクセス。
• システムの信頼性を保護するために、Google が開始したサポート アクセス。

このような内部的な技術的問題が発生すると、Google は状況を直ちに修正して、他のより正確な理由コードを生成する状態に関連するシステムを戻します。

CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING の理由によるリクエストの拒否によって発生する停止の運用リスクを軽減するために、Key Access Justifications ポリシーで CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING を許可することをおすすめします。

CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING の理由は、Key Access Justifications をサポートしていないサービスをワークロードが使用した結果として生成されることもあります。サービスが Key Access Justifications をサポートしていない限り、このような場合はこの理由が生成されます。