理由原因代码

与此同时，满足以下条件之一：

• Google 管理员在过去 7 天内重置了与用户组织关联的 root 访问权限账号。
• 在过去 7 天内，Google 发起的紧急访问操作与当前访问的资源位于同一项目或文件夹中。

如果客户已将托管式控制平面操作委托给 Google，例如创建代管式实例组，则所有托管操作都将显示为系统操作。触发下游解密操作的托管实例组管理器等服务无权访问明文客户数据。

与此同时，满足以下条件之一：

• Google 管理员在过去 7 天内重置了与用户组织关联的 root 访问权限账号。
• 在过去 7 天内，Google 发起的紧急访问操作与当前访问的资源位于同一项目或文件夹中。

如果客户已将托管式控制平面操作委托给 Google，例如创建代管式实例组，则所有托管操作都将显示为系统操作。触发下游解密操作的托管实例组管理器等服务无权访问明文客户数据。

由于至少有一项参与处理相应请求的服务具有以下特征之一，因此相应密钥请求没有理由：

• 相应服务从未与 Key Access Justifications 集成。
• 该服务已部分与 Key Access Justifications 集成，但此集成仍处于预览阶段。此类服务的部分内容可能未与 Key Access Justifications 完全集成，这可能会导致无法生成理由。

虽然 REASON_NOT_EXPECTED 理由具有上述含义，但尚未达到 Key Access Justifications 集成 GA 状态的服务也可能会生成其他理由，包括 REASON_UNSPECIFIED。对于在使用非密钥访问权限理由正式版服务时生成的理由，Google 不做任何保证。

指 Google 为进行系统管理和问题排查而发起的访问。Google 人员可能会出于以下原因进行此类访问：

• 执行复杂支持请求或调查所需的技术调试。
• 修复技术问题，例如存储故障或数据损坏。
• 客户技术支持团队提供主动式支持。 **标记为“TAM 支持”并附有原因详情**

• 确保客户账号和数据的安全性。
• 确认数据是否受到可能影响账号安全的事件（例如，恶意软件感染）的影响。
• 确认客户是否按照 Google 服务条款使用 Google 服务。
• 调查其他用户和客户的投诉，或其他可能表明存在滥用行为的迹象。
• 检查 Google 服务的使用是否符合相关合规性制度（例如，反洗钱条例）。

指 Google 为维持系统可靠性而发起的访问。Google 人员可以出于以下原因进行此类访问：

• 调查并确认疑似服务中断不会影响客户。
• 确保在服务中断和系统故障时能够进行备份和恢复。

您已启用 Key Access Justifications，但没有理由可用于此请求。这可能是由于暂时性错误、bug 或其他一些情况造成的。

由于 Google Cloud 提供的各种日志记录系统和某些 EKM 提供商的特定正当理由显示实现，REASON_UNSPECIFIED 正当理由可能会表示为空字符串。如果请求日志中存在理由字段，但未显示任何理由，则应将其解读为收到了 REASON_UNSPECIFIED 理由。

在执行以下某项操作的同时，遇到了内部技术问题，导致无法生成更精确的理由代码：

• 您的账号已被用于对您的数据执行任何访问，并且这些访问由您的 IAM 政策授权。
• 自动化 Google 系统会处理您的 IAM 政策授权的加密客户数据。
• 客户发起的 Google 支持访问权限。
• Google 为保护系统可靠性而发起的支持访问。

如果遇到此类内部技术问题，Google 会立即采取措施来解决问题，并使相关系统恢复到可以生成其他更精确的正当理由代码的状态。

为降低因拒绝具有 CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING 理由的请求而导致的服务中断的运营风险，Google 建议您在 Key Access Justifications 政策中允许 CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING。

如果工作负载使用的服务不支持 Key Access Justifications，也可能会生成 CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING 理由。只要服务不支持 Key Access Justifications，系统就会在这些情况下生成此理由。