Esta página se ha traducido con Cloud Translation API.

Ver y tomar medidas respecto a las justificaciones

En esta página se describe cómo puedes ver y gestionar las justificaciones que envía Key Access Justifications para solicitar acceso a tus claves de cifrado. Cada vez que se cifra o descifra tu información, Justificaciones de Acceso a Claves te envía una justificación que describe el motivo del acceso. La forma en que veas y actúes en las justificaciones depende del tipo de claves que utilices con Justificaciones de Acceso a Claves:

En el caso de las claves gestionadas externamente, el partner de Cloud EKM puede ofrecer la posibilidad de definir una política que apruebe o rechace automáticamente las solicitudes de acceso en función del contenido de las justificaciones. Para obtener más información sobre cómo configurar una política, consulta la documentación correspondiente del gestor de claves que hayas elegido. Los siguientes partners admiten las justificaciones de acceso a claves:
- Fortanix
- Thales
En todas las claves configuradas con políticas de Key Access Justifications, independientemente del tipo de clave, puedes ver las solicitudes de acceso en los registros de auditoría de Cloud KMS.

Si deniegas el acceso, el personal de Google no podrá ayudarte con un servicio contratado. Por ejemplo:

Si deniegas el acceso a las solicitudes con los motivos CUSTOMER_INITIATED_ACCESS o GOOGLE_INITIATED_SYSTEM_OPERATION, tu servicio dejará de estar disponible.
Si deniegas el acceso a las solicitudes con el motivo CUSTOMER_INITATED_SUPPORT, el personal de Google no podrá responder a las incidencias de asistencia en las raras ocasiones en las que se necesite acceder a información sensible del cliente. Normalmente, las incidencias de asistencia no requieren este acceso y nuestro personal de asistencia de primera línea no lo tiene.
Si se deniega el acceso a una solicitud por el motivo GOOGLE_INITIATED_SERVICE, se reduce la disponibilidad y la fiabilidad del servicio, y se dificulta la capacidad de Google para recuperarse de las interrupciones.

Ver las justificaciones de las claves de EKM

Puedes usar la consola para ver la justificación que envía Key Access Justifications a tu gestor de claves externo cuando se accede a tus datos. Google Cloud Para acceder a la justificación, primero debes habilitar los registros de auditoría de Cloud con Cloud KMS en el proyecto que contiene la clave usada para el cifrado.

Una vez que haya completado la configuración, Cloud Audit Logs también incluirá la justificación utilizada en la solicitud externa de operaciones criptográficas. La justificación se incluye en los registros de acceso a datos de la clave de recurso, en las entradas metadata de protoPayload. Para obtener más información sobre estos campos, consulta el artículo Interpretar los registros de auditoría. Para obtener más información sobre cómo usar Cloud Audit Logs con Cloud KMS, consulta la información sobre el registro de auditoría de Cloud KMS.

Ten en cuenta que, a diferencia de la justificación compartida con el gestor de claves externo, la justificación de los registros de auditoría de Cloud no se puede usar para aprobar o denegar la operación criptográfica asociada. Google Cloud Registra la justificación solo después de que se haya completado la operación. Por lo tanto, los registros de Google Cloud deben usarse principalmente para llevar un registro.

Ver las justificaciones de las claves de Cloud HSM y de software

Cuando se han usado claves de Cloud HSM y de software configuradas con Justificaciones de acceso a claves para realizar operaciones de cifrado o descifrado, puedes consultar los registros de auditoría de Cloud KMS para ver la siguiente información:

key_access_justification: el código de justificación asociado a la solicitud.
key_access_justification_policy_metadata: los metadatos de la política de justificaciones de acceso a claves de la clave que contiene la siguiente información:
- customer_configured_policy_enforced: indica si se ha aplicado o no la política de justificaciones de acceso a claves definida en la clave a la operación.
- customer_configured_policy: indica los códigos de justificación que permiten acceder a la clave.
- justification_propagated_to_ekm: indica si la solicitud de acceso se ha propagado al gestor de claves externo (si está configurado).

En el siguiente ejemplo se muestra una entrada de registro de auditoría de Cloud KMS de una clave de Cloud HSM configurada con Justificaciones de acceso a claves:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }