理由の表示と対処

このページでは、Key Access Justifications が暗号鍵へのアクセスをリクエストする理由を表示し、対処する方法について説明します。 情報が暗号化または復号されるたびに、Key Access Justification からアクセスの理由を説明するメールが届きます。理由の表示方法と対処方法は、Key Access Justifications で使用している鍵の種類によって異なります。

  • 外部で管理される鍵の場合、Cloud EKM パートナーは、理由の内容に基づいてアクセス リクエストを自動的に承認または拒否するポリシーを提供する場合があります。ポリシーの設定の詳細については、選択した鍵管理システムの関連ドキュメントをご覧ください。次のパートナーが Key Access Justifications をサポートしています。
    • Fortanix
    • Thales
  • Key Access Justifications ポリシーで構成されたすべての鍵(鍵の種類に関係なく)について、Cloud KMS 監査ログでアクセス リクエストを表示できます

アクセスを拒否すると、Google 担当者が契約サービスに関するサポートをお客様に提供できなくなる可能性があります。次に例を示します。

  • CUSTOMER_INITIATED_ACCESS または GOOGLE_INITIATED_SYSTEM_OPERATION の理由でリクエストへのアクセスを拒否すると、サービスが利用できなくなります。
  • CUSTOMER_INITATED_SUPPORT の理由でリクエストへのアクセスを拒否すると、サポート チケットで機密性の高いお客様情報へのアクセスが必要なまれなケースで、Google の担当者がサポート チケットに回答する能力が制限されます。通常、サポート チケットではこのようなアクセスを必要とせず、フロントライン サポート担当者にもこのようなアクセス権はありません。
  • GOOGLE_INITIATED_SERVICE の理由でリクエストへのアクセスを拒否すると、サービスの可用性と信頼性が低下し、Google がサービス停止から復旧できなくなります。

EKM 鍵の理由を表示する

Google Cloud コンソールを使用して、データにアクセスされたときに Key Access Justifications が外部鍵マネージャーに送信する理由を表示できます。理由にアクセスするには、まず、暗号化に使用された鍵を含むプロジェクトで Cloud KMS を使用して Cloud Audit Logs を有効にする必要があります。

設定が完了すると、Cloud Audit Logs には、暗号化オペレーションの外部リクエストで使用されている理由も含まれます。理由は、リソースキーのデータアクセス ログの protoPayloadmetadata エントリに含まれます。これらのフィールドの詳細については、監査ログについてをご覧ください。 Cloud KMS での Cloud Audit Logs の使用の詳細については、Cloud KMS 監査ロギングの情報をご覧ください。

外部鍵マネージャーと共有される理由とは異なり、Cloud Audit Logs 内の理由は、関連する暗号化オペレーションの承認または拒否には使用できません。Google Cloud のログは、オペレーションが完了した後にのみ理由を記録します。したがって、Google Cloud のログは主に記録の保存に使用する必要があります。

Cloud HSM 鍵とソフトウェア鍵の理由を表示する

Key Access Justifications で構成された Cloud HSM 鍵とソフトウェア鍵を使用して暗号化または復号オペレーションを実行した場合は、Cloud KMS 監査ログで次の情報を確認できます。

  • key_access_justification: リクエストに関連付けられた理由コード
  • key_access_justification_policy_metadata: 次の情報が含まれる鍵の Key Access Justifications ポリシー メタデータ。
    • customer_configured_policy_enforced: キーに設定された Key Access Justifications ポリシーがオペレーションに適用されたかどうかを示します。
    • customer_configured_policy: 鍵へのアクセスを許可する理由コードを示します。
    • justification_propagated_to_ekm: アクセス リクエストが外部キー マネージャーに伝播されたかどうかを示します(構成されている場合)。

次の例は、Key Access Justifications で構成された Cloud HSM 鍵の Cloud KMS 監査ログエントリを示しています。

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }