查看並採取行動

本頁說明如何查看 Key Access Justifications 傳送的依據,並依據這些依據採取行動,以便要求存取加密金鑰。每當您的資訊經過加密或解密時,「金鑰存取依據」都會傳送說明存取原因的說明。您查看及處理理由的方式,取決於您在金鑰存取依據中使用的金鑰類型:

  • 針對外部代管的金鑰,Cloud EKM 合作夥伴可能會提供設定政策的功能,以便根據理由內容自動核准或拒絕存取要求。如要進一步瞭解如何設定政策,請參閱所選金鑰管理工具的相關說明文件。下列合作夥伴支援金鑰存取依據:
    • Fortanix
    • Thales
  • 對於所有已設定 Key Access Justifications 政策的金鑰 (不論金鑰類型為何),您都可以在 Cloud KMS 稽核記錄中查看存取要求

拒絕存取權可能會妨礙 Google 人員協助您處理合約服務。例如:

  • 如果您拒絕以 CUSTOMER_INITIATED_ACCESSGOOGLE_INITIATED_SYSTEM_OPERATION 為理由的存取要求,服務就會無法使用。
  • 如果您拒絕要求並提供「CUSTOMER_INITATED_SUPPORT」做為原因,Google 人員將無法回應支援單,除非在極少數情況下,您的支援單需要存取機密客戶資訊。支援單通常不需要這類存取權,而且我們的前線支援人員也沒有這類存取權。
  • GOOGLE_INITIATED_SERVICE 為理由拒絕要求的存取權,會降低服務的可用性和可靠性,並妨礙 Google 從服務中斷中復原。

查看 EKM 金鑰的存取依據

您可以使用 Google Cloud 控制台查看金鑰存取依據在資料存取時,傳送至外部金鑰管理工具的理由。如要查看理由,您必須先在含有用於加密的金鑰的專案中,啟用 Cloud 稽核記錄搭配 Cloud KMS。

完成設定後,Cloud 稽核記錄也會納入用於加密作業的外部要求中使用的理由。在資源鍵的資料存取記錄中,您會在 protoPayloadmetadata 項目中看到這項理由。如要進一步瞭解這些欄位,請參閱「瞭解稽核記錄」。如要進一步瞭解如何將 Cloud 稽核記錄與 Cloud KMS 搭配使用,請參閱「Cloud KMS 稽核記錄資訊」。

請注意,與與外部金鑰管理工具共用的理由不同,Cloud 稽核記錄中的理由無法用於核准或拒絕相關的加密編譯作業。 Google Cloud 只有在作業完成後,才會記錄理由。因此, Google Cloud 中的記錄檔應主要用於記錄。

查看 Cloud HSM 和軟體金鑰的理由

當 Cloud HSM 和軟體金鑰已設定金鑰存取理由,並用於執行加密或解密作業時,您可以查看 Cloud KMS 稽核記錄,瞭解下列資訊:

  • key_access_justification:與要求相關的理由代碼
  • key_access_justification_policy_metadata:金鑰的 Key Access Justifications 政策中繼資料,其中包含以下資訊:
    • customer_configured_policy_enforced:指出是否為在金鑰上設定的金鑰存取依據政策,已針對該作業強制執行。
    • customer_configured_policy:指出可讓您存取金鑰的對齊編碼。
    • justification_propagated_to_ekm:指出存取要求是否已傳播至外部金鑰管理工具 (如有設定)。

以下範例說明 Cloud KMS 稽核記錄項目,該項目適用於使用金鑰存取權理由設定的 Cloud HSM 金鑰:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }