Información general sobre las justificaciones de acceso a claves

En esta página se ofrece una descripción general de las justificaciones de acceso a claves. Justificaciones de acceso a claves forma parte del compromiso a largo plazo de Google con la transparencia, la confianza de los usuarios y la propiedad de los datos por parte de los clientes. Justificaciones de Acceso a Claves indica a los sistemas de Google que generen códigos de justificación de acceso para cada operación criptográfica que implique claves de Cloud Key Management Service (Cloud KMS) registradas.

Justificaciones de acceso a claves funciona junto con Aprobación de acceso y Transparencia de acceso de la siguiente manera: Aprobación de acceso te permite autorizar las solicitudes del personal de Google para acceder a los datos de clientes. Transparencia de acceso te ayuda a descubrir información sobre cuándo se accede a los datos de clientes. Justificaciones de acceso a claves proporciona control de acceso a claves para todas las interacciones con los datos de clientes en reposo que están cifrados con una clave gestionada por el cliente. En conjunto, cada uno de estos productos ofrece funciones de gestión de acceso que te permiten controlar y contextualizar las solicitudes administrativas para acceder a los Datos de Cliente.

Información general

Justificaciones de Acceso a Claves te permite definir una política en las claves de Cloud Key Management Service (Cloud KMS) para ver, aprobar y rechazar solicitudes de acceso a claves en función del código de justificación proporcionado. En el caso de determinados partners de gestión de claves externas, puedes configurar políticas de Key Access Justifications fuera de Google Cloud para que las aplique exclusivamente el gestor de claves externas en lugar de Cloud KMS.

En función del paquete de control de Assured Workloads que elijas, estarán disponibles las siguientes funciones de Key Access Justifications:

• En el caso de determinados paquetes de control regionales, Transparencia de acceso a claves registra estos códigos de justificación en los registros de auditoría de Cloud KMS.
• En el caso de determinados paquetes de control regionales, soberanos o de otro tipo, Key Access Justifications te permite definir una política en tus claves para aprobar o rechazar solicitudes de acceso a claves en función del código de justificación proporcionado. Algunas fronteras de datos regionales ofrecen esta función, además de Transparencia de acceso a claves.
• En el caso de determinados paquetes de control soberano, puedes usar partners de gestión de claves externos admitidos para configurar políticas de Key Access Justifications fuera deGoogle Cloud. Estas políticas las aplica exclusivamente el gestor de claves externo, no Cloud KMS.

Además de estas funciones, el paquete de control de Assured Workloads que elijas también determinará qué tipos de claves de Cloud KMS están disponibles:

• Claves de Cloud EKM
• Claves de Cloud HSM
• Claves de software de Cloud KMS

Cómo funciona el cifrado en reposo

ElGoogle Cloud cifrado en reposoGoogle Cloud cifra los datos almacenados en con una clave de cifrado que se encuentra fuera del servicio en el que se almacenan los datos. Por ejemplo, si cifras datos en Cloud Storage, el servicio solo almacena la información cifrada que has guardado, mientras que la clave utilizada para cifrar esos datos se almacena en Cloud KMS (si usas claves de cifrado gestionadas por el cliente) o en tu gestor de claves externo (si usas Cloud EKM).

Cuando usas un Google Cloud servicio, quieres que tus aplicaciones sigan funcionando como se describe, y esto requerirá que tus datos se descifren. Por ejemplo, si ejecutas una consulta con BigQuery, el servicio de BigQuery debe descifrar tus datos para poder analizarlos. BigQuery lo consigue enviando una solicitud de descifrado al gestor de claves para obtener los datos necesarios.

¿Por qué se accedería a mis llaves?

Los sistemas automatizados suelen acceder a tus claves de cifrado mientras atienden tus propias solicitudes y cargas de trabajo en Google Cloud.

Además de los accesos iniciados por los clientes y los accesos automáticos del sistema, es posible que un empleado de Google tenga que iniciar operaciones que usen tus claves de cifrado por los siguientes motivos:

• Crear copias de seguridad de tus datos: es posible que Google necesite acceder a tus claves de cifrado para crear copias de seguridad de tus datos por motivos de recuperación tras fallos.

• Resolver una solicitud de asistencia: es posible que un empleado de Google tenga que descifrar tus datos para cumplir la obligación contractual de proporcionar asistencia.

• Gestionar sistemas y solucionar problemas: el personal de Google puede iniciar operaciones que usen tus claves de cifrado para hacer tareas de depuración técnicas necesarias para responder a una solicitud o investigación de asistencia compleja. También puede ser necesario acceder para solucionar errores de almacenamiento o datos dañados.

• Asegurar la integridad de los datos y el cumplimiento de las normativas, así como protegerse contra el fraude y el abuso: es posible que Google tenga que descifrar datos por los siguientes motivos:

  • Para garantizar la seguridad de tus datos y cuentas.
  • Para asegurarte de que usas los servicios de Google de acuerdo con los Google Cloud Términos del Servicio.
  • Para investigar las reclamaciones de otros usuarios y clientes u otros indicios de uso inadecuado.
  • Para verificar que los servicios de Google Cloud se utilizan de acuerdo con los requisitos normativos aplicables, como las normativas contra el blanqueo de dinero.

• Mantener la fiabilidad del sistema: el personal de Google puede solicitar acceso para investigar si una posible interrupción del servicio te afecta. También se puede solicitar acceso para asegurar la creación de copias de seguridad y la recuperación de datos tras interrupciones o fallos del sistema.

Para ver la lista de códigos de justificación, consulta los códigos de motivos de justificación de acceso a claves.

Gestionar el acceso a tus claves

Key Access Justifications proporciona un motivo cada vez que se accede a tus claves gestionadas por Cloud KMS o a tus claves gestionadas de forma externa. Cuando se usa tu clave para cualquier operación criptográfica, recibes una justificación tanto para el acceso basado en servicios (en los servicios admitidos) como para el acceso directo a la API.

Una vez que tus proyectos clave se hayan registrado en Justificaciones de Acceso a Claves, empezarás a recibir justificaciones de cada acceso a claves nuevas. En el caso de las claves que ya existían, empezarás a recibir justificaciones por cada acceso a la clave en un plazo de 24 horas.

Habilitar Justificaciones de Acceso a Claves

Las justificaciones de acceso a claves solo se pueden usar con Assured Workloads y están habilitadas de forma predeterminada cuando creas una carpeta de Assured Workloads configurada para un paquete de control que incluya justificaciones de acceso a claves. Para obtener más información, consulta la descripción general de Assured Workloads.

Exclusiones de Justificaciones de Acceso a Claves

Las justificaciones de acceso a claves solo se aplican en las siguientes situaciones:

• Operaciones con datos cifrados: para los campos de un servicio determinado que estén cifrados con una clave gestionada por el cliente, consulta la documentación del servicio.
• La transición de datos en reposo a datos en uso: aunque Google sigue aplicando medidas de protección a tus datos en uso, Justificaciones de acceso a claves solo rige la transición de datos en reposo a datos en uso.

Las siguientes funciones de Compute Engine y Persistent Disk están exentas cuando se usan con CMEK:

• SSDs locales
• Reinicio automático
• Operaciones con imágenes de máquina

Justificaciones de Acceso a Claves con Aprobación de acceso

En el caso de las cargas de trabajo en las que la aprobación de acceso esté habilitada con una clave de firma personalizada, las justificaciones de acceso a claves también se aplicarán al tratamiento de las solicitudes de aprobación de acceso firmadas. Las solicitudes de aprobación de acceso solo se pueden procesar si la justificación asociada al acceso a la clave también está permitida por la política de justificaciones de acceso a claves de la clave. Cuando un cliente firma una solicitud de Aprobación de Accesos, la justificación asociada se refleja en la solicitud de firma de la aprobación.

Todos los accesos a Datos de Cliente que se produzcan a partir de una solicitud de aprobación de acceso firmada y aprobada aparecerán en los registros de Transparencia de acceso vinculados a la solicitud de aprobación.

Siguientes pasos

• Consulta qué servicios son compatibles con Assured Workloads para Controles Soberanos para la UE y la lista de servicios adicionales compatibles con KAJ.
• Consulta cómo ver las justificaciones y tomar medidas al respecto.
• Consulta dónde puedes obtener asistencia para Justificaciones de Acceso a Claves.
• Consulta cómo es una solicitud de Access Approval.
• Consulta los principios básicos en los que se basan los controles que impiden el acceso administrativo no autorizado.