密钥访问理由概览

本页面简要介绍了密钥访问理由。关键访问权限理由是 Google 对透明度、用户信任和客户对其数据的所有权所作出的长期承诺的一部分。密钥访问理由功能会指示 Google 系统为涉及已注册 Cloud Key Management Service (Cloud KMS) 密钥的每项加密操作生成访问理由代码。

Key Access Justifications 与 Access Approval 和 Access Transparency 搭配使用的方式如下：借助 Access Approval，您可以授权 Google 人员访问客户数据；Access Transparency 可帮助您了解客户数据的访问时间；Key Access Justifications 可对与由客户管理的密钥加密的静态客户数据的所有互动提供密钥访问控制。这些产品各有千秋，提供的访问权限管理功能可让您控制对客户数据的访问权限，并为管理员请求访问客户数据提供背景信息。

概览

借助 Key Access Justifications，您可以针对 Cloud Key Management Service (Cloud KMS) 密钥设置政策，以根据提供的理由代码查看、批准和拒绝密钥访问请求。对于部分外部密钥管理合作伙伴，您可以在 Google Cloud 之外配置密钥访问权限证明政策，以便由外部密钥管理器（而非 Cloud KMS）专门强制执行。

根据您选择的 Assured Workloads 控制包，可使用以下 Key Access Justifications 功能：

• 对于部分区域性控制软件包，密钥访问透明度会在您的 Cloud KMS 审核日志中记录这些理由代码。
• 对于某些区域、监管或主权控制套件，Key Access Justifications 可让您针对密钥设置政策，以根据提供的理由代码批准或拒绝密钥访问请求。除了密钥访问透明度之外，某些地区性控制功能还提供此功能。
• 对于部分主权控制软件包，您可以使用受支持的外部密钥管理合作伙伴在Google Cloud之外配置 Key Access Justifications 政策。这些政策由外部密钥管理器（而非 Cloud KMS）专门强制执行。

除了这些功能之外，您选择的 Assured Workloads 控制包还将决定以下哪些 Cloud KMS 密钥类型可用：

• Cloud EKM 密钥
• Cloud HSM 密钥
• Cloud KMS 软件密钥

静态加密的工作原理

Google Cloud 静态加密的工作原理是使用数据存储服务之外的加密密钥来加密存储在Google Cloud 上的数据。例如，如果您在 Cloud Storage 中加密数据，则该服务仅存储您已存储的加密信息，而用于加密该数据的密钥存储在 Cloud KMS（如果您使用的是客户管理的加密密钥 [CMEK]）或外部密钥管理器（如果您使用的是 Cloud EKM）中。

使用 Google Cloud 服务时，您希望应用继续按如下所述方式工作，并且需要解密您的数据。例如，如果您使用 BigQuery 运行查询，则 BigQuery 服务需要解密数据才能对其进行分析。BigQuery 会向密钥管理器发出解密请求以获取所需数据，从而实现此目的。

为什么访问我的密钥？

在 Google Cloud上处理您自己的请求和工作负载时，自动化系统最常访问您的加密密钥。

除了客户发起的访问和自动化系统访问之外，Google 员工可能还需要出于以下原因发起使用您的加密密钥的操作：

• 备份数据：出于灾难恢复原因，Google 可能需要访问您的加密密钥来备份您的数据。

• 解决支持请求：Google 员工可能需要解密您的数据，以履行提供支持服务的合同义务。

• 管理和排查系统问题：Google 人员可以发起操作，使用您的加密密钥执行因支持请求或调查比较复杂而需要进行的技术调试。可能还需要访问权限来修复存储故障或数据损坏问题。

• 确保数据完整性和合规性，并防范欺诈和滥用行为：Google 可能出于以下原因解密数据：

  • 确保您的数据和账号安全无虞。
  • 确保您在使用 Google 服务时遵守 Google Cloud 服务条款。
  • 调查其他用户和客户的投诉，或是否存在其他滥用行为的迹象。
  • 验证 Google Cloud 服务的使用是否符合适用的监管要求（例如反洗钱法规）。

• 维护系统可靠性：Google 人员可以请求访问权限，以调查疑似服务中断是否会影响您。此外，系统可能会请求访问权限，以确保在服务中断或系统故障时进行备份和恢复。

如需查看理由代码列表，请参阅密钥访问理由的理由原因代码。

管理对密钥的访问权限

每次访问 Cloud KMS 管理的密钥或外部管理的密钥时，密钥访问理由都会提供原因。当您的密钥用于任何加密操作时，您会收到基于服务的访问权限（针对支持的服务）以及直接 API 访问权限的理由。

在您的密钥项目注册使用密钥访问理由功能后，您将立即开始收到新密钥的每项密钥访问权限的理由。对于之前存在的密钥，您将在 24 小时内开始收到每项密钥访问权限的理由。

启用密钥访问理由

Key Access Justifications 只能与 Assured Workloads 搭配使用，并且当您为包含 Key Access Justifications 的控制包配置新的 Assured Workloads 文件夹时，系统会默认启用该功能。如需了解详情，请参阅 Assured Workloads 概览。

密钥访问理由排除项

密钥访问理由仅适用于以下情况：

• 对加密数据的操作：对于给定服务中由客户管理的密钥加密的字段，请参阅相应服务的文档。
• 从静态数据转换为使用中的数据：虽然 Google 会继续对您使用中的数据应用保护措施，但密钥访问理由仅控制从静态数据到使用中的数据的转换。

以下 Compute Engine 和永久性磁盘功能在与 CMEK 搭配使用时不受影响：

• 本地 SSD
• 自动重启
• 机器映像操作

启用 Key Access Justifications 并进行访问权限审批

对于使用自定义签名密钥启用了 Access Approval 的工作负载，Key Access Justifications 也适用于处理已签名的 Access Approval 请求。只有当密钥的“密钥访问理由”政策也允许为关联的密钥访问权限提供关联的理由时，系统才会处理访问权限审批请求。当客户签署访问权限审批请求时，相关理由会反映在审批的签名请求中。

通过已获批准且已签名的访问权限审批请求进行的所有客户数据访问都将显示在与该审批请求关联的 Access Transparency 日志中。

后续步骤

• 请参阅Assured Workloads for Sovereign Controls for EU 支持的服务以及其他受 KAJ 支持的服务列表。
• 了解如何查看理由并据此执行操作。
• 了解在哪里可以获取 Key Access Justifications 支持。
• 了解 Access Approval 请求的形式。
• 了解防止未经授权的管理员访问的控制措施所依据的基本原则。