Códigos de los motivos de justificación

En esta página, se proporciona la lista de justificaciones que se pueden usar para solicitar acceso a tus claves de encriptación.

Motivo Descripción
CUSTOMER_INITIATED_ACCESS El cliente usa su cuenta para tener cualquier acceso a sus propios datos que autorice su política de IAM. Estos accesos incluyen operaciones que se ejecutan de forma indirecta en nombre de la actividad de los recursos del cliente o en respuesta a ella, como el registro.
MODIFIED_CUSTOMER_INITIATED_ACCESS El cliente usa su cuenta para tener cualquier acceso a sus propios datos que autorice su política de IAM. Estos accesos incluyen operaciones que se ejecutan de forma indirecta en nombre de la actividad de los recursos del cliente o en respuesta a ella, como el registro.

Al mismo tiempo, se cumple una de las siguientes condiciones:

  • Un administrador de Google restableció la cuenta con acceso raíz asociada a la organización del usuario en los últimos 7 días.
  • Una operación de acceso de emergencia iniciada por Google interactuó con un recurso en el mismo proyecto o carpeta que el recurso al que se accedió actualmente en los últimos 7 días.
GOOGLE_INITIATED_SYSTEM_OPERATION Los sistemas de Google acceden a los datos del cliente para ayudar a optimizar la estructura o la calidad de los datos para usos futuros por parte del cliente. Estos accesos pueden ser para indexar, estructurar, precalcular, generar hashes, fragmentar y almacenar en caché los datos del cliente. Esto también incluye la creación de copias de seguridad de los datos por motivos de recuperación ante desastres o integridad de los datos, y la detección de errores que los datos de la copia de seguridad podrían corregir. Ciertas operaciones, como las verificaciones del estado de las claves, son iniciadas por los sistemas de Google en respuesta directa a la actividad de los recursos del cliente, pero pueden generar una justificación de GOOGLE_INITIATED_SYSTEM_OPERATION debido a la arquitectura de los sistemas involucrados. Los accesos a claves con esta justificación siempre están al servicio de una carga de trabajo del cliente.

Cuando el cliente delega una operación del plano de control administrado a Google, como la creación de un grupo de instancias administrado, todas las operaciones administradas se mostrarán como operaciones del sistema. Los servicios, como el administrador de grupo de instancias administrado que activa operaciones de desencriptación posteriores, no tienen acceso a los datos del cliente en texto no encriptado.
MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION Los sistemas de Google acceden a los datos del cliente para ayudar a optimizar la estructura o la calidad de los datos para usos futuros por parte del cliente. Estos accesos pueden ser para indexar, estructurar, precalcular, generar hashes, fragmentar y almacenar en caché los datos del cliente. Esto también incluye la creación de copias de seguridad de los datos por motivos de recuperación ante desastres o integridad de los datos, y la detección de errores que los datos de la copia de seguridad podrían corregir. Ciertas operaciones, como las verificaciones del estado de las claves, son iniciadas por los sistemas de Google en respuesta directa a la actividad de los recursos del cliente, pero pueden generar una justificación de GOOGLE_INITIATED_SYSTEM_OPERATION debido a la arquitectura de los sistemas involucrados. Los accesos a claves con esta justificación siempre están al servicio de una carga de trabajo del cliente.

Al mismo tiempo, se cumple una de las siguientes condiciones:

  • Un administrador de Google restableció la cuenta con acceso raíz asociada a la organización del usuario en los últimos 7 días.
  • Una operación de acceso de emergencia iniciada por Google interactuó con un recurso en el mismo proyecto o carpeta que el recurso al que se accedió actualmente en los últimos 7 días.

Cuando el cliente delega una operación del plano de control administrado a Google, como la creación de un grupo de instancias administrado, todas las operaciones administradas se muestran como operaciones del sistema. Los servicios, como el administrador de grupo de instancias administrado que activa operaciones de desencriptación posteriores, no tienen acceso a los datos del cliente en texto no encriptado.
REASON_NOT_EXPECTED

No se espera ningún motivo para esta solicitud de clave, ya que hay al menos un servicio involucrado en la solicitud que tiene una de las siguientes características:

  • El servicio nunca se integró con Key Access Justifications.
  • El servicio se integró parcialmente con Key Access Justifications, pero esta integración aún está en versión preliminar. Es posible que algunas partes de estos servicios no estén completamente integradas con Key Access Justifications, lo que puede provocar que no se puedan generar justificaciones.

Si bien una justificación de REASON_NOT_EXPECTED tiene el significado mencionado anteriormente, los servicios que aún no alcanzaron el estado de GA para su integración de Key Access Justifications también pueden generar otras justificaciones, incluida REASON_UNSPECIFIED. Google no ofrece garantías con respecto a las justificaciones generadas mientras se usan servicios que no son de DG de Key Access Justifications.
CUSTOMER_INITIATED_SUPPORT Asistencia que inició el cliente, por ejemplo, "Número de caso: ####".
GOOGLE_INITIATED_SERVICE

Se refiere al acceso que inició Google para la administración del sistema y la solución de problemas. El personal de Google puede otorgar este tipo de acceso por los siguientes motivos:

  • Realizar la depuración técnica necesaria para una solicitud de asistencia o investigación compleja
  • Solucionar problemas técnicos, como fallas de almacenamiento o corrupción de datos
  • Asistencia proactiva de los equipos de Administración técnica de cuentas **Etiquetado con el detalle del motivo "Asistencia del TAM"**
THIRD_PARTY_DATA_REQUEST Acceso iniciado por Google en respuesta a una solicitud o proceso legal, incluido el caso cuando se responde a un proceso legal del cliente que requiere que Google acceda a sus propios datos
GOOGLE_INITIATED_REVIEW Google inició el acceso por motivos de seguridad, fraude, abuso o cumplimiento, incluidos los siguientes:
  • Garantizar la seguridad y protección de las cuentas y los datos de los clientes
  • Confirmar si los datos se están afectados por un evento que podría causar un impacto en la seguridad de la cuenta (por ejemplo, infecciones con software malicioso)
  • Confirmar si el cliente usa los servicios de Google en conformidad con las Condiciones del Servicio de Google
  • Investigar reclamos de otros usuarios y clientes o alguna otra señal de actividad inadecuada
  • Verificar que los servicios de Google se usen de acuerdo con los regímenes de cumplimiento pertinentes (por ejemplo, las reglamentaciones contra el lavado de dinero)
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Se refiere al acceso iniciado por Google para mantener la confiabilidad del sistema. El personal de Google puede otorgar este tipo de acceso por los siguientes motivos:

  • Investigar y confirmar que una presunta interrupción del servicio no afecta al cliente
  • Garantizar la copia de seguridad y la recuperación ante interrupciones y fallas del sistema
REASON_UNSPECIFIED

Tienes habilitadas las Key Access Justifications, pero no hay ninguna justificación disponible para esta solicitud. El motivo podría ser un error transitorio, un error o alguna otra circunstancia.

Debido a las implementaciones específicas de la visualización de justificaciones de varios sistemas de registro proporcionados por Google Cloud y ciertos proveedores de EKM, la justificación de REASON_UNSPECIFIED podría representarse como una cadena vacía. Si un campo de justificación está presente en un registro de solicitud, pero no se muestra ninguna justificación, esto se debe interpretar como que se recibió una justificación de REASON_UNSPECIFIED.
CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING

Se está ejecutando una de las siguientes operaciones y, al mismo tiempo, se produjo un problema técnico interno que impidió generar un código de justificación más preciso:

  • Tu cuenta se usó para acceder a tus propios datos que autoriza tu política de IAM.
  • Un sistema automatizado de Google opera con los datos encriptados del cliente que autoriza tu política de IAM.
  • Acceso a la asistencia de Google iniciado por el cliente
  • Acceso de asistencia técnica iniciado por Google para proteger la confiabilidad del sistema

Cuando se detecta un problema técnico interno de este tipo, Google trabaja de inmediato para solucionar la situación y restablecer los sistemas involucrados a un estado en el que se generen otros códigos de justificación más precisos.

Para reducir el riesgo operativo de una interrupción resultante del rechazo de una solicitud con justificación CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING, Google recomienda que permitas CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING en tus políticas de Key Access Justifications.

También se puede generar una justificación de CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING como resultado de una carga de trabajo que usa un servicio que no admite Key Access Justifications. Esta justificación se generará en esos casos, siempre y cuando el servicio no admita Key Access Justifications.
No hay ningún campo de justificación presente Key Access Justifications no está habilitado para ti.

¿Qué sigue?