Codici motivo di giustificazione

Il cliente utilizza il proprio account per eseguire qualsiasi accesso ai propri dati che il criterio IAM autorizza. Questi accessi includono operazioni eseguite indirettamente per conto di o in risposta all'attività delle risorse del cliente, ad esempio la registrazione.

Allo stesso tempo, una delle seguenti condizioni è vera:

• Un amministratore Google ha reimpostato l'account con accesso root associato all'organizzazione dell'utente negli ultimi 7 giorni.
• Un'operazione di accesso di emergenza avviata da Google ha interagito con una risorsa nello stesso progetto o cartella della risorsa a cui è stato eseguito l'accesso negli ultimi 7 giorni.

Se il cliente ha delegato a Google un'operazione del piano di controllo gestito, ad esempio la creazione di un gruppo di istanze gestite, tutte le operazioni gestite verranno visualizzate come operazioni di sistema. Servizi come il gestore gruppo di istanze gestite che attivano operazioni di decrittografia downstream non hanno accesso ai dati dei clienti in testo non crittografato.

I sistemi Google accedono ai dati dei clienti per contribuire a ottimizzare la struttura dei dati o la qualità per utilizzi futuri da parte del cliente. Questi accessi possono essere per l'indicizzazione, la strutturazione, il precalcolo, l'hashing, lo sharding e la memorizzazione nella cache dei dati dei clienti. Ciò include anche il backup dei dati per il ripristino di emergenza o per motivi di integrità dei dati e il rilevamento degli errori che i dati di backup potrebbero correggere. Determinate operazioni, come i controlli dell'integrità delle chiavi, vengono avviate dai sistemi Google in risposta diretta all'attività delle risorse del cliente, ma possono generare una giustificazione GOOGLE_INITIATED_SYSTEM_OPERATION a causa dell'architettura dei sistemi coinvolti. Gli accessi alle chiavi con questa giustificazione sono sempre al servizio di un carico di lavoro del cliente.

Allo stesso tempo, una delle seguenti condizioni è vera:

• Un amministratore Google ha reimpostato l'account con accesso root associato all'organizzazione dell'utente negli ultimi 7 giorni.
• Un'operazione di accesso di emergenza avviata da Google ha interagito con una risorsa nello stesso progetto o cartella della risorsa a cui è stato eseguito l'accesso negli ultimi 7 giorni.

Se il cliente ha delegato a Google un'operazione del piano di controllo gestito, ad esempio la creazione di un gruppo di istanze gestite, tutte le operazioni gestite vengono visualizzate come operazioni di sistema. Servizi come il gestore gruppo di istanze gestite che attivano operazioni di decrittografia downstream non hanno accesso ai dati dei clienti in testo non crittografato.

Non è previsto alcun motivo per questa richiesta di chiave perché è coinvolto almeno un servizio nell'elaborazione della richiesta che presenta una delle seguenti caratteristiche:

• Il servizio non è mai stato integrato con Key Access Justifications.
• Il servizio è stato parzialmente integrato con Key Access Justifications, ma questa integrazione è ancora in anteprima. Alcune parti di questi servizi potrebbero non essere completamente integrate con Key Access Justifications, il che può portare all'impossibilità di produrre giustificazioni.

Sebbene una REASON_NOT_EXPECTEDgiustificazione abbia il significato sopra menzionato, i servizi che non hanno ancora raggiunto lo stato GA per l'integrazione di Key Access Justifications potrebbero generare anche altre giustificazioni, tra cui REASON_UNSPECIFIED. Google non fornisce garanzie in merito alle motivazioni generate durante l'utilizzo di servizi che non sono disponibili a livello generale per le motivazioni di accesso alle chiavi.

Si riferisce all'accesso avviato da Google per la gestione e la risoluzione dei problemi del sistema.Il personale Google può effettuare questo tipo di accesso per i seguenti motivi:

• Per eseguire il debug tecnico necessario per una richiesta di assistenza complessa o un'indagine.
• Per risolvere problemi tecnici, come problemi allo spazio di archiviazione o danneggiamento dei dati.
• Assistenza proattiva da parte dei team Technical Account Management. **Tag con il dettaglio del motivo "Assistenza TAM"**

• Per garantire la sicurezza degli account e dei dati dei clienti.
• Per verificare se i dati sono stati interessati da un evento che potrebbe influenzare la sicurezza dell'account (ad esempio infezioni da malware).
• Per verificare se il cliente utilizza i servizi Google in conformità con i Termini di servizio di Google.
• Per esaminare reclami di altri utenti e clienti o altri segnali di attività illecite.
• Per verificare che i servizi Google vengano utilizzati in modo coerente con i relativi regimi di conformità (ad esempio, norme antiriciclaggio).

Si riferisce all'accesso avviato da Google per garantire l'affidabilità del sistema. Google può concedere questo tipo di accesso per i seguenti motivi:

• Per esaminare e confermare che una sospetta interruzione del servizio non interessa il cliente.
• Per garantire il backup e il ripristino da interruzioni del servizio e malfunzionamenti del sistema.

Hai abilitato Key Access Justifications, ma non è disponibile alcuna giustificazione per questa richiesta. Il motivo potrebbe essere un errore temporaneo, un bug o qualche altra circostanza.

A causa delle implementazioni specifiche della visualizzazione della giustificazione di vari sistemi di logging forniti da Google Cloud e da alcuni provider EKM, la giustificazione REASON_UNSPECIFIED potrebbe essere rappresentata come una stringa vuota. Se in un log delle richieste è presente un campo di giustificazione, ma non viene visualizzata alcuna giustificazione, ciò deve essere interpretato come se fosse stata ricevuta una giustificazione REASON_UNSPECIFIED.

Una delle seguenti operazioni viene eseguita mentre si verifica contemporaneamente un problema tecnico interno che ha impedito la generazione di un codice di giustificazione più preciso:

• Il tuo account è stato utilizzato per eseguire qualsiasi accesso ai tuoi dati che i tuoi criteri IAM autorizzano.
• Un sistema Google automatizzato opera su dati dei clienti criptati che il criterio IAM autorizza.
• Accesso all'assistenza Google avviato dal cliente.
• Accesso all'assistenza avviato da Google per proteggere l'affidabilità del sistema.

Quando si verifica un problema tecnico interno, Google interviene immediatamente per risolvere la situazione e ripristinare lo stato dei sistemi coinvolti in modo che vengano generati altri codici di giustificazione più precisi.

Per ridurre il rischio operativo di un'interruzione dovuta al rifiuto di una richiesta con giustificazione CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING, Google consiglia di consentire CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING nelle norme per Key Access Justifications.

Una giustificazione CUSTOMER_AUTHORIZED_WORKFLOW_SERVICING potrebbe essere generata anche in seguito all'utilizzo di un servizio che non supporta le giustificazioni dell'accesso alle chiavi da parte di un workload. Questa giustificazione verrà generata in questi casi a condizione che il servizio non supporti Key Access Justifications.