Certificate Authority Service 审核日志记录

本文档介绍了 Certificate Authority Service 的审核日志记录。Google Cloud 服务会写入审核日志,这些日志用于记录 Google Cloud 资源中的管理活动和访问情况。如需了解详情,请参阅 Cloud Audit Logs 概览

此页面的上次生成时间为世界协调时间 (UTC) 2024 年 5 月 21 日 17:48:08。

服务名称

Certificate Authority Service 审核日志使用服务名称 privateca.googleapis.com

方法(按权限类型)

检查 DATA_READDATA_WRITEADMIN_READ 权限类型的方法是数据访问审核日志。检查 ADMIN_WRITE 权限类型的方法为管理员活动审核日志。

权限类型 方法
ADMIN_READ GetIamPolicy
google.cloud.security.privateca.v1.CertificateAuthorityService.FetchCaCerts
google.cloud.security.privateca.v1.CertificateAuthorityService.FetchCertificateAuthorityCsr
google.cloud.security.privateca.v1.CertificateAuthorityService.GetCaaPool
google.cloud.security.privateca.v1.cloud.securityAuthorityService.cloudCertificate.privateCertificates.google.securityAuthority.privateca.privateCertificate.privateCertificates.privateCertificates.privateCertificate.privateca.privateca.v1.CertificateAuthorityCsr。
ADMIN_WRITE 设置 IamPolicy
google.cloud.security.privateca.v1.CertificateAuthorityService.ActivateCertificateAuthority
casecurityAuthorityAuthorityAuthorityAuthorityService.privateca.v1.CertificateAuthorityService.CreateCaPool
google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificateAuthority
google.cloud.security.privateca.v1.privateCertificateUpdateTemplate.privateCertificateUpdateTemplate.privateCertificateUpdateTemplateDeleteTemplate.securityTemplate.。。
DATA_READ google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificate
google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateRevocationList
google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateRevocationLists
google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificates
DATA_WRITE google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificate
google.cloud.security.privateca.v1.CertificateAuthorityService.RevokeCertificate
google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificate
google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateRevocationList

每个 API 接口的审核日志

如需了解系统会评估哪些权限以及如何评估每种方法,请参阅 Certificate Authority Service 的 Identity and Access Management 文档。

google.cloud.security.privateca.v1.CertificateAuthorityService

与属于 google.cloud.security.privateca.v1.CertificateAuthorityService 的方法关联的审核日志的详细信息。

google.cloud.security.privateca.v1.CertificateAuthorityService.ActivateCertificateAuthority

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.ActivateCertificateAuthority
  • 审核日志类型:管理员活动
  • 权限:
    • privateca.certificateAuthorities.get - ADMIN_READ
    • privateca.certificateAuthorities.update - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输: 长时间运行的操作
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.ActivateCertificateAuthority"

google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCaPool

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCaPool
  • 审核日志类型:管理员活动
  • 权限:
    • privateca.caPools.create - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输: 长时间运行的操作
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCaPool"

google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificate

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificate
  • 审核日志类型:数据访问
  • 权限:
    • privateca.certificateTemplates.use - ADMIN_READ
    • privateca.certificates.create - DATA_WRITE
    • privateca.certificates.createForSelf - DATA_WRITE
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificate"
  • 注意 :仅当使用请求中指定的证书模板调用 google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificate 方法时,才需要权限 privateca.certificateTemplates.use。在这种情况下,启用 DATA_WRITEDATA_READ 都会启用此日志。

google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificateAuthority

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificateAuthority
  • 审核日志类型:管理员活动
  • 权限:
    • privateca.certificateAuthorities.create - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输: 长时间运行的操作
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificateAuthority"

google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificateTemplate

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificateTemplate
  • 审核日志类型:管理员活动
  • 权限:
    • privateca.certificateTemplates.create - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输: 长时间运行的操作
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificateTemplate"

google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCaPool

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCaPool
  • 审核日志类型:管理员活动
  • 权限:
    • privateca.caPools.delete - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输: 长时间运行的操作
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCaPool"

google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCertificateAuthority

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCertificateAuthority
  • 审核日志类型:管理员活动
  • 权限:
    • privateca.certificateAuthorities.delete - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输: 长时间运行的操作
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCertificateAuthority"

google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCertificateTemplate

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCertificateTemplate
  • 审核日志类型:管理员活动
  • 权限:
    • privateca.certificateTemplates.delete - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输: 长时间运行的操作
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCertificateTemplate"

google.cloud.security.privateca.v1.CertificateAuthorityService.DisableCertificateAuthority

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.DisableCertificateAuthority
  • 审核日志类型:管理员活动
  • 权限:
    • privateca.certificateAuthorities.update - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输: 长时间运行的操作
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.DisableCertificateAuthority"

google.cloud.security.privateca.v1.CertificateAuthorityService.EnableCertificateAuthority

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.EnableCertificateAuthority
  • 审核日志类型:管理员活动
  • 权限:
    • privateca.certificateAuthorities.update - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输: 长时间运行的操作
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.EnableCertificateAuthority"

google.cloud.security.privateca.v1.CertificateAuthorityService.FetchCaCerts

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.FetchCaCerts
  • 审核日志类型:数据访问
  • 权限:
    • privateca.caPools.get - ADMIN_READ
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.FetchCaCerts"

google.cloud.security.privateca.v1.CertificateAuthorityService.FetchCertificateAuthorityCsr

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.FetchCertificateAuthorityCsr
  • 审核日志类型:数据访问
  • 权限:
    • privateca.certificateAuthorities.get - ADMIN_READ
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.FetchCertificateAuthorityCsr"

google.cloud.security.privateca.v1.CertificateAuthorityService.GetCaPool

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.GetCaPool
  • 审核日志类型:数据访问
  • 权限:
    • privateca.caPools.get - ADMIN_READ
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.GetCaPool"

google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificate

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificate
  • 审核日志类型:数据访问
  • 权限:
    • privateca.certificates.get - DATA_READ
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificate"

google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateAuthority

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateAuthority
  • 审核日志类型:数据访问
  • 权限:
    • privateca.certificateAuthorities.get - ADMIN_READ
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateAuthority"

google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateRevocationList

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateRevocationList
  • 审核日志类型:数据访问
  • 权限:
    • privateca.certificateRevocationLists.get - DATA_READ
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateRevocationList"

google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateTemplate

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateTemplate
  • 审核日志类型:数据访问
  • 权限:
    • privateca.certificateTemplates.get - ADMIN_READ
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateTemplate"

google.cloud.security.privateca.v1.CertificateAuthorityService.ListCaPools

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.ListCaPools
  • 审核日志类型:数据访问
  • 权限:
    • privateca.caPools.list - ADMIN_READ
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.ListCaPools"

google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateAuthorities

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateAuthorities
  • 审核日志类型:数据访问
  • 权限:
    • privateca.certificateAuthorities.list - ADMIN_READ
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateAuthorities"

google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateRevocationLists

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateRevocationLists
  • 审核日志类型:数据访问
  • 权限:
    • privateca.certificateRevocationLists.list - DATA_READ
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateRevocationLists"

google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateTemplates

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateTemplates
  • 审核日志类型:数据访问
  • 权限:
    • privateca.certificateTemplates.list - ADMIN_READ
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateTemplates"

google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificates

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificates
  • 审核日志类型:数据访问
  • 权限:
    • privateca.certificates.list - DATA_READ
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificates"

google.cloud.security.privateca.v1.CertificateAuthorityService.RevokeCertificate

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.RevokeCertificate
  • 审核日志类型:数据访问
  • 权限:
    • privateca.certificates.update - DATA_WRITE
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.RevokeCertificate"

google.cloud.security.privateca.v1.CertificateAuthorityService.UndeleteCertificateAuthority

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.UndeleteCertificateAuthority
  • 审核日志类型:管理员活动
  • 权限:
    • privateca.certificateAuthorities.update - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输: 长时间运行的操作
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.UndeleteCertificateAuthority"

google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCaPool

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCaPool
  • 审核日志类型:管理员活动
  • 权限:
    • privateca.caPools.update - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输: 长时间运行的操作
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCaPool"

google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificate

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificate
  • 审核日志类型:数据访问
  • 权限:
    • privateca.certificates.update - DATA_WRITE
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificate"

google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateAuthority

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateAuthority
  • 审核日志类型:管理员活动
  • 权限:
    • privateca.certificateAuthorities.get - ADMIN_READ
    • privateca.certificateAuthorities.update - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输: 长时间运行的操作
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateAuthority"

google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateRevocationList

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateRevocationList
  • 审核日志类型:数据访问
  • 权限:
    • privateca.certificateRevocationLists.update - DATA_WRITE
  • 方法是长时间运行的操作或流式传输: 长时间运行的操作
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateRevocationList"

google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateTemplate

  • 方法 :google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateTemplate
  • 审核日志类型:管理员活动
  • 权限:
    • privateca.certificateTemplates.update - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输: 长时间运行的操作
  • 此方法的过滤条件: protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateTemplate"

google.iam.v1.IAMPolicy

与属于 google.iam.v1.IAMPolicy 的方法关联的审核日志的详细信息。

GetIamPolicy

  • 方法 :GetIamPolicy
  • 审核日志类型:数据访问
  • 权限:
    • privateca.caPools.getIamPolicy - ADMIN_READ
    • privateca.certificateAuthorities.getIamPolicy - ADMIN_READ
    • privateca.certificateRevocationLists.getIamPolicy - ADMIN_READ
    • privateca.certificateTemplates.getIamPolicy - ADMIN_READ
    • privateca.reusableConfigs.getIamPolicy - ADMIN_READ
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="GetIamPolicy"

SetIamPolicy

  • 方法 :SetIamPolicy
  • 审核日志类型:管理员活动
  • 权限:
    • privateca.caPools.setIamPolicy - ADMIN_WRITE
    • privateca.certificateAuthorities.setIamPolicy - ADMIN_WRITE
    • privateca.certificateRevocationLists.setIamPolicy - ADMIN_WRITE
    • privateca.certificateTemplates.setIamPolicy - ADMIN_WRITE
    • privateca.reusableConfigs.setIamPolicy - ADMIN_WRITE
  • 方法是长时间运行的操作或流式传输:否。
  • 此方法的过滤条件: protoPayload.methodName="SetIamPolicy"

不会生成审核日志的方法

通常,方法不会生成审核日志,因为它们的数据量较大且费用非常高,或者该方法的审核值较低,或者另一个审核或平台日志已经涵盖了该方法的功能。

以下方法不会生成审核日志:

  • google.cloud.location.Locations.GetLocation
  • google.cloud.location.Locations.ListLocations
  • google.longrunning.Operations.WaitOperation