Audit-Logging von Certificate Authority Service
In diesem Dokument wird das Audit-Logging für den Certificate Authority Service beschrieben. Google Cloud-Dienste generieren Audit-Logs, die Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud-Ressourcen aufzeichnen. Weitere Informationen zu Cloud-Audit-Logs finden Sie hier:
- Arten von Audit-Logs
- Struktur von Audit-Logeinträgen
- Audit-Logs speichern und weiterleiten
- Preisübersicht für Cloud Logging
- Audit-Logs zum Datenzugriff aktivieren
Dienstname
Für Audit-Logs des Zertifizierungsstellen-Dienstes wird der Dienstname privateca.googleapis.com verwendet.
Nach diesem Dienst filtern:
protoPayload.serviceName="privateca.googleapis.com"
Methoden nach Berechtigungstyp
Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert ein Enum ist, der einen der folgenden vier Werte haben kann: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen,
Certificate Authority Service generiert ein Audit-Log, dessen Kategorie vom
type-Eigenschaft der Berechtigung, die zum Ausführen der Methode erforderlich ist.
Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff.
Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.
| Berechtigungstyp | Methoden |
|---|---|
ADMIN_READ |
GetIamPolicygoogle.cloud.security.privateca.v1.CertificateAuthorityService.FetchCaCertsgoogle.cloud.security.privateca.v1.CertificateAuthorityService.FetchCertificateAuthorityCsrgoogle.cloud.security.privateca.v1.CertificateAuthorityService.GetCaPoolgoogle.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateAuthoritygoogle.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateTemplategoogle.cloud.security.privateca.v1.CertificateAuthorityService.ListCaPoolsgoogle.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateAuthoritiesgoogle.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateTemplatesgoogle.longrunning.Operations.GetOperationgoogle.longrunning.Operations.ListOperations |
ADMIN_WRITE |
SetIamPolicygoogle.cloud.security.privateca.v1.CertificateAuthorityService.ActivateCertificateAuthoritygoogle.cloud.security.privateca.v1.CertificateAuthorityService.CreateCaPoolgoogle.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificateAuthoritygoogle.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificateTemplategoogle.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCaPoolgoogle.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCertificateAuthoritygoogle.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCertificateTemplategoogle.cloud.security.privateca.v1.CertificateAuthorityService.DisableCertificateAuthoritygoogle.cloud.security.privateca.v1.CertificateAuthorityService.EnableCertificateAuthoritygoogle.cloud.security.privateca.v1.CertificateAuthorityService.UndeleteCertificateAuthoritygoogle.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCaPoolgoogle.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateAuthoritygoogle.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateTemplategoogle.longrunning.Operations.CancelOperationgoogle.longrunning.Operations.DeleteOperation |
DATA_READ |
google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificategoogle.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateRevocationListgoogle.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateRevocationListsgoogle.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificates |
DATA_WRITE |
google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificategoogle.cloud.security.privateca.v1.CertificateAuthorityService.RevokeCertificategoogle.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificategoogle.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateRevocationList |
Audit-Logs der API-Schnittstelle
Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation zur Identitäts- und Zugriffsverwaltung für Zertifizierungsstellen.
google.cloud.security.privateca.v1.CertificateAuthorityService
Die folgenden Audit-Logs sind Methoden zugeordnet, die zu
google.cloud.security.privateca.v1.CertificateAuthorityService
ActivateCertificateAuthority
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.ActivateCertificateAuthority - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.certificateAuthorities.update - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.ActivateCertificateAuthority"
CreateCaPool
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCaPool - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.caPools.create - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCaPool"
CreateCertificate
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificate - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.certificates.create - DATA_WRITEprivateca.certificates.createForSelf - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificate"
CreateCertificateAuthority
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificateAuthority - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.certificateAuthorities.create - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificateAuthority"
CreateCertificateTemplate
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificateTemplate - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.certificateTemplates.create - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.CreateCertificateTemplate"
DeleteCaPool
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCaPool - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.caPools.delete - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCaPool"
DeleteCertificateAuthority
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCertificateAuthority - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.certificateAuthorities.delete - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCertificateAuthority"
DeleteCertificateTemplate
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCertificateTemplate - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.certificateTemplates.delete - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.DeleteCertificateTemplate"
DisableCertificateAuthority
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.DisableCertificateAuthority - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.certificateAuthorities.update - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.DisableCertificateAuthority"
EnableCertificateAuthority
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.EnableCertificateAuthority - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.certificateAuthorities.update - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.EnableCertificateAuthority"
FetchCaCerts
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.FetchCaCerts - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.caPools.get - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.FetchCaCerts"
FetchCertificateAuthorityCsr
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.FetchCertificateAuthorityCsr - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.certificateAuthorities.get - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.FetchCertificateAuthorityCsr"
GetCaPool
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.GetCaPool - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.caPools.get - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.GetCaPool"
GetCertificate
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificate - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.certificates.get - DATA_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificate"
GetCertificateAuthority
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateAuthority - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.certificateAuthorities.get - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateAuthority"
GetCertificateRevocationList
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateRevocationList - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.certificateRevocationLists.get - DATA_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateRevocationList"
GetCertificateTemplate
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateTemplate - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.certificateTemplates.get - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.GetCertificateTemplate"
ListCaPools
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.ListCaPools - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.caPools.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.ListCaPools"
ListCertificateAuthorities
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateAuthorities - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.certificateAuthorities.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateAuthorities"
ListCertificateRevocationLists
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateRevocationLists - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.certificateRevocationLists.list - DATA_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateRevocationLists"
ListCertificateTemplates
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateTemplates - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.certificateTemplates.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificateTemplates"
ListCertificates
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificates - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.certificates.list - DATA_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.ListCertificates"
RevokeCertificate
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.RevokeCertificate - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.certificates.update - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.RevokeCertificate"
UndeleteCertificateAuthority
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.UndeleteCertificateAuthority - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.certificateAuthorities.update - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.UndeleteCertificateAuthority"
UpdateCaPool
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCaPool - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.caPools.update - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCaPool"
UpdateCertificate
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificate - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.certificates.update - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificate"
UpdateCertificateAuthority
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateAuthority - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.certificateAuthorities.update - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateAuthority"
UpdateCertificateRevocationList
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateRevocationList - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.certificateRevocationLists.update - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateRevocationList"
UpdateCertificateTemplate
- Methode:
google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateTemplate - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.certificateTemplates.update - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang:
Vorgang mit langer Ausführungszeit
- Filter für diese Methode:
protoPayload.methodName="google.cloud.security.privateca.v1.CertificateAuthorityService.UpdateCertificateTemplate"
google.iam.v1.IAMPolicy
Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.v1.IAMPolicy gehören.
GetIamPolicy
- Methode:
GetIamPolicy - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.certificateRevocationLists.getIamPolicy - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="GetIamPolicy"
SetIamPolicy
- Methode:
SetIamPolicy - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.caPools.setIamPolicy - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="SetIamPolicy"
google.longrunning.Operations
Die folgenden Audit-Logs sind Methoden zugeordnet, die zu
google.longrunning.Operations
CancelOperation
- Methode:
google.longrunning.Operations.CancelOperation - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.operations.cancel - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.longrunning.Operations.CancelOperation"
DeleteOperation
- Methode:
google.longrunning.Operations.DeleteOperation - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
privateca.operations.delete - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.longrunning.Operations.DeleteOperation"
GetOperation
- Methode:
google.longrunning.Operations.GetOperation - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.operations.get - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.longrunning.Operations.GetOperation"
ListOperations
- Methode:
google.longrunning.Operations.ListOperations - Audit-Logtyp: Datenzugriff
- Berechtigungen:
privateca.operations.list - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.longrunning.Operations.ListOperations"
Methoden, die keine Audit-Logs generieren
Eine Methode kann aus folgenden Gründen keine Audit-Logs erstellen:
- Dies ist eine Methode mit hohem Volumen, die erhebliche Loggenerierungs- und Speicherkosten mit sich bringt.
- Sie hat einen geringen Prüfwert.
- Ein anderes Audit- oder Plattformlog bietet bereits eine Methodenabdeckung.
Die folgenden Methoden generieren keine Audit-Logs:
google.cloud.location.Locations.GetLocationgoogle.cloud.location.Locations.ListLocationsgoogle.longrunning.Operations.WaitOperation