Audit logging di Cloud Key Management Service

Cloud Key Management Service sta aggiornando il formato del campo protoPayload nelle sue voci di audit log di accesso ai dati. Durante il periodo di migrazione, protoPayload all'interno delle voci di audit log di accesso ai dati rimarrà compatibile con le versioni precedenti. Tuttavia, le applicazioni di codice nuove o future devono utilizzare i campi sostitutivi consigliati come segue:

Campo sostitutivo consigliato Campo obsoleto Descrizione
protoPayload.status.details protoPayload.metadata Dettagli dell'errore per EXTERNAL (ad es. le operazioni delle chiavi Cloud EKM.
protoPayload.metadata.entries.caller_provided_context protoPayload.request.caller_provided_context Contesto del chiamante associato a questa operazione Cloud KMS.


Questo documento descrive l'audit logging per Cloud Key Management Service. I servizi Google Cloud scrivono audit log che registrano le attività amministrative e gli accessi all'interno delle tue risorse Google Cloud. Per ulteriori informazioni, consulta Panoramica di Cloud Audit Logs.

Nome servizio

Gli audit log di Cloud Key Management Service utilizzano il nome del servizio cloudkms.googleapis.com.

Metodi per tipo di autorizzazione

I metodi che verificano i tipi di autorizzazioni DATA_READ, DATA_WRITE e ADMIN_READ sono gli audit log di accesso ai dati. I metodi che controllano i tipi di autorizzazioni ADMIN_WRITE sono gli audit log dell'attività di amministrazione.

Tipo di autorizzazione Metodi
ADMIN_READ GetCryptoKey
GetCryptoKeyVersion
GetEkmConfig
GetEkmConnection
GetIamPolicy
GetImportJob
GetKeyRing
ListCryptoKeyVersions
ListCryptoKeys
ListEkmConnections
ListImportJobs
ListKeyRings
VerifyConnectivity
google.cloud.kms.v1.Autokey.GetKeyHandle
google.cloud.kms.v1.Autokmkey.ListKeyHandHand
ADMIN_WRITE CreazioneCryptoKey
CreaCryptoKeyVersion
CreaEkmConnection
CreateImportJob
CreateKeyRing
DestroyCryptoKeyVersion
GetOperation
ImportCryptoKeyVersion
RipristinoCryptoKeyVersion
SetIamPolicy
UpdateCryptoKey
UpdateCryptoKeyPRIMARYVersion
UpdateCryptoKeyConfigConfig
UpdateEkmConfig
UpdateEkmConnection
google.cloud.kms.v1.Autokey.CreateKeyHandle
google.cloud.kms.v1.Autoscaler
DATA_READ Decrittografia asimmetrica
AsymmetricSign
Decriptare
Cripta
GetPublicKey
MacSign
MacVerify
RawDecrypt
RawEncrypt

Audit log per interfaccia API

Per informazioni sulle autorizzazioni che vengono valutate e sulle modalità per ciascun metodo, consulta la documentazione di Identity and Access Management per Cloud Key Management Service.

google.cloud.kms.v1.Autokey

Dettagli sugli audit log associati ai metodi appartenenti a google.cloud.kms.v1.Autokey.

google.cloud.kms.v1.Autokey.CreateKeyHandle

  • Metodo: google.cloud.kms.v1.Autokey.CreateKeyHandle
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.keyHandles.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: operazione a lunga esecuzione
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"

google.cloud.kms.v1.Autokey.GetKeyHandle

  • Metodo: google.cloud.kms.v1.Autokey.GetKeyHandle
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.keyHandles.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"

google.cloud.kms.v1.Autokey.ListKeyHandles

  • Metodo: google.cloud.kms.v1.Autokey.ListKeyHandles
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.keyHandles.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"

google.cloud.kms.v1.AutokeyAdmin

Dettagli sugli audit log associati ai metodi appartenenti a google.cloud.kms.v1.AutokeyAdmin.

google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig

  • Metodo: google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.autokeyConfigs.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"

google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig

  • Metodo: google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"

google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig

  • Metodo: google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.autokeyConfigs.update - ADMIN_WRITE
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"

google.cloud.kms.v1.EkmService

Dettagli sugli audit log associati ai metodi appartenenti a google.cloud.kms.v1.EkmService.

CreateEkmConnection

  • Metodo: CreateEkmConnection
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.ekmConnections.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="CreateEkmConnection"

GetEkmConfig

  • Metodo: GetEkmConfig
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.ekmConfigs.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="GetEkmConfig"

GetEkmConnection

  • Metodo: GetEkmConnection
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.ekmConnections.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="GetEkmConnection"

ListEkmConnections

  • Metodo: ListEkmConnections
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.ekmConnections.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="ListEkmConnections"

UpdateEkmConfig

  • Metodo: UpdateEkmConfig
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.ekmConfigs.update - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="UpdateEkmConfig"

UpdateEkmConnection

  • Metodo: UpdateEkmConnection
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.ekmConnections.update - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="UpdateEkmConnection"

VerifyConnectivity

  • Metodo: VerifyConnectivity
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="VerifyConnectivity"

google.cloud.kms.v1.KeyManagementService

Dettagli sugli audit log associati ai metodi appartenenti a google.cloud.kms.v1.KeyManagementService.

AsymmetricDecrypt

  • Metodo: decriptazione asimmetrica
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="AsymmetricDecrypt"

AsymmetricSign

  • Metodo: AsymmetricSign
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="AsymmetricSign"

CreateCryptoKey

  • Metodo: CreateCryptoKey
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeys.create - ADMIN_WRITE
    • cloudkms.ekmConnections.use - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="CreateCryptoKey"

CreateCryptoKeyVersion

  • Metodo: CreateCryptoKeyVersion
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="CreateCryptoKeyVersion"

CreateImportJob

  • Metodo: CreateImportJob
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.importJobs.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="CreateImportJob"

CreateKeyRing

  • Metodo: CreateKeyRing
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.keyRings.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="CreateKeyRing"

Decripta

  • Metodo: decriptare
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
    • cloudkms.cryptoKeyVersions.useToDecryptViaDelegation - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="Decrypt"

DestroyCryptoKeyVersion

  • Metodo: DestroyCryptoKeyVersion
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="DestroyCryptoKeyVersion"

Cripta

  • Metodo: crittografia
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
    • cloudkms.cryptoKeyVersions.useToEncryptViaDelegation - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="Encrypt"

GetCryptoKey

  • Metodo: GetCryptoKey
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeys.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="GetCryptoKey"

GetCryptoKeyVersion

  • Metodo: GetCryptoKeyVersion
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="GetCryptoKeyVersion"

GetImportJob

  • Metodo: GetImportJob
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.importJobs.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="GetImportJob"

GetKeyRing

  • Metodo: GetKeyRing
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.keyRings.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="GetKeyRing"

GetPublicKey

  • Metodo: GetPublicKey
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="GetPublicKey"

ImportCryptoKeyVersion

  • Metodo: ImportCryptoKeyVersion
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
    • cloudkms.importJobs.useToImport - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="ImportCryptoKeyVersion"

ListCryptoKeyVersions

  • Metodo: ListCryptoKeyVersions
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="ListCryptoKeyVersions"

ListCryptoKeys

  • Metodo: ListCryptoKeys
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeys.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="ListCryptoKeys"

ListImportJobs

  • Metodo: ListImportJobs
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.importJobs.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="ListImportJobs"

ListKeyRings

  • Metodo: ListKeyRings
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.keyRings.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="ListKeyRings"

MacSign

  • Metodo: MacSign
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="MacSign"

MacVerify

  • Metodo: MacVerify
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="MacVerify"

RawDecrypt

  • Metodo: RawDecrypt
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="RawDecrypt"

RawEncrypt

  • Metodo: RawEncrypt
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="RawEncrypt"

RestoreCryptoKeyVersion

  • Metodo: RipristinaCryptoKeyVersion
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="RestoreCryptoKeyVersion"

UpdateCryptoKey

  • Metodo: UpdateCryptoKey
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="UpdateCryptoKey"

UpdateCryptoKeyPrimaryVersion

  • Metodo: UpdateCryptoKeyprimaryVersion
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"

UpdateCryptoKeyVersion

  • Metodo: UpdateCryptoKeyVersion
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="UpdateCryptoKeyVersion"

google.iam.v1.IAMPolicy

Dettagli sugli audit log associati ai metodi appartenenti a google.iam.v1.IAMPolicy.

GetIamPolicy

  • Metodo: GetIamPolicy
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
    • cloudkms.ekmConfigs.getIamPolicy - ADMIN_READ
    • cloudkms.ekmConnections.getIamPolicy - ADMIN_READ
    • cloudkms.importJobs.getIamPolicy - ADMIN_READ
    • cloudkms.keyRings.getIamPolicy - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="GetIamPolicy"

SetIamPolicy

  • Metodo: SetIamPolicy
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
    • cloudkms.ekmConfigs.setIamPolicy - ADMIN_WRITE
    • cloudkms.ekmConnections.setIamPolicy - ADMIN_WRITE
    • cloudkms.importJobs.setIamPolicy - ADMIN_WRITE
    • cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="SetIamPolicy"

google.longrunning.Operations

Dettagli sugli audit log associati ai metodi appartenenti a google.longrunning.Operations.

GetOperation

  • Metodo: GetOperation
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudkms.keyHandles.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o un flusso di dati: No.
  • Filtra per questo metodo: protoPayload.methodName="GetOperation"

Metodi che non producono audit log

In genere i metodi non producono audit log perché sono di volume elevato e questo sarebbe molto costoso, perché il metodo ha un valore di controllo basso o perché un altro log di controllo o di piattaforma fornisce già copertura per le operazioni eseguite dal metodo.

I seguenti metodi non producono audit log:

  • google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
  • google.cloud.location.Locations.GetLocation
  • google.cloud.location.Locations.ListLocations