protoPayload
필드 형식을 업데이트합니다. 마이그레이션 기간 동안 데이터 액세스 감사 로그 항목 내 protoPayload
는 이전 버전과 호환됩니다. 하지만 신규 또는 이후 코드 애플리케이션에는 다음과 같은 권장되는 대체 필드가 사용됩니다.
권장 대체 필드 | 지원 중단된 필드 | 설명 |
---|---|---|
protoPayload.status.details |
protoPayload.metadata |
EXTERNAL (즉, Cloud EKM) 키 작업의 오류 세부정보 |
protoPayload.metadata.entries.caller_provided_context |
protoPayload.request.caller_provided_context |
이 Cloud KMS 작업과 연결된 호출자의 컨텍스트입니다. |
이 문서에서는 Cloud Key Management Service의 감사 로깅을 설명합니다. Google Cloud 서비스는 Google Cloud 리소스 내의 관리 및 액세스 활동을 기록하는 감사 로그를 생성합니다. Cloud 감사 로그에 대한 자세한 내용은 다음을 참조하세요.
서비스 이름
Cloud Key Management Service 감사 로그는 cloudkms.googleapis.com
서비스 이름을 사용합니다.
이 서비스에 대한 필터:
protoPayload.serviceName="cloudkms.googleapis.com"
권한 유형별 메서드
각 IAM 권한에는 type
속성이 포함되며 그 값은 네 가지 값(ADMIN_READ
, ADMIN_WRITE
, DATA_READ
, DATA_WRITE
) 중 하나일 수 있는 열거형입니다. 메서드를 호출하면 Cloud Key Management Service에서 감사 로그를 생성합니다. 이 로그에서 카테고리는 메서드를 수행하는 데 필요한 권한의 type
속성에 종속됩니다.
DATA_READ
, DATA_WRITE
, ADMIN_READ
의 type
속성 값을 가진 IAM 권한이 필요한 메서드는 데이터 액세스 감사 로그를 생성합니다.
type
속성 값이 ADMIN_WRITE
인 IAM 권한이 필요한 메서드는 관리자 활동 감사 로그를 생성합니다.
권한 유형 | 메서드 |
---|---|
ADMIN_READ |
GetCryptoKey GetCryptoKeyVersion GetEkmConfig GetEkmConnection GetIamPolicy GetImportJob GetKeyRing GetOperation ListCryptoKeyVersions ListCryptoKeys ListEkmConnections ListImportJobs ListKeyRings VerifyConnectivity google.cloud.kms.v1.Autokey.GetKeyHandle google.cloud.kms.v1.Autokey.ListKeyHandles google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig |
ADMIN_WRITE |
CreateCryptoKey CreateCryptoKeyVersion CreateEkmConnection CreateImportJob CreateKeyRing DestroyCryptoKeyVersion ImportCryptoKeyVersion RestoreCryptoKeyVersion SetIamPolicy UpdateCryptoKey UpdateCryptoKeyPrimaryVersion UpdateCryptoKeyVersion UpdateEkmConfig UpdateEkmConnection google.cloud.kms.v1.Autokey.CreateKeyHandle google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig |
DATA_READ |
AsymmetricDecrypt AsymmetricSign Decrypt Encrypt GetPublicKey MacSign MacVerify RawDecrypt RawEncrypt |
API 인터페이스 감사 로그
각 메서드의 권한과 평가 방법에 대한 자세한 내용은 Cloud Key Management Service의 Identity and Access Management 문서를 참조하세요.
google.cloud.kms.v1.Autokey
다음 감사 로그는 google.cloud.kms.v1.Autokey
에 속하는 메서드와 연결되어 있습니다.
CreateKeyHandle
- 메서드:
google.cloud.kms.v1.Autokey.CreateKeyHandle
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.keyHandles.create - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부:
장기 실행 작업
- 이 메서드에 대한 필터::
protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"
GetKeyHandle
- 메서드:
google.cloud.kms.v1.Autokey.GetKeyHandle
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.keyHandles.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"
ListKeyHandles
- 메서드:
google.cloud.kms.v1.Autokey.ListKeyHandles
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.keyHandles.list - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"
google.cloud.kms.v1.AutokeyAdmin
다음 감사 로그는 google.cloud.kms.v1.AutokeyAdmin
에 속하는 메서드와 연결되어 있습니다.
GetAutokeyConfig
- 메서드:
google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.autokeyConfigs.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"
ShowEffectiveAutokeyConfig
- 메서드:
google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"
UpdateAutokeyConfig
- 메서드:
google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.autokeyConfigs.update - ADMIN_WRITE
cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"
google.cloud.kms.v1.EkmService
다음 감사 로그는 google.cloud.kms.v1.EkmService
에 속하는 메서드와 연결되어 있습니다.
CreateEkmConnection
- 메서드:
CreateEkmConnection
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.ekmConnections.create - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="CreateEkmConnection"
GetEkmConfig
- 메서드:
GetEkmConfig
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.ekmConfigs.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetEkmConfig"
GetEkmConnection
- 메서드:
GetEkmConnection
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.ekmConnections.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetEkmConnection"
ListEkmConnections
- 메서드:
ListEkmConnections
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.ekmConnections.list - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="ListEkmConnections"
UpdateEkmConfig
- 메서드:
UpdateEkmConfig
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.ekmConfigs.update - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="UpdateEkmConfig"
UpdateEkmConnection
- 메서드:
UpdateEkmConnection
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.ekmConnections.update - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="UpdateEkmConnection"
VerifyConnectivity
- 메서드:
VerifyConnectivity
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="VerifyConnectivity"
google.cloud.kms.v1.KeyManagementService
다음 감사 로그는 google.cloud.kms.v1.KeyManagementService
에 속하는 메서드와 연결되어 있습니다.
AsymmetricDecrypt
- 메서드:
AsymmetricDecrypt
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="AsymmetricDecrypt"
AsymmetricSign
- 메서드:
AsymmetricSign
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToSign - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="AsymmetricSign"
CreateCryptoKey
- 메서드:
CreateCryptoKey
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeys.create - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="CreateCryptoKey"
CreateCryptoKeyVersion
- 메서드:
CreateCryptoKeyVersion
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="CreateCryptoKeyVersion"
CreateImportJob
- 메서드:
CreateImportJob
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.importJobs.create - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="CreateImportJob"
CreateKeyRing
- 메서드:
CreateKeyRing
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.keyRings.create - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="CreateKeyRing"
Decrypt
- 메서드:
Decrypt
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="Decrypt"
DestroyCryptoKeyVersion
- 메서드:
DestroyCryptoKeyVersion
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="DestroyCryptoKeyVersion"
Encrypt
- 메서드:
Encrypt
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="Encrypt"
GetCryptoKey
- 메서드:
GetCryptoKey
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeys.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetCryptoKey"
GetCryptoKeyVersion
- 메서드:
GetCryptoKeyVersion
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetCryptoKeyVersion"
GetImportJob
- 메서드:
GetImportJob
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.importJobs.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetImportJob"
GetKeyRing
- 메서드:
GetKeyRing
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.keyRings.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetKeyRing"
GetPublicKey
- 메서드:
GetPublicKey
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetPublicKey"
ImportCryptoKeyVersion
- 메서드:
ImportCryptoKeyVersion
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
cloudkms.importJobs.useToImport - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="ImportCryptoKeyVersion"
ListCryptoKeyVersions
- 메서드:
ListCryptoKeyVersions
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.list - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="ListCryptoKeyVersions"
ListCryptoKeys
- 메서드:
ListCryptoKeys
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeys.list - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="ListCryptoKeys"
ListImportJobs
- 메서드:
ListImportJobs
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.importJobs.list - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="ListImportJobs"
ListKeyRings
- 메서드:
ListKeyRings
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.keyRings.list - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="ListKeyRings"
MacSign
- 메서드:
MacSign
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToSign - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="MacSign"
MacVerify
- 메서드:
MacVerify
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="MacVerify"
RawDecrypt
- 메서드:
RawDecrypt
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="RawDecrypt"
RawEncrypt
- 메서드:
RawEncrypt
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="RawEncrypt"
RestoreCryptoKeyVersion
- 메서드:
RestoreCryptoKeyVersion
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="RestoreCryptoKeyVersion"
UpdateCryptoKey
- 메서드:
UpdateCryptoKey
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeys.update - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="UpdateCryptoKey"
UpdateCryptoKeyPrimaryVersion
- 메서드:
UpdateCryptoKeyPrimaryVersion
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeys.update - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"
UpdateCryptoKeyVersion
- 메서드:
UpdateCryptoKeyVersion
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="UpdateCryptoKeyVersion"
google.iam.v1.IAMPolicy
다음 감사 로그는 google.iam.v1.IAMPolicy
에 속하는 메서드와 연결되어 있습니다.
GetIamPolicy
- 메서드:
GetIamPolicy
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
cloudkms.keyRings.getIamPolicy - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetIamPolicy"
SetIamPolicy
- 메서드:
SetIamPolicy
- 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="SetIamPolicy"
google.longrunning.Operations
다음 감사 로그는 google.longrunning.Operations
에 속하는 메서드와 연결되어 있습니다.
GetOperation
- 메서드:
GetOperation
- 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.keyHandles.create - ADMIN_WRITE
cloudkms.operations.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetOperation"
감사 로그를 생성하지 않는 메서드
메서드는 다음 중 하나 이상의 이유로 인해 감사 로그를 생성하지 않을 수 있습니다.
- 상당한 로그 생성 및 스토리지 비용이 포함된 대용량 메서드입니다.
- 감사 값이 낮습니다.
- 또 다른 감사 또는 플랫폼 로그에서 이미 메서드 범위를 제공합니다.
다음 메서드는 감사 로그를 생성하지 않습니다.
google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
google.cloud.location.Locations.GetLocation
google.cloud.location.Locations.ListLocations