Cloud Key Management Service 감사 로깅

Cloud Key Management Service는 데이터 액세스 감사 로그 항목의 protoPayload 필드 형식을 업데이트합니다. 마이그레이션 기간 동안 데이터 액세스 감사 로그 항목 내 protoPayload는 이전 버전과 호환됩니다. 하지만 신규 또는 이후 코드 애플리케이션에는 다음과 같은 권장되는 대체 필드가 사용됩니다.

권장 대체 필드 지원 중단된 필드 설명
protoPayload.status.details protoPayload.metadata EXTERNAL(즉, Cloud EKM) 키 작업의 오류 세부정보
protoPayload.metadata.entries.caller_provided_context protoPayload.request.caller_provided_context 이 Cloud KMS 작업과 연결된 호출자의 컨텍스트입니다.


이 문서에서는 Cloud Key Management Service의 감사 로깅을 설명합니다. Google Cloud 서비스는 Google Cloud 리소스 내의 관리 및 액세스 활동을 기록하는 감사 로그를 생성합니다. Cloud 감사 로그에 대한 자세한 내용은 다음을 참조하세요.

서비스 이름

Cloud Key Management Service 감사 로그는 cloudkms.googleapis.com 서비스 이름을 사용합니다. 이 서비스에 대한 필터: 

    protoPayload.serviceName="cloudkms.googleapis.com"

권한 유형별 메서드

각 IAM 권한에는 type 속성이 포함되며 그 값은 네 가지 값(ADMIN_READ, ADMIN_WRITE, DATA_READ, DATA_WRITE) 중 하나일 수 있는 열거형입니다. 메서드를 호출하면 Cloud Key Management Service에서 감사 로그를 생성합니다. 이 로그에서 카테고리는 메서드를 수행하는 데 필요한 권한의 type 속성에 종속됩니다. DATA_READ, DATA_WRITE, ADMIN_READtype 속성 값을 가진 IAM 권한이 필요한 메서드는 데이터 액세스 감사 로그를 생성합니다. type 속성 값이 ADMIN_WRITE인 IAM 권한이 필요한 메서드는 관리자 활동 감사 로그를 생성합니다.

권한 유형 메서드
ADMIN_READ GetCryptoKey
GetCryptoKeyVersion
GetEkmConfig
GetEkmConnection
GetIamPolicy
GetImportJob
GetKeyRing
GetOperation
ListCryptoKeyVersions
ListCryptoKeys
ListEkmConnections
ListImportJobs
ListKeyRings
VerifyConnectivity
google.cloud.kms.v1.Autokey.GetKeyHandle
google.cloud.kms.v1.Autokey.ListKeyHandles
google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
ADMIN_WRITE CreateCryptoKey
CreateCryptoKeyVersion
CreateEkmConnection
CreateImportJob
CreateKeyRing
DestroyCryptoKeyVersion
ImportCryptoKeyVersion
RestoreCryptoKeyVersion
SetIamPolicy
UpdateCryptoKey
UpdateCryptoKeyPrimaryVersion
UpdateCryptoKeyVersion
UpdateEkmConfig
UpdateEkmConnection
google.cloud.kms.v1.Autokey.CreateKeyHandle
google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
DATA_READ AsymmetricDecrypt
AsymmetricSign
Decrypt
Encrypt
GetPublicKey
MacSign
MacVerify
RawDecrypt
RawEncrypt

API 인터페이스 감사 로그

각 메서드의 권한과 평가 방법에 대한 자세한 내용은 Cloud Key Management Service의 Identity and Access Management 문서를 참조하세요.

google.cloud.kms.v1.Autokey

다음 감사 로그는 google.cloud.kms.v1.Autokey에 속하는 메서드와 연결되어 있습니다.

CreateKeyHandle

  • 메서드: google.cloud.kms.v1.Autokey.CreateKeyHandle
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.keyHandles.create - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"

GetKeyHandle

  • 메서드: google.cloud.kms.v1.Autokey.GetKeyHandle
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.keyHandles.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"

ListKeyHandles

  • 메서드: google.cloud.kms.v1.Autokey.ListKeyHandles
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.keyHandles.list - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"

google.cloud.kms.v1.AutokeyAdmin

다음 감사 로그는 google.cloud.kms.v1.AutokeyAdmin에 속하는 메서드와 연결되어 있습니다.

GetAutokeyConfig

  • 메서드: google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.autokeyConfigs.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"

ShowEffectiveAutokeyConfig

  • 메서드: google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"

UpdateAutokeyConfig

  • 메서드: google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.autokeyConfigs.update - ADMIN_WRITE
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"

google.cloud.kms.v1.EkmService

다음 감사 로그는 google.cloud.kms.v1.EkmService에 속하는 메서드와 연결되어 있습니다.

CreateEkmConnection

  • 메서드: CreateEkmConnection
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.ekmConnections.create - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="CreateEkmConnection"

GetEkmConfig

  • 메서드: GetEkmConfig
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.ekmConfigs.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="GetEkmConfig"

GetEkmConnection

  • 메서드: GetEkmConnection
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.ekmConnections.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="GetEkmConnection"

ListEkmConnections

  • 메서드: ListEkmConnections
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.ekmConnections.list - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="ListEkmConnections"

UpdateEkmConfig

  • 메서드: UpdateEkmConfig
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.ekmConfigs.update - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="UpdateEkmConfig"

UpdateEkmConnection

  • 메서드: UpdateEkmConnection
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.ekmConnections.update - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="UpdateEkmConnection"

VerifyConnectivity

  • 메서드: VerifyConnectivity
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="VerifyConnectivity"

google.cloud.kms.v1.KeyManagementService

다음 감사 로그는 google.cloud.kms.v1.KeyManagementService에 속하는 메서드와 연결되어 있습니다.

AsymmetricDecrypt

  • 메서드: AsymmetricDecrypt
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="AsymmetricDecrypt"

AsymmetricSign

  • 메서드: AsymmetricSign
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="AsymmetricSign"

CreateCryptoKey

  • 메서드: CreateCryptoKey
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.cryptoKeys.create - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="CreateCryptoKey"

CreateCryptoKeyVersion

  • 메서드: CreateCryptoKeyVersion
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="CreateCryptoKeyVersion"

CreateImportJob

  • 메서드: CreateImportJob
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.importJobs.create - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="CreateImportJob"

CreateKeyRing

  • 메서드: CreateKeyRing
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.keyRings.create - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="CreateKeyRing"

Decrypt

  • 메서드: Decrypt
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="Decrypt"

DestroyCryptoKeyVersion

  • 메서드: DestroyCryptoKeyVersion
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="DestroyCryptoKeyVersion"

Encrypt

  • 메서드: Encrypt
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="Encrypt"

GetCryptoKey

  • 메서드: GetCryptoKey
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.cryptoKeys.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="GetCryptoKey"

GetCryptoKeyVersion

  • 메서드: GetCryptoKeyVersion
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.cryptoKeyVersions.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="GetCryptoKeyVersion"

GetImportJob

  • 메서드: GetImportJob
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.importJobs.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="GetImportJob"

GetKeyRing

  • 메서드: GetKeyRing
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.keyRings.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="GetKeyRing"

GetPublicKey

  • 메서드: GetPublicKey
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="GetPublicKey"

ImportCryptoKeyVersion

  • 메서드: ImportCryptoKeyVersion
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
    • cloudkms.importJobs.useToImport - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="ImportCryptoKeyVersion"

ListCryptoKeyVersions

  • 메서드: ListCryptoKeyVersions
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.cryptoKeyVersions.list - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="ListCryptoKeyVersions"

ListCryptoKeys

  • 메서드: ListCryptoKeys
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.cryptoKeys.list - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="ListCryptoKeys"

ListImportJobs

  • 메서드: ListImportJobs
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.importJobs.list - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="ListImportJobs"

ListKeyRings

  • 메서드: ListKeyRings
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.keyRings.list - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="ListKeyRings"

MacSign

  • 메서드: MacSign
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="MacSign"

MacVerify

  • 메서드: MacVerify
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="MacVerify"

RawDecrypt

  • 메서드: RawDecrypt
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="RawDecrypt"

RawEncrypt

  • 메서드: RawEncrypt
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="RawEncrypt"

RestoreCryptoKeyVersion

  • 메서드: RestoreCryptoKeyVersion
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="RestoreCryptoKeyVersion"

UpdateCryptoKey

  • 메서드: UpdateCryptoKey
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="UpdateCryptoKey"

UpdateCryptoKeyPrimaryVersion

  • 메서드: UpdateCryptoKeyPrimaryVersion
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"

UpdateCryptoKeyVersion

  • 메서드: UpdateCryptoKeyVersion
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="UpdateCryptoKeyVersion"

google.iam.v1.IAMPolicy

다음 감사 로그는 google.iam.v1.IAMPolicy에 속하는 메서드와 연결되어 있습니다.

GetIamPolicy

  • 메서드: GetIamPolicy
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
    • cloudkms.keyRings.getIamPolicy - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="GetIamPolicy"

SetIamPolicy

  • 메서드: SetIamPolicy
  • 감사 로그 유형: 관리자 활동
  • 권한:
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
    • cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="SetIamPolicy"

google.longrunning.Operations

다음 감사 로그는 google.longrunning.Operations에 속하는 메서드와 연결되어 있습니다.

GetOperation

  • 메서드: GetOperation
  • 감사 로그 유형: 데이터 액세스
  • 권한:
    • cloudkms.keyHandles.create - ADMIN_WRITE
    • cloudkms.operations.get - ADMIN_READ
  • 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
  • 이 메서드에 대한 필터:: protoPayload.methodName="GetOperation"

감사 로그를 생성하지 않는 메서드

메서드는 다음 중 하나 이상의 이유로 인해 감사 로그를 생성하지 않을 수 있습니다.

  • 상당한 로그 생성 및 스토리지 비용이 포함된 대용량 메서드입니다.
  • 감사 값이 낮습니다.
  • 또 다른 감사 또는 플랫폼 로그에서 이미 메서드 범위를 제공합니다.

다음 메서드는 감사 로그를 생성하지 않습니다.

  • google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
  • google.cloud.location.Locations.GetLocation
  • google.cloud.location.Locations.ListLocations