protoPayload
en las entradas del registro de auditoría de acceso a los datos. Durante el período de migración, el protoPayload
de las entradas de registro de auditoría de acceso a los datos seguirá siendo retrocompatible. Sin embargo, las aplicaciones de código nuevas o futuras deben usar los campos de reemplazo recomendados de la siguiente manera:
Campo de reemplazo recomendado | Campo obsoleto | Descripción |
---|---|---|
protoPayload.status.details |
protoPayload.metadata |
Detalle del error de EXTERNAL (es decir, Cloud EKM). |
protoPayload.metadata.entries.caller_provided_context |
protoPayload.request.caller_provided_context |
Contexto del emisor asociado con esta operación de Cloud KMS. |
En este documento, se describe el registro de auditoría de Cloud Key Management Service. Los servicios de Google Cloud escriben registros de auditoría que registran actividades y accesos administrativos dentro de tus recursos de Google Cloud. Para obtener más información, consulta Descripción general de los Registros de auditoría de Cloud.
Nombre del servicio
Los registros de auditoría de Cloud Key Management Service usan el nombre de servicio cloudkms.googleapis.com
.
Métodos por tipo de permiso
Los métodos que verifican los tipos de permiso DATA_READ
, DATA_WRITE
y ADMIN_READ
son registros de auditoría de acceso a los datos.
Los métodos que verifican los tipos de permisos ADMIN_WRITE
son registros de auditoría de actividad del administrador.
Tipo de permiso | Métodos |
---|---|
ADMIN_READ | GetCryptoKey GetCryptoKeyVersion GetEkmConfig GetEkmConnection GetIamPolicy GetImportJob GetKeyRing ListCryptoKeyVersions ListCryptoKeys ListEkmConnections ListImportJobs ListKeyRings VerifyConnectivity google.cloud.kms.v1.Autokey.GetKeyHandleConfig google.cloud.kms.cloudGetkey.Autokey.ListKeyHandleAdmin.google.cloudGetkey.List.Autokm. |
ADMIN_WRITE | CreateCryptoKey CreateCryptoKeyVersion CreateEkmConnection CreateImportJob CreateKeyRing DestroyCryptoKeyVersion GetOperation ImportCryptoKeyVersion RestoreCryptoKeyVersion SetIamPolicy UpdateCryptoKey UpdateCryptoKeyPrimaryVersion UpdateCryptoKeyVersion UpdateEkmConfig UpdateEkmConnection google.cloud.kms.v1.Autokey.CreateKeyHandle google.cloud.kms.v1.AutokeyAdmin. |
DATA_READ | Desencriptación asimétrica AsymmetricSign Desencriptar Encriptar GetPublicKey MacSign MacVerify Desencriptar RawEncrypt |
Registros de auditoría por interfaz de API
Si quieres saber qué permisos se evalúan y cómo para cada método, consulta la documentación de Identity and Access Management de Cloud Key Management Service.
google.cloud.kms.v1.Autokey
Detalles sobre los registros de auditoría asociados con métodos que pertenecen a google.cloud.kms.v1.Autokey
.
google.cloud.kms.v1.Autokey.CreateKeyHandle
- Método: google.cloud.kms.v1.Autokey.CreateKeyHandle
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.keyHandles.create - ADMIN_WRITE
- El método es una operación de larga duración o transmisión:
una operación de larga duración
- Filtra para este método:
protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"
google.cloud.kms.v1.Autokey.GetKeyHandle
- Método: google.cloud.kms.v1.Autokey.GetKeyHandle
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.keyHandles.get - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"
google.cloud.kms.v1.Autokey.ListKeyHandles
- Método: google.cloud.kms.v1.Autokey.ListKeyHandles
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.keyHandles.list - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"
google.cloud.kms.v1.AutokeyAdmin
Detalles sobre los registros de auditoría asociados con métodos que pertenecen a google.cloud.kms.v1.AutokeyAdmin
.
google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
- Método: google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.autokeyConfigs.get - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"
google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
- Método: google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"
google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
- Método: google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.autokeyConfigs.update - ADMIN_WRITE
cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"
google.cloud.kms.v1.EkmService
Detalles sobre los registros de auditoría asociados con métodos que pertenecen a google.cloud.kms.v1.EkmService
.
CreateEkmConnection
- Método: CreateEkmConnection
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.ekmConnections.create - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="CreateEkmConnection"
GetEkmConfig
- Método: GetEkmConfig
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.ekmConfigs.get - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="GetEkmConfig"
GetEkmConnection
- Método: GetEkmConnection
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.ekmConnections.get - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="GetEkmConnection"
ListEkmConnections
- Método: ListEkmConnections
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.ekmConnections.list - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="ListEkmConnections"
UpdateEkmConfig
- Método: UpdateEkmConfig
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.ekmConfigs.update - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="UpdateEkmConfig"
UpdateEkmConnection
- Método: UpdateEkmConnection
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.ekmConnections.update - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="UpdateEkmConnection"
VerifyConnectivity
- Método: VerifyConnectivity
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="VerifyConnectivity"
google.cloud.kms.v1.KeyManagementService
Detalles sobre los registros de auditoría asociados con métodos que pertenecen a google.cloud.kms.v1.KeyManagementService
.
AsymmetricDecrypt
- Método: AsymmetricDecrypt
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="AsymmetricDecrypt"
AsymmetricSign
- Método: AsymmetricSign
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToSign - DATA_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="AsymmetricSign"
CreateCryptoKey
- Método: CreateCryptoKey
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
cloudkms.cryptoKeys.create - ADMIN_WRITE
cloudkms.ekmConnections.use - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="CreateCryptoKey"
CreateCryptoKeyVersion
- Método: CreateCryptoKeyVersion
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="CreateCryptoKeyVersion"
CreateImportJob
- Método: CreateImportJob
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.importJobs.create - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="CreateImportJob"
CreateKeyRing
- Método: CreateKeyRing
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.keyRings.create - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="CreateKeyRing"
Decrypt
- Método: Decrypt
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
cloudkms.cryptoKeyVersions.useToDecryptViaDelegation - DATA_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="Decrypt"
DestroyCryptoKeyVersion
- Método: DestroyCryptoKeyVersion
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="DestroyCryptoKeyVersion"
Encrypt
- Método: Encrypt
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
cloudkms.cryptoKeyVersions.useToEncryptViaDelegation - DATA_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="Encrypt"
GetCryptoKey
- Método: GetCryptoKey
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeys.get - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="GetCryptoKey"
GetCryptoKeyVersion
- Método: GetCryptoKeyVersion
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.get - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="GetCryptoKeyVersion"
GetImportJob
- Método: GetImportJob
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.importJobs.get - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="GetImportJob"
GetKeyRing
- Método: GetKeyRing
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.keyRings.get - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="GetKeyRing"
GetPublicKey
- Método: GetPublicKey
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="GetPublicKey"
ImportCryptoKeyVersion
- Método: ImportCryptoKeyVersion
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
cloudkms.importJobs.useToImport - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="ImportCryptoKeyVersion"
ListCryptoKeyVersions
- Método: ListCryptoKeyVersions
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.list - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="ListCryptoKeyVersions"
ListCryptoKeys
- Método: ListCryptoKeys
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeys.list - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="ListCryptoKeys"
ListImportJobs
- Método: ListImportJobs
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.importJobs.list - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="ListImportJobs"
ListKeyRings
- Método: ListKeyRings
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.keyRings.list - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="ListKeyRings"
MacSign
- Método: MacSign
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToSign - DATA_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="MacSign"
MacVerify
- Método: MacVerify
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="MacVerify"
RawDecrypt
- Método: RawDecrypt
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="RawDecrypt"
RawEncrypt
- Método: RawEncrypt
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="RawEncrypt"
RestoreCryptoKeyVersion
- Método: RestoreCryptoKeyVersion
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="RestoreCryptoKeyVersion"
UpdateCryptoKey
- Método: UpdateCryptoKey
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
cloudkms.cryptoKeys.update - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="UpdateCryptoKey"
UpdateCryptoKeyPrimaryVersion
- Método: UpdateCryptoKeyPrimaryVersion
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeys.update - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"
UpdateCryptoKeyVersion
- Método: UpdateCryptoKeyVersion
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="UpdateCryptoKeyVersion"
google.iam.v1.IAMPolicy
Detalles sobre los registros de auditoría asociados con métodos que pertenecen a google.iam.v1.IAMPolicy
.
GetIamPolicy
- Método: GetIamPolicy
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
cloudkms.ekmConfigs.getIamPolicy - ADMIN_READ
cloudkms.ekmConnections.getIamPolicy - ADMIN_READ
cloudkms.importJobs.getIamPolicy - ADMIN_READ
cloudkms.keyRings.getIamPolicy - ADMIN_READ
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="GetIamPolicy"
SetIamPolicy
- Método: SetIamPolicy
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
cloudkms.ekmConfigs.setIamPolicy - ADMIN_WRITE
cloudkms.ekmConnections.setIamPolicy - ADMIN_WRITE
cloudkms.importJobs.setIamPolicy - ADMIN_WRITE
cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="SetIamPolicy"
google.longrunning.Operations
Detalles sobre los registros de auditoría asociados con métodos que pertenecen a google.longrunning.Operations
.
GetOperation
- Método: GetOperation
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.keyHandles.create - ADMIN_WRITE
- El método es una operación o transmisión de larga duración: no.
- Filtra para este método:
protoPayload.methodName="GetOperation"
Métodos que no producen registros de auditoría
Por lo general, los métodos no producen registros de auditoría porque tienen un volumen alto y hacerlo sería muy costoso, porque el método tiene un valor de auditoría bajo o porque otro registro de auditoría o plataforma ya proporciona cobertura para lo que hace.
Los siguientes métodos no producen registros de auditoría:
google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
google.cloud.location.Locations.GetLocation
google.cloud.location.Locations.ListLocations