Registro de auditoría de Cloud Key Management Service

Cloud Key Management Service está actualizando el formato del campo protoPayload en las entradas del registro de auditoría de acceso a los datos. Durante el período de migración, el protoPayload de las entradas de registro de auditoría de acceso a los datos seguirá siendo retrocompatible. Sin embargo, las aplicaciones de código nuevas o futuras deben usar los campos de reemplazo recomendados de la siguiente manera:

Campo de reemplazo recomendado Campo obsoleto Descripción
protoPayload.status.details protoPayload.metadata Detalle del error de EXTERNAL (es decir, Cloud EKM).
protoPayload.metadata.entries.caller_provided_context protoPayload.request.caller_provided_context Contexto del emisor asociado con esta operación de Cloud KMS.


En este documento, se describe el registro de auditoría de Cloud Key Management Service. Los servicios de Google Cloud escriben registros de auditoría que registran actividades y accesos administrativos dentro de tus recursos de Google Cloud. Para obtener más información, consulta Descripción general de los Registros de auditoría de Cloud.

Nombre del servicio

Los registros de auditoría de Cloud Key Management Service usan el nombre de servicio cloudkms.googleapis.com.

Métodos por tipo de permiso

Los métodos que verifican los tipos de permiso DATA_READ, DATA_WRITE y ADMIN_READ son registros de auditoría de acceso a los datos. Los métodos que verifican los tipos de permisos ADMIN_WRITE son registros de auditoría de actividad del administrador.

Tipo de permiso Métodos
ADMIN_READ GetCryptoKey
GetCryptoKeyVersion
GetEkmConfig
GetEkmConnection
GetIamPolicy
GetImportJob
GetKeyRing
ListCryptoKeyVersions
ListCryptoKeys
ListEkmConnections
ListImportJobs
ListKeyRings
VerifyConnectivity
google.cloud.kms.v1.Autokey.GetKeyHandleConfig
google.cloud.kms.cloudGetkey.Autokey.ListKeyHandleAdmin.google.cloudGetkey.List.Autokm.
ADMIN_WRITE CreateCryptoKey
CreateCryptoKeyVersion
CreateEkmConnection
CreateImportJob
CreateKeyRing
DestroyCryptoKeyVersion
GetOperation
ImportCryptoKeyVersion
RestoreCryptoKeyVersion
SetIamPolicy
UpdateCryptoKey
UpdateCryptoKeyPrimaryVersion
UpdateCryptoKeyVersion
UpdateEkmConfig
UpdateEkmConnection
google.cloud.kms.v1.Autokey.CreateKeyHandle
google.cloud.kms.v1.AutokeyAdmin.
DATA_READ Desencriptación asimétrica
AsymmetricSign
Desencriptar
Encriptar
GetPublicKey
MacSign
MacVerify
Desencriptar
RawEncrypt

Registros de auditoría por interfaz de API

Si quieres saber qué permisos se evalúan y cómo para cada método, consulta la documentación de Identity and Access Management de Cloud Key Management Service.

google.cloud.kms.v1.Autokey

Detalles sobre los registros de auditoría asociados con métodos que pertenecen a google.cloud.kms.v1.Autokey.

google.cloud.kms.v1.Autokey.CreateKeyHandle

  • Método: google.cloud.kms.v1.Autokey.CreateKeyHandle
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.keyHandles.create - ADMIN_WRITE
  • El método es una operación de larga duración o transmisión: una operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"

google.cloud.kms.v1.Autokey.GetKeyHandle

  • Método: google.cloud.kms.v1.Autokey.GetKeyHandle
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.keyHandles.get - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"

google.cloud.kms.v1.Autokey.ListKeyHandles

  • Método: google.cloud.kms.v1.Autokey.ListKeyHandles
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.keyHandles.list - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"

google.cloud.kms.v1.AutokeyAdmin

Detalles sobre los registros de auditoría asociados con métodos que pertenecen a google.cloud.kms.v1.AutokeyAdmin.

google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig

  • Método: google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.autokeyConfigs.get - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"

google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig

  • Método: google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"

google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig

  • Método: google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.autokeyConfigs.update - ADMIN_WRITE
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"

google.cloud.kms.v1.EkmService

Detalles sobre los registros de auditoría asociados con métodos que pertenecen a google.cloud.kms.v1.EkmService.

CreateEkmConnection

  • Método: CreateEkmConnection
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.ekmConnections.create - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="CreateEkmConnection"

GetEkmConfig

  • Método: GetEkmConfig
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.ekmConfigs.get - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="GetEkmConfig"

GetEkmConnection

  • Método: GetEkmConnection
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.ekmConnections.get - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="GetEkmConnection"

ListEkmConnections

  • Método: ListEkmConnections
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.ekmConnections.list - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="ListEkmConnections"

UpdateEkmConfig

  • Método: UpdateEkmConfig
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.ekmConfigs.update - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="UpdateEkmConfig"

UpdateEkmConnection

  • Método: UpdateEkmConnection
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.ekmConnections.update - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="UpdateEkmConnection"

VerifyConnectivity

  • Método: VerifyConnectivity
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="VerifyConnectivity"

google.cloud.kms.v1.KeyManagementService

Detalles sobre los registros de auditoría asociados con métodos que pertenecen a google.cloud.kms.v1.KeyManagementService.

AsymmetricDecrypt

  • Método: AsymmetricDecrypt
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="AsymmetricDecrypt"

AsymmetricSign

  • Método: AsymmetricSign
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="AsymmetricSign"

CreateCryptoKey

  • Método: CreateCryptoKey
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeys.create - ADMIN_WRITE
    • cloudkms.ekmConnections.use - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="CreateCryptoKey"

CreateCryptoKeyVersion

  • Método: CreateCryptoKeyVersion
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="CreateCryptoKeyVersion"

CreateImportJob

  • Método: CreateImportJob
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.importJobs.create - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="CreateImportJob"

CreateKeyRing

  • Método: CreateKeyRing
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.keyRings.create - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="CreateKeyRing"

Decrypt

  • Método: Decrypt
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
    • cloudkms.cryptoKeyVersions.useToDecryptViaDelegation - DATA_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="Decrypt"

DestroyCryptoKeyVersion

  • Método: DestroyCryptoKeyVersion
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="DestroyCryptoKeyVersion"

Encrypt

  • Método: Encrypt
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
    • cloudkms.cryptoKeyVersions.useToEncryptViaDelegation - DATA_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="Encrypt"

GetCryptoKey

  • Método: GetCryptoKey
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.cryptoKeys.get - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="GetCryptoKey"

GetCryptoKeyVersion

  • Método: GetCryptoKeyVersion
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.cryptoKeyVersions.get - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="GetCryptoKeyVersion"

GetImportJob

  • Método: GetImportJob
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.importJobs.get - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="GetImportJob"

GetKeyRing

  • Método: GetKeyRing
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.keyRings.get - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="GetKeyRing"

GetPublicKey

  • Método: GetPublicKey
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="GetPublicKey"

ImportCryptoKeyVersion

  • Método: ImportCryptoKeyVersion
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
    • cloudkms.importJobs.useToImport - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="ImportCryptoKeyVersion"

ListCryptoKeyVersions

  • Método: ListCryptoKeyVersions
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.cryptoKeyVersions.list - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="ListCryptoKeyVersions"

ListCryptoKeys

  • Método: ListCryptoKeys
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.cryptoKeys.list - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="ListCryptoKeys"

ListImportJobs

  • Método: ListImportJobs
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.importJobs.list - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="ListImportJobs"

ListKeyRings

  • Método: ListKeyRings
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.keyRings.list - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="ListKeyRings"

MacSign

  • Método: MacSign
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="MacSign"

MacVerify

  • Método: MacVerify
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="MacVerify"

RawDecrypt

  • Método: RawDecrypt
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="RawDecrypt"

RawEncrypt

  • Método: RawEncrypt
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="RawEncrypt"

RestoreCryptoKeyVersion

  • Método: RestoreCryptoKeyVersion
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="RestoreCryptoKeyVersion"

UpdateCryptoKey

  • Método: UpdateCryptoKey
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="UpdateCryptoKey"

UpdateCryptoKeyPrimaryVersion

  • Método: UpdateCryptoKeyPrimaryVersion
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"

UpdateCryptoKeyVersion

  • Método: UpdateCryptoKeyVersion
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="UpdateCryptoKeyVersion"

google.iam.v1.IAMPolicy

Detalles sobre los registros de auditoría asociados con métodos que pertenecen a google.iam.v1.IAMPolicy.

GetIamPolicy

  • Método: GetIamPolicy
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
    • cloudkms.ekmConfigs.getIamPolicy - ADMIN_READ
    • cloudkms.ekmConnections.getIamPolicy - ADMIN_READ
    • cloudkms.importJobs.getIamPolicy - ADMIN_READ
    • cloudkms.keyRings.getIamPolicy - ADMIN_READ
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="GetIamPolicy"

SetIamPolicy

  • Método: SetIamPolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
    • cloudkms.ekmConfigs.setIamPolicy - ADMIN_WRITE
    • cloudkms.ekmConnections.setIamPolicy - ADMIN_WRITE
    • cloudkms.importJobs.setIamPolicy - ADMIN_WRITE
    • cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="SetIamPolicy"

google.longrunning.Operations

Detalles sobre los registros de auditoría asociados con métodos que pertenecen a google.longrunning.Operations.

GetOperation

  • Método: GetOperation
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudkms.keyHandles.create - ADMIN_WRITE
  • El método es una operación o transmisión de larga duración: no.
  • Filtra para este método: protoPayload.methodName="GetOperation"

Métodos que no producen registros de auditoría

Por lo general, los métodos no producen registros de auditoría porque tienen un volumen alto y hacerlo sería muy costoso, porque el método tiene un valor de auditoría bajo o porque otro registro de auditoría o plataforma ya proporciona cobertura para lo que hace.

Los siguientes métodos no producen registros de auditoría:

  • google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
  • google.cloud.location.Locations.GetLocation
  • google.cloud.location.Locations.ListLocations