protoPayload
en las entradas de los registros de auditoría de acceso a los datos. Durante el período de migración, el protoPayload
dentro de las entradas de registro de auditoría de acceso a los datos seguirá siendo retrocompatible. Sin embargo, las aplicaciones de código nuevas o futuras deberán usar el
campos de reemplazo recomendado de la siguiente manera:
Campo de reemplazo recomendado | Campo obsoleto | Descripción |
---|---|---|
protoPayload.status.details |
protoPayload.metadata |
Detalle del error de EXTERNAL (es decir, Cloud EKM). |
protoPayload.metadata.entries.caller_provided_context |
protoPayload.request.caller_provided_context |
Contexto del emisor asociado con esta operación de Cloud KMS. |
En este documento, se describe el registro de auditoría de Cloud Key Management Service. Los servicios de Google Cloud generan registros de auditoría que registran las actividades administrativas y de acceso dentro de tus recursos de Google Cloud. Para obtener más información sobre los registros de auditoría de Cloud, consulta las siguientes páginas de documentación:
- Tipos de registros de auditoría
- Estructura de entradas de registro de auditoría
- Detalles sobre el almacenamiento y el enrutamiento de los registros de auditoría
- Resumen de precios de Cloud Logging
- Obtén más información para habilitar los registros de auditoría de acceso a los datos.
Nombre del servicio
Los registros de auditoría de Cloud Key Management Service usan el nombre de servicio cloudkms.googleapis.com
.
Filtra este servicio:
protoPayload.serviceName="cloudkms.googleapis.com"
Métodos por tipo de permiso
Cada permiso de IAM tiene una propiedad type
, cuyo valor es una enumeración que puede ser uno de cuatro valores: ADMIN_READ
, ADMIN_WRITE
, DATA_READ
o DATA_WRITE
. Cuando llamas a un método, Cloud Key Management Service genera un registro de auditoría cuya categoría depende de la propiedad type
del permiso necesario para realizar el método.
Los métodos que requieren un permiso de IAM con el valor de propiedad type
de DATA_READ
, DATA_WRITE
o ADMIN_READ
generan registros de auditoría de acceso a los datos.
Los métodos que requieren un permiso de IAM con el valor de propiedad type
de ADMIN_WRITE
generan registros de auditoría de actividad del administrador.
Tipo de permiso | Métodos |
---|---|
ADMIN_READ |
GetCryptoKey GetCryptoKeyVersion GetEkmConfig GetEkmConnection GetIamPolicy GetImportJob GetKeyRing ListCryptoKeyVersions ListCryptoKeys ListEkmConnections ListImportJobs ListKeyRings VerifyConnectivity google.cloud.kms.v1.Autokey.GetKeyHandle google.cloud.kms.v1.Autokey.ListKeyHandles google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig |
ADMIN_WRITE |
CreateCryptoKey CreateCryptoKeyVersion CreateEkmConnection CreateImportJob CreateKeyRing DestroyCryptoKeyVersion GetOperation ImportCryptoKeyVersion RestoreCryptoKeyVersion SetIamPolicy UpdateCryptoKey UpdateCryptoKeyPrimaryVersion UpdateCryptoKeyVersion UpdateEkmConfig UpdateEkmConnection google.cloud.kms.v1.Autokey.CreateKeyHandle google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig |
DATA_READ |
AsymmetricDecrypt AsymmetricSign Decrypt Encrypt GetPublicKey MacSign MacVerify RawDecrypt RawEncrypt |
Registros de auditoría de la interfaz de la API
Para obtener información sobre cómo y qué permisos se evalúan para cada método, consulta la documentación de Identity and Access Management de Cloud Key Management Service.
google.cloud.kms.v1.Autokey
En la siguiente sección, se brindan detalles sobre los registros de auditoría asociados con
métodos que pertenecen a google.cloud.kms.v1.Autokey
.
CreateKeyHandle
- Método:
google.cloud.kms.v1.Autokey.CreateKeyHandle
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.keyHandles.create - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
operación de larga duración
- Filtra para este método:
protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"
GetKeyHandle
- Método:
google.cloud.kms.v1.Autokey.GetKeyHandle
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.keyHandles.get - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"
ListKeyHandles
- Método:
google.cloud.kms.v1.Autokey.ListKeyHandles
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.keyHandles.list - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"
google.cloud.kms.v1.AutokeyAdmin
En la siguiente sección, se brindan detalles sobre los registros de auditoría asociados con
métodos que pertenecen a google.cloud.kms.v1.AutokeyAdmin
.
GetAutokeyConfig
- Método:
google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.autokeyConfigs.get - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"
ShowEffectiveAutokeyConfig
- Método:
google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"
UpdateAutokeyConfig
- Método:
google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.autokeyConfigs.update - ADMIN_WRITE
cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"
google.cloud.kms.v1.EkmService
En la siguiente sección, se brindan detalles sobre los registros de auditoría asociados con
métodos que pertenecen a google.cloud.kms.v1.EkmService
.
CreateEkmConnection
- Método:
CreateEkmConnection
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.ekmConnections.create - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="CreateEkmConnection"
GetEkmConfig
- Método:
GetEkmConfig
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.ekmConfigs.get - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="GetEkmConfig"
GetEkmConnection
- Método:
GetEkmConnection
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.ekmConnections.get - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="GetEkmConnection"
ListEkmConnections
- Método:
ListEkmConnections
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.ekmConnections.list - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="ListEkmConnections"
UpdateEkmConfig
- Método:
UpdateEkmConfig
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.ekmConfigs.update - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="UpdateEkmConfig"
UpdateEkmConnection
- Método:
UpdateEkmConnection
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.ekmConnections.update - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="UpdateEkmConnection"
VerifyConnectivity
- Método:
VerifyConnectivity
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="VerifyConnectivity"
google.cloud.kms.v1.KeyManagementService
En la siguiente sección, se brindan detalles sobre los registros de auditoría asociados con
métodos que pertenecen a google.cloud.kms.v1.KeyManagementService
.
AsymmetricDecrypt
- Método:
AsymmetricDecrypt
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="AsymmetricDecrypt"
AsymmetricSign
- Método:
AsymmetricSign
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToSign - DATA_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="AsymmetricSign"
CreateCryptoKey
- Método:
CreateCryptoKey
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeys.create - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="CreateCryptoKey"
CreateCryptoKeyVersion
- Método:
CreateCryptoKeyVersion
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="CreateCryptoKeyVersion"
CreateImportJob
- Método:
CreateImportJob
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.importJobs.create - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="CreateImportJob"
CreateKeyRing
- Método:
CreateKeyRing
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.keyRings.create - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="CreateKeyRing"
Decrypt
- Método:
Decrypt
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="Decrypt"
DestroyCryptoKeyVersion
- Método:
DestroyCryptoKeyVersion
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="DestroyCryptoKeyVersion"
Encrypt
- Método:
Encrypt
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="Encrypt"
GetCryptoKey
- Método:
GetCryptoKey
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeys.get - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="GetCryptoKey"
GetCryptoKeyVersion
- Método:
GetCryptoKeyVersion
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.get - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="GetCryptoKeyVersion"
GetImportJob
- Método:
GetImportJob
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.importJobs.get - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="GetImportJob"
GetKeyRing
- Método:
GetKeyRing
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.keyRings.get - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="GetKeyRing"
GetPublicKey
- Método:
GetPublicKey
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="GetPublicKey"
ImportCryptoKeyVersion
- Método:
ImportCryptoKeyVersion
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
cloudkms.importJobs.useToImport - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="ImportCryptoKeyVersion"
ListCryptoKeyVersions
- Método:
ListCryptoKeyVersions
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.list - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="ListCryptoKeyVersions"
ListCryptoKeys
- Método:
ListCryptoKeys
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeys.list - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="ListCryptoKeys"
ListImportJobs
- Método:
ListImportJobs
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.importJobs.list - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="ListImportJobs"
ListKeyRings
- Método:
ListKeyRings
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.keyRings.list - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="ListKeyRings"
MacSign
- Método:
MacSign
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToSign - DATA_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="MacSign"
MacVerify
- Método:
MacVerify
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="MacVerify"
RawDecrypt
- Método:
RawDecrypt
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="RawDecrypt"
RawEncrypt
- Método:
RawEncrypt
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="RawEncrypt"
RestoreCryptoKeyVersion
- Método:
RestoreCryptoKeyVersion
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="RestoreCryptoKeyVersion"
UpdateCryptoKey
- Método:
UpdateCryptoKey
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeys.update - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="UpdateCryptoKey"
UpdateCryptoKeyPrimaryVersion
- Método:
UpdateCryptoKeyPrimaryVersion
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeys.update - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"
UpdateCryptoKeyVersion
- Método:
UpdateCryptoKeyVersion
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="UpdateCryptoKeyVersion"
google.iam.v1.IAMPolicy
En la siguiente sección, se brindan detalles sobre los registros de auditoría asociados con
métodos que pertenecen a google.iam.v1.IAMPolicy
.
GetIamPolicy
- Método:
GetIamPolicy
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
cloudkms.keyRings.getIamPolicy - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="GetIamPolicy"
SetIamPolicy
- Método:
SetIamPolicy
- Tipo de registro de auditoría: actividad del administrador
- Permisos:
cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="SetIamPolicy"
google.longrunning.Operations
En la siguiente sección, se brindan detalles sobre los registros de auditoría asociados con
métodos que pertenecen a google.longrunning.Operations
.
GetOperation
- Método:
GetOperation
- Tipo de registro de auditoría: acceso a los datos
- Permisos:
cloudkms.keyHandles.create - ADMIN_WRITE
cloudkms.operations.get - ADMIN_READ
- El método es una operación de larga duración o de transmisión:
no.
- Filtra para este método:
protoPayload.methodName="GetOperation"
Métodos que no producen registros de auditoría
Es posible que un método no produzca registros de auditoría por uno o más de los siguientes motivos:
- Es un método de gran volumen que implica costos significativos de generación y almacenamiento de registros.
- Tiene un valor de auditoría bajo.
- Otro registro de auditoría o de plataforma ya proporciona cobertura del método.
Los siguientes métodos no producen registros de auditoría:
google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
google.cloud.location.Locations.GetLocation
google.cloud.location.Locations.ListLocations