protoPayload
in seinen Audit-Logeinträgen zum Datenzugriff. Während des Migrationszeitraums bleibt der protoPayload
in den Audit-Logeinträgen zum Datenzugriff abwärtskompatibel. Neue oder zukünftige Codeanwendungen sollten jedoch die empfohlenen Ersatzfelder so verwenden:
Empfohlenes Ersatzfeld | Eingestelltes Feld | Beschreibung |
---|---|---|
protoPayload.status.details |
protoPayload.metadata |
Fehlerdetails für EXTERNAL (d.h. Cloud EKM) ausgeführt werden. |
protoPayload.metadata.entries.caller_provided_context |
protoPayload.request.caller_provided_context |
Kontext vom Aufrufer, der mit diesem Cloud KMS-Vorgang verknüpft ist. |
In diesem Dokument wird das Audit-Logging für den Cloud Key Management Service beschrieben. Google Cloud-Dienste schreiben Audit-Logs, in denen administrative Aktivitäten und Zugriffe in Ihren Google Cloud-Ressourcen aufgezeichnet werden. Weitere Informationen finden Sie unter Cloud-Audit-Logs – Übersicht.
Dienstname
Für Audit-Logs von Cloud Key Management Service wird der Dienstname cloudkms.googleapis.com
verwendet.
Methoden nach Berechtigungstyp
Methoden, die die Berechtigungstypen DATA_READ
, DATA_WRITE
und ADMIN_READ
, sind Audit-Logs für den Datenzugriff.
Methoden, die Berechtigungstypen vom Typ ADMIN_WRITE
prüfen, sind Audit-Logs zu Administratoraktivitäten.
Berechtigungstyp | Methoden |
---|---|
ADMIN_READ | GetCryptoKey GetCryptoKey GetEkmConfig GetEkmConnection GetIamPolicy GetImportJob GetSchlüsselbund ListCryptoKeys ListCryptoKeys ListEkmConnections ListImportJobs ListCryptoKeys VerifyConnectivity google.cloud.kms.v1.Autokey.GetKeyHandle google.cloud.kms.v1.Autokey.ListKeyConfigs google.cloud.kms.v1.Autokey.ListKeyConfigs google.cloud.kms.google.v1.v1.v1.Autokey.ListKeyConfigs.v1 |
ADMIN_WRITE | CreateCryptoKey CreateCryptoKey CreateEkmConnection CreateImportJob CreateCryptoKey DestroyCryptoKey GetOperation ImportCryptoKey RestoreCryptoKey SetIamPolicy UpdateCryptoKey UpdateCryptoKeyPrimaryVersion UpdateCryptoKey UpdateEkmConfig UpdateEkmConnection google.cloud.kms.v1.Autokey.CreateKeyHandle google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig |
DATA_READ | AsymmetricDecrypt AsymmetricSign Entschlüsseln Verschlüsseln GetPublicKey MacSign MacVerify RawDecrypt RawEncrypt |
Audit-Logs pro API-Schnittstelle
Informationen dazu, welche Berechtigungen wie für jede Methode evaluiert werden, finden Sie in der Dokumentation zu Identity and Access Management für Cloud Key Management Service.
google.cloud.kms.v1.Autokey
Details zu Audit-Logs für Methoden, die zu google.cloud.kms.v1.Autokey
gehören.
google.cloud.kms.v1.Autokey.CreateKeyHandle
- Methode : google.cloud.kms.v1.Autokey.CreateKeyHandle
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.keyHandles.create - ADMIN_WRITE
- Die Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit:
Lang andauernder Vorgang
- Filter für diese Methode:
protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"
google.cloud.kms.v1.Autokey.GetKeyHandle
- Methode : google.cloud.kms.v1.Autokey.GetKeyHandle
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.keyHandles.get - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"
google.cloud.kms.v1.Autokey.ListKeyHandles
- Methode : google.cloud.kms.v1.Autokey.ListKeyHandles
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.keyHandles.list - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"
google.cloud.kms.v1.AutokeyAdmin
Details zu Audit-Logs für Methoden, die zu google.cloud.kms.v1.AutokeyAdmin
gehören.
google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
- Methode : google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.autokeyConfigs.get - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"
google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
- Methode : google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"
google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
- Methode : google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.autokeyConfigs.update - ADMIN_WRITE
cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"
google.cloud.kms.v1.EkmService
Details zu Audit-Logs für Methoden, die zu google.cloud.kms.v1.EkmService
gehören.
CreateEkmConnection
- Methode : CreateEkmConnection
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.ekmConnections.create - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="CreateEkmConnection"
GetEkmConfig
- Methode : GetEkmConfig
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.ekmConfigs.get - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="GetEkmConfig"
GetEkmConnection
- Methode : GetEkmConnection
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.ekmConnections.get - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="GetEkmConnection"
ListEkmConnections
- Methode : ListEkmConnections
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.ekmConnections.list - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="ListEkmConnections"
UpdateEkmConfig
- Methode : UpdateEkmConfig
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.ekmConfigs.update - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="UpdateEkmConfig"
UpdateEkmConnection
- Methode : UpdateEkmConnection
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.ekmConnections.update - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="UpdateEkmConnection"
VerifyConnectivity
- Methode : VerifyConnectivity
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="VerifyConnectivity"
google.cloud.kms.v1.KeyManagementService
Details zu Audit-Logs für Methoden, die zu google.cloud.kms.v1.KeyManagementService
gehören.
AsymmetricDecrypt
- Methode : AsymmetricDecrypt
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="AsymmetricDecrypt"
AsymmetricSign
- Methode : AsymmetricSign
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.cryptoKeyVersions.useToSign - DATA_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="AsymmetricSign"
CreateCryptoKey
- Methode : CreateCryptoKey
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
cloudkms.cryptoKeys.create - ADMIN_WRITE
cloudkms.ekmConnections.use - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="CreateCryptoKey"
CreateCryptoKeyVersion
- Methode: CreateCryptoKey
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="CreateCryptoKeyVersion"
CreateImportJob
- Methode : CreateImportJob
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.importJobs.create - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="CreateImportJob"
CreateKeyRing
- Methode : CreateSchlüsselbund
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.keyRings.create - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="CreateKeyRing"
Decrypt
- Methode : Entschlüsseln
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
cloudkms.cryptoKeyVersions.useToDecryptViaDelegation - DATA_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="Decrypt"
DestroyCryptoKeyVersion
- Methode : DesstroyCryptoKey
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="DestroyCryptoKeyVersion"
Verschlüsseln
- Methode: Encrypt
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
cloudkms.cryptoKeyVersions.useToEncryptViaDelegation - DATA_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="Encrypt"
GetCryptoKey
- Methode : GetCryptoKey
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.cryptoKeys.get - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="GetCryptoKey"
GetCryptoKeyVersion
- Methode: GetCryptoKey
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.cryptoKeyVersions.get - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="GetCryptoKeyVersion"
GetImportJob
- Methode : GetImportJob
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.importJobs.get - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="GetImportJob"
GetKeyRing
- Methode: GetSchlüsselbund
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.keyRings.get - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="GetKeyRing"
GetPublicKey
- Methode : GetPublicKey
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="GetPublicKey"
ImportCryptoKeyVersion
- Methode: ImportCryptoKey
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
cloudkms.importJobs.useToImport - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="ImportCryptoKeyVersion"
ListCryptoKeyVersions
- Methode : ListCryptoKeys
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.cryptoKeyVersions.list - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="ListCryptoKeyVersions"
ListCryptoKeys
- Methode : ListCryptoKeys
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.cryptoKeys.list - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="ListCryptoKeys"
ListImportJobs
- Methode : ListImportJobs
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.importJobs.list - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="ListImportJobs"
ListKeyRings
- Methode : ListCryptoKeys
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.keyRings.list - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="ListKeyRings"
MacSign
- Methode : MacSign
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.cryptoKeyVersions.useToSign - DATA_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="MacSign"
MacVerify
- Methode: MacVerify
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="MacVerify"
RawDecrypt
- Methode : RawDecrypt
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="RawDecrypt"
RawEncrypt
- Methode : RawEncrypt
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="RawEncrypt"
RestoreCryptoKeyVersion
- Methode: RestoreCryptoKey
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="RestoreCryptoKeyVersion"
UpdateCryptoKey
- Methode : UpdateCryptoKey
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
cloudkms.cryptoKeys.update - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="UpdateCryptoKey"
UpdateCryptoKeyPrimaryVersion
- Methode : UpdateCryptoKeyPrimaryVersion
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.cryptoKeys.update - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"
UpdateCryptoKeyVersion
- Methode: UpdateCryptoKey
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="UpdateCryptoKeyVersion"
google.iam.v1.IAMPolicy
Details zu Audit-Logs für Methoden, die zu google.iam.v1.IAMPolicy
gehören.
GetIamPolicy
- Methode: GetIamPolicy
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
cloudkms.ekmConfigs.getIamPolicy - ADMIN_READ
cloudkms.ekmConnections.getIamPolicy - ADMIN_READ
cloudkms.importJobs.getIamPolicy - ADMIN_READ
cloudkms.keyRings.getIamPolicy - ADMIN_READ
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="GetIamPolicy"
SetIamPolicy
- Methode: SetIamPolicy
- Audit-Logtyp: Administratoraktivität
- Berechtigungen:
cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
cloudkms.ekmConfigs.setIamPolicy - ADMIN_WRITE
cloudkms.ekmConnections.setIamPolicy - ADMIN_WRITE
cloudkms.importJobs.setIamPolicy - ADMIN_WRITE
cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="SetIamPolicy"
google.longrunning.Operations
Details zu Audit-Logs für Methoden, die zu google.longrunning.Operations
gehören.
GetOperation
- Methode : GetOperation
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
cloudkms.keyHandles.create - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
- Filter für diese Methode:
protoPayload.methodName="GetOperation"
Methoden, die keine Audit-Logs generieren
Im Allgemeinen erzeugen Methoden keine Audit-Logs, da sie ein hohes Volumen haben und dies sehr teuer wäre, da die Methode einen niedrigen Prüfwert hat oder weil ein anderes Audit- oder Plattformlog bereits Abdeckung für das bietet, was die Methode tut.
Die folgenden Methoden generieren keine Audit-Logs:
google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
google.cloud.location.Locations.GetLocation
google.cloud.location.Locations.ListLocations