protoPayload 필드 형식을 업데이트합니다. 마이그레이션 기간 동안 데이터 액세스 감사 로그 항목 내 protoPayload는 이전 버전과 호환됩니다. 하지만 신규 또는 이후 코드 애플리케이션에는 다음과 같은 권장되는 대체 필드가 사용됩니다.
| 권장 대체 필드 | 지원 중단된 필드 | 설명 |
|---|---|---|
protoPayload.status.details |
protoPayload.metadata |
EXTERNAL(즉, Cloud EKM) 키 작업의 오류 세부정보 |
protoPayload.metadata.entries.caller_provided_context |
protoPayload.request.caller_provided_context |
이 Cloud KMS 작업과 연결된 호출자의 컨텍스트입니다. |
이 문서에서는 Cloud Key Management Service의 감사 로깅을 설명합니다. Google Cloud 서비스는 Google Cloud 리소스 내의 관리 및 액세스 활동을 기록하는 감사 로그를 생성합니다. Cloud 감사 로그에 대한 자세한 내용은 다음을 참조하세요.
서비스 이름
Cloud Key Management Service 감사 로그는 cloudkms.googleapis.com 서비스 이름을 사용합니다.
이 서비스에 대한 필터:
protoPayload.serviceName="cloudkms.googleapis.com"
권한 유형별 메서드
각 IAM 권한에는 type 속성이 포함되며 그 값은 네 가지 값(ADMIN_READ, ADMIN_WRITE, DATA_READ, DATA_WRITE) 중 하나일 수 있는 열거형입니다. 메서드를 호출하면 Cloud Key Management Service에서 감사 로그를 생성합니다. 이 로그에서 카테고리는 메서드를 수행하는 데 필요한 권한의 type 속성에 종속됩니다.
DATA_READ, DATA_WRITE, ADMIN_READ의 type 속성 값을 가진 IAM 권한이 필요한 메서드는 데이터 액세스 감사 로그를 생성합니다.
type 속성 값이 ADMIN_WRITE인 IAM 권한이 필요한 메서드는 관리자 활동 감사 로그를 생성합니다.
| 권한 유형 | 메서드 |
|---|---|
ADMIN_READ |
google.cloud.kms.v1.Autokey.GetKeyHandlegoogle.cloud.kms.v1.Autokey.ListKeyHandlesgoogle.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfiggoogle.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfigGetEkmConfigGetEkmConnectionListEkmConnectionsVerifyConnectivityGetCryptoKeyGetCryptoKeyVersionGetImportJobGetKeyRingListCryptoKeyVersionsListCryptoKeysListImportJobsListKeyRingsGetIamPolicyGetOperation |
ADMIN_WRITE |
google.cloud.kms.v1.Autokey.CreateKeyHandle (LRO)google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfigCreateEkmConnectionUpdateEkmConfigUpdateEkmConnectionCreateCryptoKeyCreateCryptoKeyVersionCreateImportJobCreateKeyRingDestroyCryptoKeyVersionImportCryptoKeyVersionRestoreCryptoKeyVersionUpdateCryptoKeyUpdateCryptoKeyPrimaryVersionUpdateCryptoKeyVersionSetIamPolicy |
DATA_READ |
AsymmetricDecryptAsymmetricSignDecryptEncryptGetPublicKeyMacSignMacVerifyRawDecryptRawEncrypt |
API 인터페이스 감사 로그
각 메서드의 권한과 평가 방법에 대한 자세한 내용은 Cloud Key Management Service의 Identity and Access Management 문서를 참조하세요.
google.cloud.kms.v1.Autokey
다음 감사 로그는 google.cloud.kms.v1.Autokey에 속하는 메서드와 연결되어 있습니다.
CreateKeyHandle
- 메서드:
google.cloud.kms.v1.Autokey.CreateKeyHandle - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.keyHandles.create - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부:
장기 실행 작업
- 이 메서드에 대한 필터::
protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"
GetKeyHandle
- 메서드:
google.cloud.kms.v1.Autokey.GetKeyHandle - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.keyHandles.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"
ListKeyHandles
- 메서드:
google.cloud.kms.v1.Autokey.ListKeyHandles - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.keyHandles.list - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"
google.cloud.kms.v1.AutokeyAdmin
다음 감사 로그는 google.cloud.kms.v1.AutokeyAdmin에 속하는 메서드와 연결되어 있습니다.
GetAutokeyConfig
- 메서드:
google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.autokeyConfigs.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"
ShowEffectiveAutokeyConfig
- 메서드:
google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"
UpdateAutokeyConfig
- 메서드:
google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.autokeyConfigs.update - ADMIN_WRITEcloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"
google.cloud.kms.v1.EkmService
다음 감사 로그는 google.cloud.kms.v1.EkmService에 속하는 메서드와 연결되어 있습니다.
CreateEkmConnection
- 메서드:
CreateEkmConnection - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.ekmConnections.create - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="CreateEkmConnection"
GetEkmConfig
- 메서드:
GetEkmConfig - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.ekmConfigs.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetEkmConfig"
GetEkmConnection
- 메서드:
GetEkmConnection - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.ekmConnections.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetEkmConnection"
ListEkmConnections
- 메서드:
ListEkmConnections - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.ekmConnections.list - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="ListEkmConnections"
UpdateEkmConfig
- 메서드:
UpdateEkmConfig - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.ekmConfigs.update - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="UpdateEkmConfig"
UpdateEkmConnection
- 메서드:
UpdateEkmConnection - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.ekmConnections.update - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="UpdateEkmConnection"
VerifyConnectivity
- 메서드:
VerifyConnectivity - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="VerifyConnectivity"
google.cloud.kms.v1.KeyManagementService
다음 감사 로그는 google.cloud.kms.v1.KeyManagementService에 속하는 메서드와 연결되어 있습니다.
AsymmetricDecrypt
- 메서드:
AsymmetricDecrypt - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="AsymmetricDecrypt"
AsymmetricSign
- 메서드:
AsymmetricSign - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToSign - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="AsymmetricSign"
CreateCryptoKey
- 메서드:
CreateCryptoKey - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeys.create - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="CreateCryptoKey"
CreateCryptoKeyVersion
- 메서드:
CreateCryptoKeyVersion - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="CreateCryptoKeyVersion"
CreateImportJob
- 메서드:
CreateImportJob - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.importJobs.create - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="CreateImportJob"
CreateKeyRing
- 메서드:
CreateKeyRing - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.keyRings.create - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="CreateKeyRing"
Decrypt
- 메서드:
Decrypt - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="Decrypt"
DestroyCryptoKeyVersion
- 메서드:
DestroyCryptoKeyVersion - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="DestroyCryptoKeyVersion"
Encrypt
- 메서드:
Encrypt - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="Encrypt"
GetCryptoKey
- 메서드:
GetCryptoKey - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeys.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetCryptoKey"
GetCryptoKeyVersion
- 메서드:
GetCryptoKeyVersion - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetCryptoKeyVersion"
GetImportJob
- 메서드:
GetImportJob - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.importJobs.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetImportJob"
GetKeyRing
- 메서드:
GetKeyRing - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.keyRings.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetKeyRing"
GetPublicKey
- 메서드:
GetPublicKey - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetPublicKey"
ImportCryptoKeyVersion
- 메서드:
ImportCryptoKeyVersion - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeyVersions.create - ADMIN_WRITEcloudkms.cryptoKeyVersions.update - ADMIN_WRITEcloudkms.importJobs.useToImport - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="ImportCryptoKeyVersion"
ListCryptoKeyVersions
- 메서드:
ListCryptoKeyVersions - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.list - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="ListCryptoKeyVersions"
ListCryptoKeys
- 메서드:
ListCryptoKeys - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeys.list - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="ListCryptoKeys"
ListImportJobs
- 메서드:
ListImportJobs - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.importJobs.list - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="ListImportJobs"
ListKeyRings
- 메서드:
ListKeyRings - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.keyRings.list - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="ListKeyRings"
MacSign
- 메서드:
MacSign - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToSign - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="MacSign"
MacVerify
- 메서드:
MacVerify - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="MacVerify"
RawDecrypt
- 메서드:
RawDecrypt - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="RawDecrypt"
RawEncrypt
- 메서드:
RawEncrypt - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="RawEncrypt"
RestoreCryptoKeyVersion
- 메서드:
RestoreCryptoKeyVersion - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="RestoreCryptoKeyVersion"
UpdateCryptoKey
- 메서드:
UpdateCryptoKey - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeys.update - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="UpdateCryptoKey"
UpdateCryptoKeyPrimaryVersion
- 메서드:
UpdateCryptoKeyPrimaryVersion - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeys.update - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"
UpdateCryptoKeyVersion
- 메서드:
UpdateCryptoKeyVersion - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="UpdateCryptoKeyVersion"
google.iam.v1.IAMPolicy
다음 감사 로그는 google.iam.v1.IAMPolicy에 속하는 메서드와 연결되어 있습니다.
GetIamPolicy
- 메서드:
GetIamPolicy - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.cryptoKeys.getIamPolicy - ADMIN_READcloudkms.keyRings.getIamPolicy - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetIamPolicy"
SetIamPolicy
- 메서드:
SetIamPolicy - 감사 로그 유형: 관리자 활동
- 권한:
cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITEcloudkms.keyRings.setIamPolicy - ADMIN_WRITE
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="SetIamPolicy"
google.longrunning.Operations
다음 감사 로그는 google.longrunning.Operations에 속하는 메서드와 연결되어 있습니다.
GetOperation
- 메서드:
GetOperation - 감사 로그 유형: 데이터 액세스
- 권한:
cloudkms.operations.get - ADMIN_READ
- 메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
- 이 메서드에 대한 필터::
protoPayload.methodName="GetOperation"
감사 로그를 생성하지 않는 메서드
메서드는 다음 중 하나 이상의 이유로 인해 감사 로그를 생성하지 않을 수 있습니다.
- 상당한 로그 생성 및 스토리지 비용이 포함된 대용량 메서드입니다.
- 감사 값이 낮습니다.
- 또 다른 감사 또는 플랫폼 로그에서 이미 메서드 범위를 제공합니다.
다음 메서드는 감사 로그를 생성하지 않습니다.
google.cloud.kms.v1.KeyManagementService.GenerateRandomBytesgoogle.cloud.location.Locations.GetLocationgoogle.cloud.location.Locations.ListLocations