Registo de auditoria do Cloud Key Management Service

O Cloud Key Management Service está a atualizar o formato do campo protoPayload nas respetivas entradas do registo de auditoria de acesso a dados. Durante o período de migração, o elemento protoPayload nas entradas do registo de auditoria de acesso aos dados vai permanecer retrocompatível. No entanto, as aplicações de código novas ou futuras devem usar os campos de substituição recomendados da seguinte forma:

Campo de substituição recomendado Campo descontinuado Descrição
protoPayload.status.details protoPayload.metadata Detalhes do erro para EXTERNAL (ou seja, Operações de chaves do Cloud EKM).
protoPayload.metadata.entries.caller_provided_context protoPayload.request.caller_provided_context Contexto do autor da chamada associado a esta operação do Cloud KMS.


Este documento descreve o registo de auditoria para o Serviço de gestão de chaves na nuvem.Os serviços Google Cloud geram registos de auditoria que registam as atividades administrativas e de acesso nos seus Google Cloud recursos. Para mais informações sobre os registos de auditoria do Cloud, consulte o seguinte:

Nome do serviço

Os registos de auditoria do Cloud Key Management Service usam o nome do serviço cloudkms.googleapis.com. Filtrar por este serviço: 

    protoPayload.serviceName="cloudkms.googleapis.com"

Métodos por tipo de autorização

Cada autorização de IAM tem uma propriedade type, cujo valor é uma enumeração que pode ter um de quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando chama um método, o Cloud Key Management Service gera um registo de auditoria cuja categoria depende da propriedade type da autorização necessária para executar o método. Os métodos que requerem uma autorização da IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registos de auditoria de acesso aos dados. Os métodos que requerem uma autorização do IAM com o valor da propriedade type de ADMIN_WRITE generate Admin Activity registam auditorias.

Tipo de autorização Métodos
ADMIN_READ google.cloud.kms.v1.Autokey.GetKeyHandle
google.cloud.kms.v1.Autokey.ListKeyHandles
google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
GetEkmConfig
GetEkmConnection
ListEkmConnections
VerifyConnectivity
GetCryptoKey
GetCryptoKeyVersion
GetImportJob
GetKeyRing
ListCryptoKeyVersions
ListCryptoKeys
ListImportJobs
ListKeyRings
GetIamPolicy
GetOperation
ADMIN_WRITE google.cloud.kms.v1.Autokey.CreateKeyHandle
google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
CreateEkmConnection
UpdateEkmConfig
UpdateEkmConnection
CreateCryptoKey
CreateCryptoKeyVersion
CreateImportJob
CreateKeyRing
DestroyCryptoKeyVersion
ImportCryptoKeyVersion
RestoreCryptoKeyVersion
UpdateCryptoKey
UpdateCryptoKeyPrimaryVersion
UpdateCryptoKeyVersion
SetIamPolicy
DATA_READ AsymmetricDecrypt
AsymmetricSign
Decrypt
Encrypt
GetPublicKey
MacSign
MacVerify
RawDecrypt
RawEncrypt

Registos de auditoria da interface da API

Para obter informações sobre como e que autorizações são avaliadas para cada método, consulte a documentação da gestão de identidade e de acesso para o Serviço de gestão de chaves na nuvem.

google.cloud.kms.v1.Autokey

Os seguintes registos de auditoria estão associados a métodos pertencentes a google.cloud.kms.v1.Autokey.

CreateKeyHandle

  • Método: google.cloud.kms.v1.Autokey.CreateKeyHandle
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.keyHandles.create - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Operação de longa duração
  • Filtre por este método: protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"

GetKeyHandle

  • Método: google.cloud.kms.v1.Autokey.GetKeyHandle
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.keyHandles.get - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"

ListKeyHandles

  • Método: google.cloud.kms.v1.Autokey.ListKeyHandles
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.keyHandles.list - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"

google.cloud.kms.v1.AutokeyAdmin

Os seguintes registos de auditoria estão associados a métodos pertencentes a google.cloud.kms.v1.AutokeyAdmin.

GetAutokeyConfig

  • Método: google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.autokeyConfigs.get - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"

ShowEffectiveAutokeyConfig

  • Método: google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"

UpdateAutokeyConfig

  • Método: google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.autokeyConfigs.update - ADMIN_WRITE
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"

google.cloud.kms.v1.EkmService

Os seguintes registos de auditoria estão associados a métodos pertencentes a google.cloud.kms.v1.EkmService.

CreateEkmConnection

  • Método: CreateEkmConnection
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.ekmConnections.create - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="CreateEkmConnection"

GetEkmConfig

  • Método: GetEkmConfig
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.ekmConfigs.get - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="GetEkmConfig"

GetEkmConnection

  • Método: GetEkmConnection
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.ekmConnections.get - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="GetEkmConnection"

ListEkmConnections

  • Método: ListEkmConnections
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.ekmConnections.list - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="ListEkmConnections"

UpdateEkmConfig

  • Método: UpdateEkmConfig
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.ekmConfigs.update - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="UpdateEkmConfig"

UpdateEkmConnection

  • Método: UpdateEkmConnection
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.ekmConnections.update - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="UpdateEkmConnection"

VerifyConnectivity

  • Método: VerifyConnectivity
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="VerifyConnectivity"

google.cloud.kms.v1.KeyManagementService

Os seguintes registos de auditoria estão associados a métodos pertencentes a google.cloud.kms.v1.KeyManagementService.

AsymmetricDecrypt

  • Método: AsymmetricDecrypt
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="AsymmetricDecrypt"

AsymmetricSign

  • Método: AsymmetricSign
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="AsymmetricSign"

CreateCryptoKey

  • Método: CreateCryptoKey
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.cryptoKeys.create - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="CreateCryptoKey"

CreateCryptoKeyVersion

  • Método: CreateCryptoKeyVersion
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="CreateCryptoKeyVersion"

CreateImportJob

  • Método: CreateImportJob
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.importJobs.create - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="CreateImportJob"

CreateKeyRing

  • Método: CreateKeyRing
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.keyRings.create - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="CreateKeyRing"

Decrypt

  • Método: Decrypt
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="Decrypt"

DestroyCryptoKeyVersion

  • Método: DestroyCryptoKeyVersion
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="DestroyCryptoKeyVersion"

Encrypt

  • Método: Encrypt
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="Encrypt"

GetCryptoKey

  • Método: GetCryptoKey
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.cryptoKeys.get - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="GetCryptoKey"

GetCryptoKeyVersion

  • Método: GetCryptoKeyVersion
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.cryptoKeyVersions.get - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="GetCryptoKeyVersion"

GetImportJob

  • Método: GetImportJob
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.importJobs.get - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="GetImportJob"

GetKeyRing

  • Método: GetKeyRing
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.keyRings.get - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="GetKeyRing"

GetPublicKey

  • Método: GetPublicKey
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="GetPublicKey"

ImportCryptoKeyVersion

  • Método: ImportCryptoKeyVersion
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
    • cloudkms.importJobs.useToImport - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="ImportCryptoKeyVersion"

ListCryptoKeyVersions

  • Método: ListCryptoKeyVersions
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.cryptoKeyVersions.list - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="ListCryptoKeyVersions"

ListCryptoKeys

  • Método: ListCryptoKeys
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.cryptoKeys.list - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="ListCryptoKeys"

ListImportJobs

  • Método: ListImportJobs
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.importJobs.list - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="ListImportJobs"

ListKeyRings

  • Método: ListKeyRings
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.keyRings.list - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="ListKeyRings"

MacSign

  • Método: MacSign
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="MacSign"

MacVerify

  • Método: MacVerify
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="MacVerify"

RawDecrypt

  • Método: RawDecrypt
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="RawDecrypt"

RawEncrypt

  • Método: RawEncrypt
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="RawEncrypt"

RestoreCryptoKeyVersion

  • Método: RestoreCryptoKeyVersion
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="RestoreCryptoKeyVersion"

UpdateCryptoKey

  • Método: UpdateCryptoKey
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="UpdateCryptoKey"

UpdateCryptoKeyPrimaryVersion

  • Método: UpdateCryptoKeyPrimaryVersion
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"

UpdateCryptoKeyVersion

  • Método: UpdateCryptoKeyVersion
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="UpdateCryptoKeyVersion"

google.iam.v1.IAMPolicy

Os seguintes registos de auditoria estão associados a métodos pertencentes a google.iam.v1.IAMPolicy.

GetIamPolicy

  • Método: GetIamPolicy
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
    • cloudkms.keyRings.getIamPolicy - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="GetIamPolicy"

SetIamPolicy

  • Método: SetIamPolicy
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
    • cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="SetIamPolicy"

google.longrunning.Operations

Os seguintes registos de auditoria estão associados a métodos pertencentes a google.longrunning.Operations.

GetOperation

  • Método: GetOperation
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • cloudkms.operations.get - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="GetOperation"

Métodos que não produzem registos de auditoria

Um método pode não produzir registos de auditoria por um ou mais dos seguintes motivos:

  • É um método de volume elevado que envolve custos significativos de geração e armazenamento de registos.
  • Tem um valor de auditoria baixo.
  • Outra auditoria ou registo da plataforma já fornece cobertura do método.

Os seguintes métodos não produzem registos de auditoria:

  • google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
  • google.cloud.location.Locations.GetLocation
  • google.cloud.location.Locations.ListLocations