protoPayload
nas entradas de registro de auditoria de acesso a dados. Durante o período de migração,
protoPayload
nas entradas de registro de auditoria de acesso a dados permanecerão
são compatíveis com versões anteriores. No entanto, aplicativos de código novos ou futuros devem usar a
campos de substituição recomendados da seguinte forma:
Campo de substituição recomendada | Campo descontinuado | Descrição |
---|---|---|
protoPayload.status.details |
protoPayload.metadata |
Detalhes do erro de EXTERNAL (por exemplo, Cloud EKM). |
protoPayload.metadata.entries.caller_provided_context |
protoPayload.request.caller_provided_context |
Contexto do autor da chamada associado a esta operação do Cloud KMS. |
Neste documento, descrevemos a geração de registros de auditoria do Cloud Key Management Service. Os serviços do Google Cloud gravam registros de auditoria que registram atividades e acessos administrativos nos recursos do Google Cloud. Saiba mais em Visão geral dos Registros de auditoria do Cloud.
Nome do serviço
Os registros de auditoria do Cloud Key Management Service usam o nome de serviço cloudkms.googleapis.com
.
Métodos por tipo de permissão
Os métodos que verificam os tipos de permissão DATA_READ
, DATA_WRITE
e ADMIN_READ
são registros de auditoria de acesso a dados.
Os métodos que verificam os tipos de permissão ADMIN_WRITE
são registros de auditoria da atividade do administrador.
Tipo de permissão | Métodos |
---|---|
ADMIN_READ | GetCryptoKey GetPCollection GetEkmConfig GetEkmConnection GetIamPolicy GetImportJob Getring ListPCollections ListCryptoKeys ListEkmConnections ListImportJobs ListFrames VerifyConnectivity google.cloud.kms.v1.Autokey.GetKeyHandle google.cloud.kms.v1.Autokey.ListKeyHandles Google.cloudAutokeyConfigs.google.com |
ADMIN_WRITE | CreateCryptoKey CreatePCollection CreateEkmConnection CreateImportJob Createring Destroy horário GetOperation ImportPCollection Restore horário SetIamPolicy UpdateCryptoKey UpdateCryptoKeyPrimaryVersion Update horário UpdateEkmConfig UpdateEkmConnection google.cloud.kms.v1.Autokey.CreateKeyHandle google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig |
DATA_READ | AsymmetricDecrypt AsymmetricSign Decrypt Encrypt GetPublicKey MacSign MacVerify RawDecrypt RawEncrypt |
Registros de auditoria por interface de API
Para informações sobre quais permissões são avaliadas e como para cada método, consulte a documentação do Identity and Access Management para o Cloud Key Management Service.
google.cloud.kms.v1.Autokey
Detalhes sobre registros de auditoria associados a métodos que pertencem a google.cloud.kms.v1.Autokey
.
google.cloud.kms.v1.Autokey.CreateKeyHandle
- Método: google.cloud.kms.v1.Autokey.CreateKeyHandle
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.keyHandles.create - ADMIN_WRITE
- O método é uma operação de longa duração ou streaming:
operação de longa duração
- Filtrar para este método:
protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"
google.cloud.kms.v1.Autokey.GetKeyHandle
- Método: google.cloud.kms.v1.Autokey.GetKeyHandle
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.keyHandles.get - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"
google.cloud.kms.v1.Autokey.ListKeyHandles
- Método: google.cloud.kms.v1.Autokey.ListKeyHandles
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.keyHandles.list - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"
google.cloud.kms.v1.AutokeyAdmin
Detalhes sobre registros de auditoria associados a métodos que pertencem a google.cloud.kms.v1.AutokeyAdmin
.
google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
- Método: google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.autokeyConfigs.get - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"
google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
- Método: google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"
google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
- Método: google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.autokeyConfigs.update - ADMIN_WRITE
cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"
google.cloud.kms.v1.EkmService
Detalhes sobre registros de auditoria associados a métodos que pertencem a google.cloud.kms.v1.EkmService
.
CreateEkmConnection
- Método: CreateEkmConnection
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.ekmConnections.create - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="CreateEkmConnection"
GetEkmConfig
- Método: GetEkmConfig
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.ekmConfigs.get - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="GetEkmConfig"
GetEkmConnection
- Método: GetEkmConnection
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.ekmConnections.get - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="GetEkmConnection"
ListEkmConnections
- Método: ListEkmConnections
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.ekmConnections.list - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="ListEkmConnections"
UpdateEkmConfig
- Método: UpdateEkmConfig
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.ekmConfigs.update - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="UpdateEkmConfig"
UpdateEkmConnection
- Método: UpdateEkmConnection
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.ekmConnections.update - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="UpdateEkmConnection"
VerifyConnectivity
- Método: VerifyConnectivity
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="VerifyConnectivity"
google.cloud.kms.v1.KeyManagementService
Detalhes sobre registros de auditoria associados a métodos que pertencem a google.cloud.kms.v1.KeyManagementService
.
AsymmetricDecrypt
- Método: AsymmetricDecrypt
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="AsymmetricDecrypt"
AsymmetricSign
- Método: AsymmetricSign
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeyVersions.useToSign - DATA_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="AsymmetricSign"
CreateCryptoKey
- Método: CreateCryptoKey
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
cloudkms.cryptoKeys.create - ADMIN_WRITE
cloudkms.ekmConnections.use - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="CreateCryptoKey"
CreateCryptoKeyVersion
- Método: CreatePCollection
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="CreateCryptoKeyVersion"
CreateImportJob
- Método: CreateImportJob
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.importJobs.create - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="CreateImportJob"
CreateKeyRing
- Método: Createring
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.keyRings.create - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="CreateKeyRing"
Decrypt
- Método: Decrypt
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
cloudkms.cryptoKeyVersions.useToDecryptViaDelegation - DATA_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="Decrypt"
DestroyCryptoKeyVersion
- Método: DestroyPCollection
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="DestroyCryptoKeyVersion"
Encrypt
- Método: Encrypt
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
cloudkms.cryptoKeyVersions.useToEncryptViaDelegation - DATA_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="Encrypt"
GetCryptoKey
- Método: GetCryptoKey
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeys.get - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="GetCryptoKey"
GetCryptoKeyVersion
- Método: GetPCollection
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeyVersions.get - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="GetCryptoKeyVersion"
GetImportJob
- Método: GetImportJob
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.importJobs.get - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="GetImportJob"
GetKeyRing
- Método: Getring
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.keyRings.get - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="GetKeyRing"
GetPublicKey
- Método: GetPublicKey
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="GetPublicKey"
ImportCryptoKeyVersion
- Método: ImportPCollection
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
cloudkms.importJobs.useToImport - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="ImportCryptoKeyVersion"
ListCryptoKeyVersions
- Método: ListPCollections
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeyVersions.list - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="ListCryptoKeyVersions"
ListCryptoKeys
- Método: ListCryptoKeys
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeys.list - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="ListCryptoKeys"
ListImportJobs
- Método: ListImportJobs
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.importJobs.list - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="ListImportJobs"
ListKeyRings
- Método: Listframes
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.keyRings.list - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="ListKeyRings"
MacSign
- Método: MacSign
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeyVersions.useToSign - DATA_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="MacSign"
MacVerify
- Método: MacVerify
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="MacVerify"
RawDecrypt
- Método: RawDecrypt
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="RawDecrypt"
RawEncrypt
- Método: RawEncrypt
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="RawEncrypt"
RestoreCryptoKeyVersion
- Método: RestorePCollection
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="RestoreCryptoKeyVersion"
UpdateCryptoKey
- Método: UpdateCryptoKey
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
cloudkms.cryptoKeys.update - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="UpdateCryptoKey"
UpdateCryptoKeyPrimaryVersion
- Método: UpdateCryptoKeyPrimaryVersion
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.cryptoKeys.update - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"
UpdateCryptoKeyVersion
- Método: UpdateVersion
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="UpdateCryptoKeyVersion"
google.iam.v1.IAMPolicy
Detalhes sobre registros de auditoria associados a métodos que pertencem a google.iam.v1.IAMPolicy
.
GetIamPolicy
- Método: GetIamPolicy
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
cloudkms.ekmConfigs.getIamPolicy - ADMIN_READ
cloudkms.ekmConnections.getIamPolicy - ADMIN_READ
cloudkms.importJobs.getIamPolicy - ADMIN_READ
cloudkms.keyRings.getIamPolicy - ADMIN_READ
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="GetIamPolicy"
SetIamPolicy
- Método: SetIamPolicy
- Tipo de registro de auditoria: Atividade do administrador
- Permissões:
cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
cloudkms.ekmConfigs.setIamPolicy - ADMIN_WRITE
cloudkms.ekmConnections.setIamPolicy - ADMIN_WRITE
cloudkms.importJobs.setIamPolicy - ADMIN_WRITE
cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="SetIamPolicy"
google.longrunning.Operations
Detalhes sobre registros de auditoria associados a métodos que pertencem a google.longrunning.Operations
.
GetOperation
- Método: GetOperation
- Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.keyHandles.create - ADMIN_WRITE
- O método é uma operação ou streaming de longa duração : não.
- Filtrar para este método:
protoPayload.methodName="GetOperation"
Métodos que não produzem registros de auditoria
Geralmente, os métodos não produzem registros de auditoria por serem de alto volume e fazer isso seria muito caro, ou porque o método tem baixo valor de auditoria, ou porque outro registro de auditoria ou de plataforma já fornece cobertura para o que o método faz.
Os métodos a seguir não produzem registros de auditoria:
google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
google.cloud.location.Locations.GetLocation
google.cloud.location.Locations.ListLocations