Audit-Logging von Cloud Key Management Service

Cloud Key Management Service aktualisiert das Format des Felds protoPayload in seinen Audit-Logeinträgen zum Datenzugriff. Während des Migrationszeitraums bleibt der protoPayload in den Audit-Logeinträgen zum Datenzugriff abwärtskompatibel. Neue oder zukünftige Codeanwendungen sollten jedoch die empfohlenen Ersatzfelder so verwenden:

Empfohlenes Ersatzfeld Eingestelltes Feld Beschreibung
protoPayload.status.details protoPayload.metadata Fehlerdetails für EXTERNAL (d.h. Cloud EKM) ausgeführt werden.
protoPayload.metadata.entries.caller_provided_context protoPayload.request.caller_provided_context Kontext vom Aufrufer, der mit diesem Cloud KMS-Vorgang verknüpft ist.


In diesem Dokument wird das Audit-Logging für den Cloud Key Management Service beschrieben. Google Cloud-Dienste schreiben Audit-Logs, in denen administrative Aktivitäten und Zugriffe in Ihren Google Cloud-Ressourcen aufgezeichnet werden. Weitere Informationen finden Sie unter Cloud-Audit-Logs – Übersicht.

Dienstname

Für Audit-Logs von Cloud Key Management Service wird der Dienstname cloudkms.googleapis.com verwendet.

Methoden nach Berechtigungstyp

Methoden, die die Berechtigungstypen DATA_READ, DATA_WRITE und ADMIN_READ, sind Audit-Logs für den Datenzugriff. Methoden, die Berechtigungstypen vom Typ ADMIN_WRITE prüfen, sind Audit-Logs zu Administratoraktivitäten.

Berechtigungstyp Methoden
ADMIN_READ GetCryptoKey
GetCryptoKey
GetEkmConfig
GetEkmConnection
GetIamPolicy
GetImportJob
GetSchlüsselbund
ListCryptoKeys
ListCryptoKeys
ListEkmConnections
ListImportJobs
ListCryptoKeys
VerifyConnectivity
google.cloud.kms.v1.Autokey.GetKeyHandle
google.cloud.kms.v1.Autokey.ListKeyConfigs
google.cloud.kms.v1.Autokey.ListKeyConfigs
google.cloud.kms.google.v1.v1.v1.Autokey.ListKeyConfigs.v1
ADMIN_WRITE CreateCryptoKey
CreateCryptoKey
CreateEkmConnection
CreateImportJob
CreateCryptoKey
DestroyCryptoKey
GetOperation
ImportCryptoKey
RestoreCryptoKey
SetIamPolicy
UpdateCryptoKey
UpdateCryptoKeyPrimaryVersion
UpdateCryptoKey
UpdateEkmConfig
UpdateEkmConnection
google.cloud.kms.v1.Autokey.CreateKeyHandle
google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
DATA_READ AsymmetricDecrypt
AsymmetricSign
Entschlüsseln
Verschlüsseln
GetPublicKey
MacSign
MacVerify
RawDecrypt
RawEncrypt

Audit-Logs pro API-Schnittstelle

Informationen dazu, welche Berechtigungen wie für jede Methode evaluiert werden, finden Sie in der Dokumentation zu Identity and Access Management für Cloud Key Management Service.

google.cloud.kms.v1.Autokey

Details zu Audit-Logs für Methoden, die zu google.cloud.kms.v1.Autokey gehören.

google.cloud.kms.v1.Autokey.CreateKeyHandle

  • Methode : google.cloud.kms.v1.Autokey.CreateKeyHandle
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.keyHandles.create - ADMIN_WRITE
  • Die Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Lang andauernder Vorgang
  • Filter für diese Methode: protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"

google.cloud.kms.v1.Autokey.GetKeyHandle

  • Methode : google.cloud.kms.v1.Autokey.GetKeyHandle
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.keyHandles.get - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"

google.cloud.kms.v1.Autokey.ListKeyHandles

  • Methode : google.cloud.kms.v1.Autokey.ListKeyHandles
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.keyHandles.list - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"

google.cloud.kms.v1.AutokeyAdmin

Details zu Audit-Logs für Methoden, die zu google.cloud.kms.v1.AutokeyAdmin gehören.

google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig

  • Methode : google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.autokeyConfigs.get - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"

google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig

  • Methode : google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"

google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig

  • Methode : google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.autokeyConfigs.update - ADMIN_WRITE
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"

google.cloud.kms.v1.EkmService

Details zu Audit-Logs für Methoden, die zu google.cloud.kms.v1.EkmService gehören.

CreateEkmConnection

  • Methode : CreateEkmConnection
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.ekmConnections.create - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="CreateEkmConnection"

GetEkmConfig

  • Methode : GetEkmConfig
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.ekmConfigs.get - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="GetEkmConfig"

GetEkmConnection

  • Methode : GetEkmConnection
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.ekmConnections.get - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="GetEkmConnection"

ListEkmConnections

  • Methode : ListEkmConnections
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.ekmConnections.list - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="ListEkmConnections"

UpdateEkmConfig

  • Methode : UpdateEkmConfig
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.ekmConfigs.update - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="UpdateEkmConfig"

UpdateEkmConnection

  • Methode : UpdateEkmConnection
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.ekmConnections.update - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="UpdateEkmConnection"

VerifyConnectivity

  • Methode : VerifyConnectivity
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="VerifyConnectivity"

google.cloud.kms.v1.KeyManagementService

Details zu Audit-Logs für Methoden, die zu google.cloud.kms.v1.KeyManagementService gehören.

AsymmetricDecrypt

  • Methode : AsymmetricDecrypt
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="AsymmetricDecrypt"

AsymmetricSign

  • Methode : AsymmetricSign
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="AsymmetricSign"

CreateCryptoKey

  • Methode : CreateCryptoKey
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeys.create - ADMIN_WRITE
    • cloudkms.ekmConnections.use - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="CreateCryptoKey"

CreateCryptoKeyVersion

  • Methode: CreateCryptoKey
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="CreateCryptoKeyVersion"

CreateImportJob

  • Methode : CreateImportJob
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.importJobs.create - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="CreateImportJob"

CreateKeyRing

  • Methode : CreateSchlüsselbund
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.keyRings.create - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="CreateKeyRing"

Decrypt

  • Methode : Entschlüsseln
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
    • cloudkms.cryptoKeyVersions.useToDecryptViaDelegation - DATA_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="Decrypt"

DestroyCryptoKeyVersion

  • Methode : DesstroyCryptoKey
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="DestroyCryptoKeyVersion"

Verschlüsseln

  • Methode: Encrypt
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
    • cloudkms.cryptoKeyVersions.useToEncryptViaDelegation - DATA_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="Encrypt"

GetCryptoKey

  • Methode : GetCryptoKey
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeys.get - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="GetCryptoKey"

GetCryptoKeyVersion

  • Methode: GetCryptoKey
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.get - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="GetCryptoKeyVersion"

GetImportJob

  • Methode : GetImportJob
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.importJobs.get - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="GetImportJob"

GetKeyRing

  • Methode: GetSchlüsselbund
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.keyRings.get - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="GetKeyRing"

GetPublicKey

  • Methode : GetPublicKey
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="GetPublicKey"

ImportCryptoKeyVersion

  • Methode: ImportCryptoKey
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
    • cloudkms.importJobs.useToImport - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="ImportCryptoKeyVersion"

ListCryptoKeyVersions

  • Methode : ListCryptoKeys
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.list - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="ListCryptoKeyVersions"

ListCryptoKeys

  • Methode : ListCryptoKeys
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeys.list - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="ListCryptoKeys"

ListImportJobs

  • Methode : ListImportJobs
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.importJobs.list - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="ListImportJobs"

ListKeyRings

  • Methode : ListCryptoKeys
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.keyRings.list - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="ListKeyRings"

MacSign

  • Methode : MacSign
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="MacSign"

MacVerify

  • Methode: MacVerify
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="MacVerify"

RawDecrypt

  • Methode : RawDecrypt
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="RawDecrypt"

RawEncrypt

  • Methode : RawEncrypt
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="RawEncrypt"

RestoreCryptoKeyVersion

  • Methode: RestoreCryptoKey
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="RestoreCryptoKeyVersion"

UpdateCryptoKey

  • Methode : UpdateCryptoKey
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="UpdateCryptoKey"

UpdateCryptoKeyPrimaryVersion

  • Methode : UpdateCryptoKeyPrimaryVersion
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"

UpdateCryptoKeyVersion

  • Methode: UpdateCryptoKey
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="UpdateCryptoKeyVersion"

google.iam.v1.IAMPolicy

Details zu Audit-Logs für Methoden, die zu google.iam.v1.IAMPolicy gehören.

GetIamPolicy

  • Methode: GetIamPolicy
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
    • cloudkms.ekmConfigs.getIamPolicy - ADMIN_READ
    • cloudkms.ekmConnections.getIamPolicy - ADMIN_READ
    • cloudkms.importJobs.getIamPolicy - ADMIN_READ
    • cloudkms.keyRings.getIamPolicy - ADMIN_READ
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="GetIamPolicy"

SetIamPolicy

  • Methode: SetIamPolicy
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
    • cloudkms.ekmConfigs.setIamPolicy - ADMIN_WRITE
    • cloudkms.ekmConnections.setIamPolicy - ADMIN_WRITE
    • cloudkms.importJobs.setIamPolicy - ADMIN_WRITE
    • cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="SetIamPolicy"

google.longrunning.Operations

Details zu Audit-Logs für Methoden, die zu google.longrunning.Operations gehören.

GetOperation

  • Methode : GetOperation
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.keyHandles.create - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="GetOperation"

Methoden, die keine Audit-Logs generieren

Im Allgemeinen erzeugen Methoden keine Audit-Logs, da sie ein hohes Volumen haben und dies sehr teuer wäre, da die Methode einen niedrigen Prüfwert hat oder weil ein anderes Audit- oder Plattformlog bereits Abdeckung für das bietet, was die Methode tut.

Die folgenden Methoden generieren keine Audit-Logs:

  • google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
  • google.cloud.location.Locations.GetLocation
  • google.cloud.location.Locations.ListLocations