Journaux d'audit Cloud Key Management Service

Cloud Key Management Service met à jour le format du champ protoPayload dans ses entrées de journal d'audit des accès aux données. Pendant la période de migration, le protoPayload des entrées du journal d'audit des accès aux données restera rétrocompatible. Toutefois, les applications de code nouvelles ou futures doivent utiliser les champs de remplacement recommandés comme suit:

Champ de remplacement recommandé Champ obsolète Description
protoPayload.status.details protoPayload.metadata Détails de l'erreur pour EXTERNAL (par exemple, Cloud EKM).
protoPayload.metadata.entries.caller_provided_context protoPayload.request.caller_provided_context Contexte de l'appelant associé à cette opération Cloud KMS


Ce document décrit les journaux d'audit pour Cloud Key Management Service. Les services Google Cloud écrivent des journaux d'audit qui enregistrent les activités d'administration et les accès aux ressources Google Cloud. Pour en savoir plus, consultez la page Présentation des journaux d'audit Cloud.

Nom du service

Les journaux d'audit de Cloud Key Management Service utilisent le nom de service cloudkms.googleapis.com.

Méthodes par type d'autorisation

Les méthodes qui vérifient les types d'autorisations DATA_READ, DATA_WRITE et ADMIN_READ sont les journaux d'audit d'accès aux données. Les méthodes qui permettent de vérifier les types d'autorisations ADMIN_WRITE sont les journaux d'audit des activités d'administration.

Type d'autorisation Méthodes
ADMIN_READ GetCryptoKey
GetCryptoKey
GetEkmConfig
GetEkmConnection
GetIamPolicy
GetImportJob
GetKeyRing
ListCryptoKeys
ListCryptoKeys
ListEkmConnections
ListImportConfigJobs
ListKeyRings
Vérifier la connectivité
google.cloud.kms.v1.Autokey.GetKeyHandle
google.cloud.kms.v1.Autokey.ListKeyHandles.Google
ADMIN_WRITE CreateCryptoKey
CreateCryptoKey
CreateEkmConnection
CreateImportJob
CreateKeyRing
DestroyCryptoKey
GetOperation
ImportVersion
RestaurerLa présente version
SetIamPolicy
UpdateCryptoKey
UpdateCryptoKeyPrimaryVersion
Update rejoint
UpdateEkmConfig
UpdateEkmConnection
google.cloud.kms.v1.Autokey.CreateKeyHandle
google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
DATA_READ AsymmetricDecrypt
AsymmetricSign
Déchiffrer
Chiffrer
GetPublicKey
MacSign
MacVerify
RawDecrypt
RawEncrypt

Journaux d'audit par interface API

Pour en savoir plus sur les autorisations qui sont évaluées et sur le mode d'évaluation de chaque méthode, consultez la documentation sur Identity and Access Management pour Cloud Key Management Service.

google.cloud.kms.v1.Autokey

Détails sur les journaux d'audit associés aux méthodes appartenant à google.cloud.kms.v1.Autokey.

google.cloud.kms.v1.Autokey.CreateKeyHandle

  • Méthode : google.cloud.kms.v1.Autokey.CreateKeyHandle
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.keyHandles.create - ADMIN_WRITE
  • La méthode est une opération de longue durée ou une opération de streaming: Opération de longue durée
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"

google.cloud.kms.v1.Autokey.GetKeyHandle

  • Méthode : google.cloud.kms.v1.Autokey.GetKeyHandle
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.keyHandles.get - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"

google.cloud.kms.v1.Autokey.ListKeyHandles

  • Méthode : google.cloud.kms.v1.Autokey.ListKeyHandles
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.keyHandles.list - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"

google.cloud.kms.v1.AutokeyAdmin

Détails sur les journaux d'audit associés aux méthodes appartenant à google.cloud.kms.v1.AutokeyAdmin.

google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig

  • Méthode : google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.autokeyConfigs.get - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"

google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig

  • Méthode : google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"

google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig

  • Méthode : google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.autokeyConfigs.update - ADMIN_WRITE
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"

google.cloud.kms.v1.EkmService

Détails sur les journaux d'audit associés aux méthodes appartenant à google.cloud.kms.v1.EkmService.

CreateEkmConnection

  • Méthode : CreateEkmConnection
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.ekmConnections.create - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="CreateEkmConnection"

GetEkmConfig

  • Méthode : GetEkmConfig
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.ekmConfigs.get - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="GetEkmConfig"

GetEkmConnection

  • Méthode : GetEkmConnection
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.ekmConnections.get - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="GetEkmConnection"

ListEkmConnections

  • Méthode : ListEkmConnections
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.ekmConnections.list - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="ListEkmConnections"

UpdateEkmConfig

  • Méthode : UpdateEkmConfig
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.ekmConfigs.update - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="UpdateEkmConfig"

UpdateEkmConnection

  • Méthode : UpdateEkmConnection
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.ekmConnections.update - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="UpdateEkmConnection"

VerifyConnectivity

  • Méthode : VerifyConnectivity
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="VerifyConnectivity"

google.cloud.kms.v1.KeyManagementService

Détails sur les journaux d'audit associés aux méthodes appartenant à google.cloud.kms.v1.KeyManagementService.

AsymmetricDecrypt

  • Méthode : AsymmetricDecrypt
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="AsymmetricDecrypt"

AsymmetricSign

  • Méthode : AsymmetricSign
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="AsymmetricSign"

CreateCryptoKey

  • Méthode : CreateCryptoKey
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeys.create - ADMIN_WRITE
    • cloudkms.ekmConnections.use - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="CreateCryptoKey"

CreateCryptoKeyVersion

  • Méthode : CreateCryptoKey
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="CreateCryptoKeyVersion"

CreateImportJob

  • Méthode : CreateImportJob
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.importJobs.create - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="CreateImportJob"

CreateKeyRing

  • Méthode : CreateKeyRing
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.keyRings.create - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="CreateKeyRing"

Déchiffrer

  • Méthode : Déchiffrer
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
    • cloudkms.cryptoKeyVersions.useToDecryptViaDelegation - DATA_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="Decrypt"

DestroyCryptoKeyVersion

  • Méthode : DestroyCryptoKey
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="DestroyCryptoKeyVersion"

Chiffrer

  • Méthode : chiffre
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
    • cloudkms.cryptoKeyVersions.useToEncryptViaDelegation - DATA_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="Encrypt"

GetCryptoKey

  • Méthode : GetCryptoKey
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.cryptoKeys.get - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="GetCryptoKey"

GetCryptoKeyVersion

  • Méthode : GetCryptoKey
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.cryptoKeyVersions.get - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="GetCryptoKeyVersion"

GetImportJob

  • Méthode : GetImportJob
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.importJobs.get - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="GetImportJob"

GetKeyRing

  • Méthode : GetKeyRing
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.keyRings.get - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="GetKeyRing"

GetPublicKey

  • Méthode : GetPublicKey
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="GetPublicKey"

ImportCryptoKeyVersion

  • Méthode : ImportCryptoKey
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
    • cloudkms.importJobs.useToImport - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="ImportCryptoKeyVersion"

ListCryptoKeyVersions

  • Méthode : ListCryptoKeys
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.cryptoKeyVersions.list - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="ListCryptoKeyVersions"

ListCryptoKeys

  • Méthode : ListCryptoKeys
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.cryptoKeys.list - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="ListCryptoKeys"

ListImportJobs

  • Méthode : ListImportJobs
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.importJobs.list - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="ListImportJobs"

ListKeyRings

  • Méthode : ListKeyRings
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.keyRings.list - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="ListKeyRings"

MacSign

  • Méthode : MacSign
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="MacSign"

MacVerify

  • Méthode : MacVerify
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="MacVerify"

RawDecrypt

  • Méthode : RawDecrypt
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="RawDecrypt"

RawEncrypt

  • Méthode : RawEncrypt
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="RawEncrypt"

RestoreCryptoKeyVersion

  • Méthode : restore sitemap
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="RestoreCryptoKeyVersion"

UpdateCryptoKey

  • Méthode : UpdateCryptoKey
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="UpdateCryptoKey"

UpdateCryptoKeyPrimaryVersion

  • Méthode : UpdateCryptoKeyPrimaryVersion
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"

UpdateCryptoKeyVersion

  • Méthode : UpdateCryptoKey
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="UpdateCryptoKeyVersion"

google.iam.v1.IAMPolicy

Détails sur les journaux d'audit associés aux méthodes appartenant à google.iam.v1.IAMPolicy.

GetIamPolicy

  • Méthode : GetIamPolicy
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
    • cloudkms.ekmConfigs.getIamPolicy - ADMIN_READ
    • cloudkms.ekmConnections.getIamPolicy - ADMIN_READ
    • cloudkms.importJobs.getIamPolicy - ADMIN_READ
    • cloudkms.keyRings.getIamPolicy - ADMIN_READ
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="GetIamPolicy"

SetIamPolicy

  • Méthode : SetIamPolicy
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
    • cloudkms.ekmConfigs.setIamPolicy - ADMIN_WRITE
    • cloudkms.ekmConnections.setIamPolicy - ADMIN_WRITE
    • cloudkms.importJobs.setIamPolicy - ADMIN_WRITE
    • cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="SetIamPolicy"

google.longrunning.Operations

Détails sur les journaux d'audit associés aux méthodes appartenant à google.longrunning.Operations.

GetOperation

  • Méthode : GetOperation
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • cloudkms.keyHandles.create - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="GetOperation"

Méthodes ne produisant pas de journaux d'audit

En règle générale, les méthodes ne génèrent pas de journaux d'audit, car leur volume est élevé et leur coût est très élevé, ou la valeur d'audit de la méthode est faible, ou un autre journal d'audit ou de plate-forme fournit déjà une couverture pour ce que fait la méthode.

Les méthodes suivantes ne génèrent pas de journaux d'audit :

  • google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
  • google.cloud.location.Locations.GetLocation
  • google.cloud.location.Locations.ListLocations