Cloud Key Management Service の監査ロギング

Cloud Key Management Service で、データアクセス監査ログエントリの protoPayload フィールドの形式が更新されます。移行期間中、データアクセス監査ログエントリ内の protoPayload には下位互換性があります。ただし、新規または将来のコード アプリケーションでは、以下のような推奨の置換フィールドを使用する必要があります。

推奨される置換フィールド サポートが終了したフィールド 説明
protoPayload.status.details protoPayload.metadata EXTERNAL のエラー詳細(即ち、Cloud EKM)鍵オペレーション。
protoPayload.metadata.entries.caller_provided_context protoPayload.request.caller_provided_context この Cloud KMS オペレーションに関連付けられた呼び出し元からのコンテキスト。


このドキュメントでは、Cloud Key Management Service の監査ロギングについて説明します。Google Cloud サービスは、Google Cloud リソース内の管理アクティビティとアクセス アクティビティを記録する監査ログを生成します。 Cloud Audit Logs の詳細については、以下をご覧ください。

サービス名

Cloud Key Management Service の監査ログでは、サービス名 cloudkms.googleapis.com が使用されます。このサービスでフィルタ:

    protoPayload.serviceName="cloudkms.googleapis.com"

メソッド(権限タイプ別)

各 IAM 権限には type プロパティがあります。このプロパティの値は列挙型で、ADMIN_READADMIN_WRITEDATA_READDATA_WRITE のいずれかになります。メソッドを呼び出すと、Cloud Key Management Service は監査ログを生成します。このログのカテゴリは、メソッドの実行に必要な権限の type プロパティによって異なります。type プロパティ値が DATA_READDATA_WRITE、または ADMIN_READ の IAM 権限を必要とするメソッドは、データアクセス監査ログを生成します。type プロパティ値が ADMIN_WRITE の IAM 権限を必要とするメソッドは、管理アクティビティ監査ログを生成します。

権限タイプ メソッド
ADMIN_READ GetCryptoKey
GetCryptoKeyVersion
GetEkmConfig
GetEkmConnection
GetIamPolicy
GetImportJob
GetKeyRing
GetOperation
ListCryptoKeyVersions
ListCryptoKeys
ListEkmConnections
ListImportJobs
ListKeyRings
VerifyConnectivity
google.cloud.kms.v1.Autokey.GetKeyHandle
google.cloud.kms.v1.Autokey.ListKeyHandles
google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
ADMIN_WRITE CreateCryptoKey
CreateCryptoKeyVersion
CreateEkmConnection
CreateImportJob
CreateKeyRing
DestroyCryptoKeyVersion
ImportCryptoKeyVersion
RestoreCryptoKeyVersion
SetIamPolicy
UpdateCryptoKey
UpdateCryptoKeyPrimaryVersion
UpdateCryptoKeyVersion
UpdateEkmConfig
UpdateEkmConnection
google.cloud.kms.v1.Autokey.CreateKeyHandle
google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
DATA_READ AsymmetricDecrypt
AsymmetricSign
Decrypt
Encrypt
GetPublicKey
MacSign
MacVerify
RawDecrypt
RawEncrypt

API インターフェースの監査ログ

各メソッドで評価される権限と評価方法の詳細については、Cloud Key Management Service の Identity and Access Management のドキュメントをご覧ください。

google.cloud.kms.v1.Autokey

次の監査ログは、google.cloud.kms.v1.Autokey に属するメソッドに関連付けられています。

CreateKeyHandle

  • メソッド: google.cloud.kms.v1.Autokey.CreateKeyHandle
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.keyHandles.create - ADMIN_WRITE
  • メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"

GetKeyHandle

  • メソッド: google.cloud.kms.v1.Autokey.GetKeyHandle
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.keyHandles.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"

ListKeyHandles

  • メソッド: google.cloud.kms.v1.Autokey.ListKeyHandles
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.keyHandles.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"

google.cloud.kms.v1.AutokeyAdmin

次の監査ログは、google.cloud.kms.v1.AutokeyAdmin に属するメソッドに関連付けられています。

GetAutokeyConfig

  • メソッド: google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.autokeyConfigs.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"

ShowEffectiveAutokeyConfig

  • メソッド: google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"

UpdateAutokeyConfig

  • メソッド: google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.autokeyConfigs.update - ADMIN_WRITE
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"

google.cloud.kms.v1.EkmService

次の監査ログは、google.cloud.kms.v1.EkmService に属するメソッドに関連付けられています。

CreateEkmConnection

  • メソッド: CreateEkmConnection
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.ekmConnections.create - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="CreateEkmConnection"

GetEkmConfig

  • メソッド: GetEkmConfig
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.ekmConfigs.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="GetEkmConfig"

GetEkmConnection

  • メソッド: GetEkmConnection
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.ekmConnections.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="GetEkmConnection"

ListEkmConnections

  • メソッド: ListEkmConnections
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.ekmConnections.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="ListEkmConnections"

UpdateEkmConfig

  • メソッド: UpdateEkmConfig
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.ekmConfigs.update - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="UpdateEkmConfig"

UpdateEkmConnection

  • メソッド: UpdateEkmConnection
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.ekmConnections.update - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="UpdateEkmConnection"

VerifyConnectivity

  • メソッド: VerifyConnectivity
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="VerifyConnectivity"

google.cloud.kms.v1.KeyManagementService

次の監査ログは、google.cloud.kms.v1.KeyManagementService に属するメソッドに関連付けられています。

AsymmetricDecrypt

  • メソッド: AsymmetricDecrypt
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="AsymmetricDecrypt"

AsymmetricSign

  • メソッド: AsymmetricSign
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="AsymmetricSign"

CreateCryptoKey

  • メソッド: CreateCryptoKey
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.cryptoKeys.create - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="CreateCryptoKey"

CreateCryptoKeyVersion

  • メソッド: CreateCryptoKeyVersion
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="CreateCryptoKeyVersion"

CreateImportJob

  • メソッド: CreateImportJob
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.importJobs.create - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="CreateImportJob"

CreateKeyRing

  • メソッド: CreateKeyRing
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.keyRings.create - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="CreateKeyRing"

Decrypt

  • メソッド: Decrypt
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="Decrypt"

DestroyCryptoKeyVersion

  • メソッド: DestroyCryptoKeyVersion
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="DestroyCryptoKeyVersion"

Encrypt

  • メソッド: Encrypt
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="Encrypt"

GetCryptoKey

  • メソッド: GetCryptoKey
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.cryptoKeys.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="GetCryptoKey"

GetCryptoKeyVersion

  • メソッド: GetCryptoKeyVersion
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.cryptoKeyVersions.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="GetCryptoKeyVersion"

GetImportJob

  • メソッド: GetImportJob
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.importJobs.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="GetImportJob"

GetKeyRing

  • メソッド: GetKeyRing
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.keyRings.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="GetKeyRing"

GetPublicKey

  • メソッド: GetPublicKey
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="GetPublicKey"

ImportCryptoKeyVersion

  • メソッド: ImportCryptoKeyVersion
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
    • cloudkms.importJobs.useToImport - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="ImportCryptoKeyVersion"

ListCryptoKeyVersions

  • メソッド: ListCryptoKeyVersions
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.cryptoKeyVersions.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="ListCryptoKeyVersions"

ListCryptoKeys

  • メソッド: ListCryptoKeys
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.cryptoKeys.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="ListCryptoKeys"

ListImportJobs

  • メソッド: ListImportJobs
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.importJobs.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="ListImportJobs"

ListKeyRings

  • メソッド: ListKeyRings
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.keyRings.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="ListKeyRings"

MacSign

  • メソッド: MacSign
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="MacSign"

MacVerify

  • メソッド: MacVerify
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="MacVerify"

RawDecrypt

  • メソッド: RawDecrypt
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="RawDecrypt"

RawEncrypt

  • メソッド: RawEncrypt
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="RawEncrypt"

RestoreCryptoKeyVersion

  • メソッド: RestoreCryptoKeyVersion
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="RestoreCryptoKeyVersion"

UpdateCryptoKey

  • メソッド: UpdateCryptoKey
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="UpdateCryptoKey"

UpdateCryptoKeyPrimaryVersion

  • メソッド: UpdateCryptoKeyPrimaryVersion
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"

UpdateCryptoKeyVersion

  • メソッド: UpdateCryptoKeyVersion
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="UpdateCryptoKeyVersion"

google.iam.v1.IAMPolicy

次の監査ログは、google.iam.v1.IAMPolicy に属するメソッドに関連付けられています。

GetIamPolicy

  • メソッド: GetIamPolicy
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
    • cloudkms.keyRings.getIamPolicy - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="GetIamPolicy"

SetIamPolicy

  • メソッド: SetIamPolicy
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
    • cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="SetIamPolicy"

google.longrunning.Operations

次の監査ログは、google.longrunning.Operations に属するメソッドに関連付けられています。

GetOperation

  • メソッド: GetOperation
  • 監査ログのタイプ: データアクセス
  • 権限:
    • cloudkms.keyHandles.create - ADMIN_WRITE
    • cloudkms.operations.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションである: いいえ。
  • このメソッドのフィルタ: protoPayload.methodName="GetOperation"

監査ログを生成しないメソッド

メソッドが監査ログを生成しない理由は、次のいずれかの可能性があります。

  • これは、大量のログの生成とストレージのコストを要する大容量法です。
  • 監査値が低い。
  • 別の監査ログまたはプラットフォーム ログでメソッド カバレッジがすでに提供されている。

次のメソッドは監査ログを生成しません。

  • google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
  • google.cloud.location.Locations.GetLocation
  • google.cloud.location.Locations.ListLocations