Como usar o Cloud Audit Logging com o Cloud KMS

O Cloud Audit Logging é usado para gerar registros de todas as operações realizadas no Cloud Key Management Service.

O que é registrado

Tipos de registros de auditoria

dois tipos de registros de auditoria:

  • registros de atividade de administração, que são entradas para operações que modificam a configuração ou os metadados de um projeto;

  • registros de acesso a dados, que são entradas para operações que leem uma configuração ou metadados, ou criam, leem ou modificam dados fornecidos pelo usuário. Os registros de acesso a dados contam com vários tipos de entrada de registros:

    • "ADMIN_READ": leituras de metadados ou informações de configuração. Os registros da atividade de administração já fazem a gravação dos metadados.
    • "DATA_READ": lê os dados fornecidos pelo usuário.
    • "DATA_WRITE": grava dados fornecidos pelo usuário.

A tabela a seguir resume as operações que correspondem a cada tipo de entrada de registro no Cloud KMS:

Tipo de entrada de registro Operações
Atividade do administrador
  • cloudkms.projects.locations.keyRings.create
  • cloudkms.projects.locations.keyRings.setIamPolicy
  • cloudkms.projects.locations.keyRings.cryptoKeys.create
  • cloudkms.projects.locations.keyRings.cryptoKeys.patch
  • cloudkms.projects.locations.keyRings.cryptoKeys.setIamPolicy
  • cloudkms.projects.locations.keyRings.cryptoKeys.updatePrimaryVersion
  • cloudkms.projects.locations.keyRings.cryptoKeys.cryptoKeyVersions.create
  • cloudkms.projects.locations.keyRings.cryptoKeys.cryptoKeyVersions.destroy
  • cloudkms.projects.locations.keyRings.cryptoKeys.cryptoKeyVersions.patch
  • cloudkms.projects.locations.keyRings.cryptoKeys.cryptoKeyVersions.restore
Acesso aos dados ADMIN_READ
  • cloudkms.projects.locations.get
  • cloudkms.projects.locations.list
  • cloudkms.projects.locations.keyRings.get
  • cloudkms.projects.locations.keyRings.getIamPolicy
  • cloudkms.projects.locations.keyRings.list
  • cloudkms.projects.locations.keyRings.testIamPermissions
  • cloudkms.projects.locations.keyRings.cryptoKeys.get
  • cloudkms.projects.locations.keyRings.cryptoKeys.list
  • cloudkms.projects.locations.keyRings.cryptoKeys.getIamPolicy
  • cloudkms.projects.locations.keyRings.cryptoKeys.testIamPermissions
  • cloudkms.projects.locations.keyRings.cryptoKeys.cryptoKeyVersions.get
  • cloudkms.projects.locations.keyRings.cryptoKeys.cryptoKeyVersions.list
DATA_READ
  • cloudkms.projects.locations.keyRings.cryptoKeys.decrypt
  • cloudkms.projects.locations.keyRings.cryptoKeys.encrypt
  • cloudkms.projects.locations.keyRings.cryptoKeys.cryptoKeyVersions.asymmetricDecrypt
  • cloudkms.projects.locations.keyRings.cryptoKeys.cryptoKeyVersions.asymmetricSign
  • cloudkms.projects.locations.keyRings.cryptoKeys.cryptoKeyVersions.getPublicKey
DATA_WRITE Nenhum

Como configurar a geração de registros

Geração de registros padrão

A atividade administrativa é registrada por padrão e não é contabilizada na cota de consumo de registros.

O acesso a dados não é registrado por padrão no Cloud KMS. As operações de acesso a dados são de alto volume e contam para sua cota de entrada de registro.

Como ativar registros de acesso a dados

Para ativar os registros de operações de acesso a dados, atualize o objeto AuditConfig do serviço cloudkms.googleapis.com. O objeto AuditConfig faz parte da política do Cloud Identity and Access Management associada a projetos e recursos individuais como keyrings e chaves. Leia e grave políticas usando GetIamPolicy e SetIamPolicy e comandos do gcloud, como gcloud kms keys get-iam-policy e gcloud kms keys set-iam-policy.

Quando atualizar uma política, primeiro recupere-a usando a getIamPolicy() ou o gcloud equivalente, atualize e grave a política atualizada com setIamPolicy() ou o equivalente do gcloud. Use o valor etag ao definir a política somente se a política recuperada contiver um valor de etag. O Cloud Identity and Access Management usa uma propriedade etag nas políticas do Cloud IAM para evitar um conflito quando dois ou mais processos independentes tentam gravar uma política. Para saber mais sobre a propriedade etag nas políticas do Cloud IAM, consulte Definir política.

Para ativar registros em operações de criptografar e descriptografar sem membros isentos, primeiro recupere a política existente e, depois, adicione a seguinte configuração de registros de auditoria:

{
  "service": "cloudkms.googleapis.com"
  "auditLogConfigs": [
    {
      "logType": "DATA_READ",
    },
    ...
  ]
},

Para ativar os registros de acesso a dados para uma única chave com a ferramenta de linha de comando gcloud, primeiro recupere a política para o arquivo local /tmp/policy.json executando:

gcloud kms keys get-iam-policy \
  projects/[PROJECT_ID]/locations/[LOCATION]/keyRings/[KEY_RING]/cryptoKeys/[KEY] \
  --format=json > /tmp/policy.json

Uma política sem configuração conterá apenas um valor etag. É possível que você tenha um valor diferente para etag:

{
  "etag": "ACAB"
}

Em seguida, atualize a política com a configuração de auditoria desejada. Por exemplo, use o valor etag vez de ACAB:

{
   "auditConfigs": [
     {
       "auditLogConfigs": [
         {
           "logType": "DATA_READ"
         },
         {
           "logType": "ADMIN_READ"
         },
         {
           "logType": "DATA_WRITE"
         }
       ],
       "service": "cloudkms.googleapis.com"
     }
   ],
   "etag": "ACAB"
 }

Em seguida, defina a política executando:

gcloud kms keys set-iam-policy \
  projects/[PROJECT_ID]/locations/[LOCATION]/keyRings/[KEY_RING]/cryptoKeys/[KEY] \
  /tmp/policy.json

Saiba mais sobre Como configurar registros de acesso a dados.

Formato de registros

Os registros do Cloud KMS seguem o mesmo formato de outros registros do Cloud Audit Logging, usando o objeto AuditLog. Os registros contêm:

  • o usuário que fez a solicitação, incluindo o endereço de e-mail dele;
  • o nome do recurso em que a solicitação foi feita;
  • o resultado da solicitação.

Como acessar os registros

Permissões

Todos os usuários do projeto podem ver os registros de atividades do administrador. Para ver os registros de acesso a dados, o usuário precisa pelo menos do papel “Proprietário” ou Leitor de registros particulares. Consulte a seção sobre como usar o Cloud IAM com o Cloud KMS para saber como configurá-los.

Como ver registros

É possível ver os registros de auditoria do Cloud sobre o projeto no Stream de atividades do Console do Cloud Platform. Confira também registros mais detalhados no Visualizador de registros. Mais instruções sobre como filtrar os registros no Visualizador de registros são encontradas na documentação do Cloud Audit Logging.

Se você quiser, também pode exportar registros.

Próximas etapas

Aprenda a criar alertas sobre as atividades registradas em Como monitorar os recursos do Cloud KMS.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Cloud KMS