Geração de registros de auditoria do Cloud Key Management Service

O Cloud Key Management Service está atualizando o formato do campo protoPayload nas entradas de registro de auditoria de acesso a dados. Durante o período de migração, o protoPayload nas entradas de registro de auditoria de acesso a dados permanecerá compatível com versões anteriores. No entanto, aplicativos de código novos ou futuros precisam usar os campos de substituição recomendados da seguinte maneira:

Campo de substituição recomendada Campo descontinuado Descrição
protoPayload.status.details protoPayload.metadata Detalhes do erro de EXTERNAL (por exemplo, Cloud EKM).
protoPayload.metadata.entries.caller_provided_context protoPayload.request.caller_provided_context Contexto do autor da chamada associado a esta operação do Cloud KMS.


Neste documento, descrevemos a geração de registros de auditoria do Cloud Key Management Service. Os serviços do Google Cloud gravam registros de auditoria que registram atividades e acessos administrativos nos recursos do Google Cloud. Saiba mais em Visão geral dos Registros de auditoria do Cloud.

Nome do serviço

Os registros de auditoria do Cloud Key Management Service usam o nome de serviço cloudkms.googleapis.com.

Métodos por tipo de permissão

Os métodos que verificam os tipos de permissão DATA_READ, DATA_WRITE e ADMIN_READ são registros de auditoria de acesso a dados. Os métodos que verificam os tipos de permissão ADMIN_WRITE são registros de auditoria da atividade do administrador.

Tipo de permissão Métodos
ADMIN_READ GetCryptoKey
GetPCollection
GetEkmConfig
GetEkmConnection
GetIamPolicy
GetImportJob
Getring
ListPCollections
ListCryptoKeys
ListEkmConnections
ListImportJobs
ListFrames
VerifyConnectivity
google.cloud.kms.v1.Autokey.GetKeyHandle
google.cloud.kms.v1.Autokey.ListKeyHandles
Google.cloudAutokeyConfigs.google.com
ADMIN_WRITE CreateCryptoKey
CreatePCollection
CreateEkmConnection
CreateImportJob
Createring
Destroy horário
GetOperation
ImportPCollection
Restore horário
SetIamPolicy
UpdateCryptoKey
UpdateCryptoKeyPrimaryVersion
Update horário
UpdateEkmConfig
UpdateEkmConnection
google.cloud.kms.v1.Autokey.CreateKeyHandle
google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
DATA_READ AsymmetricDecrypt
Assimétrica
Descriptografar
Criptografar
GetPublicKey
MacSign
MacVerify
RawDecrypt
RawEncrypt

Registros de auditoria por interface de API

Para informações sobre quais permissões são avaliadas e como para cada método, consulte a documentação do Identity and Access Management para o Cloud Key Management Service.

google.cloud.kms.v1.Autokey

Detalhes sobre registros de auditoria associados a métodos que pertencem a google.cloud.kms.v1.Autokey.

google.cloud.kms.v1.Autokey.CreateKeyHandle

  • Método: google.cloud.kms.v1.Autokey.CreateKeyHandle
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.keyHandles.create - ADMIN_WRITE
  • O método é uma operação de longa duração ou streaming: operação de longa duração
  • Filtrar para este método: protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"

google.cloud.kms.v1.Autokey.GetKeyHandle

  • Método: google.cloud.kms.v1.Autokey.GetKeyHandle
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.keyHandles.get - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"

google.cloud.kms.v1.Autokey.ListKeyHandles

  • Método: google.cloud.kms.v1.Autokey.ListKeyHandles
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.keyHandles.list - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"

google.cloud.kms.v1.AutokeyAdmin

Detalhes sobre registros de auditoria associados a métodos que pertencem a google.cloud.kms.v1.AutokeyAdmin.

google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig

  • Método: google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.autokeyConfigs.get - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"

google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig

  • Método: google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"

google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig

  • Método: google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.autokeyConfigs.update - ADMIN_WRITE
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"

google.cloud.kms.v1.EkmService

Detalhes sobre registros de auditoria associados a métodos que pertencem a google.cloud.kms.v1.EkmService.

CreateEkmConnection

  • Método: CreateEkmConnection
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.ekmConnections.create - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="CreateEkmConnection"

GetEkmConfig

  • Método: GetEkmConfig
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.ekmConfigs.get - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="GetEkmConfig"

GetEkmConnection

  • Método: GetEkmConnection
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.ekmConnections.get - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="GetEkmConnection"

ListEkmConnections

  • Método: ListEkmConnections
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.ekmConnections.list - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="ListEkmConnections"

UpdateEkmConfig

  • Método: UpdateEkmConfig
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.ekmConfigs.update - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="UpdateEkmConfig"

UpdateEkmConnection

  • Método: UpdateEkmConnection
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.ekmConnections.update - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="UpdateEkmConnection"

VerifyConnectivity

  • Método: VerifyConnectivity
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="VerifyConnectivity"

google.cloud.kms.v1.KeyManagementService

Detalhes sobre registros de auditoria associados a métodos que pertencem a google.cloud.kms.v1.KeyManagementService.

AsymmetricDecrypt

  • Método: AsymmetricDecrypt
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="AsymmetricDecrypt"

AsymmetricSign

  • Método: AsymmetricSign
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="AsymmetricSign"

CreateCryptoKey

  • Método: CreateCryptoKey
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeys.create - ADMIN_WRITE
    • cloudkms.ekmConnections.use - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="CreateCryptoKey"

CreateCryptoKeyVersion

  • Método: CreatePCollection
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="CreateCryptoKeyVersion"

CreateImportJob

  • Método: CreateImportJob
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.importJobs.create - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="CreateImportJob"

CreateKeyRing

  • Método: Createring
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.keyRings.create - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="CreateKeyRing"

Decrypt

  • Método: Decrypt
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
    • cloudkms.cryptoKeyVersions.useToDecryptViaDelegation - DATA_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="Decrypt"

DestroyCryptoKeyVersion

  • Método: DestroyPCollection
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="DestroyCryptoKeyVersion"

Criptografar

  • Método: Encrypt
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
    • cloudkms.cryptoKeyVersions.useToEncryptViaDelegation - DATA_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="Encrypt"

GetCryptoKey

  • Método: GetCryptoKey
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.cryptoKeys.get - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="GetCryptoKey"

GetCryptoKeyVersion

  • Método: GetPCollection
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.cryptoKeyVersions.get - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="GetCryptoKeyVersion"

GetImportJob

  • Método: GetImportJob
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.importJobs.get - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="GetImportJob"

GetKeyRing

  • Método: Getring
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.keyRings.get - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="GetKeyRing"

GetPublicKey

  • Método: GetPublicKey
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="GetPublicKey"

ImportCryptoKeyVersion

  • Método: ImportPCollection
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawDsaKeys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
    • cloudkms.importJobs.useToImport - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="ImportCryptoKeyVersion"

ListCryptoKeyVersions

  • Método: ListPCollections
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.cryptoKeyVersions.list - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="ListCryptoKeyVersions"

ListCryptoKeys

  • Método: ListCryptoKeys
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.cryptoKeys.list - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="ListCryptoKeys"

ListImportJobs

  • Método: ListImportJobs
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.importJobs.list - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="ListImportJobs"

ListKeyRings

  • Método: Listframes
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.keyRings.list - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="ListKeyRings"

MacSign

  • Método: MacSign
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="MacSign"

MacVerify

  • Método: MacVerify
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="MacVerify"

RawDecrypt

  • Método: RawDecrypt
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="RawDecrypt"

RawEncrypt

  • Método: RawEncrypt
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="RawEncrypt"

RestoreCryptoKeyVersion

  • Método: RestorePCollection
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="RestoreCryptoKeyVersion"

UpdateCryptoKey

  • Método: UpdateCryptoKey
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.cryptoKeyVersions.manageRawPKCS1Keys - ADMIN_WRITE
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="UpdateCryptoKey"

UpdateCryptoKeyPrimaryVersion

  • Método: UpdateCryptoKeyPrimaryVersion
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"

UpdateCryptoKeyVersion

  • Método: UpdateVersion
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="UpdateCryptoKeyVersion"

google.iam.v1.IAMPolicy

Detalhes sobre registros de auditoria associados a métodos que pertencem a google.iam.v1.IAMPolicy.

GetIamPolicy

  • Método: GetIamPolicy
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
    • cloudkms.ekmConfigs.getIamPolicy - ADMIN_READ
    • cloudkms.ekmConnections.getIamPolicy - ADMIN_READ
    • cloudkms.importJobs.getIamPolicy - ADMIN_READ
    • cloudkms.keyRings.getIamPolicy - ADMIN_READ
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="GetIamPolicy"

SetIamPolicy

  • Método: SetIamPolicy
  • Tipo de registro de auditoria: Atividade do administrador
  • Permissões:
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
    • cloudkms.ekmConfigs.setIamPolicy - ADMIN_WRITE
    • cloudkms.ekmConnections.setIamPolicy - ADMIN_WRITE
    • cloudkms.importJobs.setIamPolicy - ADMIN_WRITE
    • cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="SetIamPolicy"

google.longrunning.Operations

Detalhes sobre registros de auditoria associados a métodos que pertencem a google.longrunning.Operations.

GetOperation

  • Método: GetOperation
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudkms.keyHandles.create - ADMIN_WRITE
  • O método é uma operação ou streaming de longa duração : não.
  • Filtrar para este método: protoPayload.methodName="GetOperation"

Métodos que não produzem registros de auditoria

Geralmente, os métodos não produzem registros de auditoria por serem de alto volume e fazer isso seria muito caro, ou porque o método tem baixo valor de auditoria, ou porque outro registro de auditoria ou de plataforma já fornece cobertura para o que o método faz.

Os métodos a seguir não produzem registros de auditoria:

  • google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
  • google.cloud.location.Locations.GetLocation
  • google.cloud.location.Locations.ListLocations