Audit-Logging in Secret Manager

In diesem Dokument wird das Audit-Logging für Secret Manager beschrieben. Generieren von Audit-Logs, Details zu den Audit-Logs, die jede Methode erzeugt, und welche Methoden ggf. keine Audit-Logs generieren. Google Cloud generiert Audit-Logs, die die Verwaltungs- und Zugriffsaktivitäten innerhalb Ihrer Google Cloud-Ressourcen loggen. Weitere Informationen finden Sie unter Cloud-Audit-Logs – Übersicht.

Dienstname

Für Audit-Logs von Secret Manager wird der Dienstname secretmanager.googleapis.com verwendet.

Methoden nach Berechtigungstyp

Methoden, die die Berechtigungen DATA_READ, DATA_WRITE und ADMIN_READ prüfen, generieren Logs, die als Datenzugriffs-Audit-Logs kategorisiert sind. Methoden zur Prüfung von ADMIN_WRITE-Berechtigungen generieren Logs, die als Audit-Logs zur Administratoraktivität kategorisiert sind.

Berechtigungstyp Methoden
ADMIN_READ google.cloud.location.Locations.GetLocation
google.cloud.location.Locations.ListLocations
google.cloud.secretmanager.v1.SecretManagerService.GetIamPolicy
google.cloud.secretmanager.v1.SecretManagerService.GetSecret
google.cloud.secretmanager.v1.SecretManagerService.GetSecretVersion
google.cloud.secretmanager.v1.SecretManagerService.ListSecretVersions
google.cloud.secretmanager.v1.SecretManagerService.ListSecrets
ADMIN_WRITE google.cloud.secretmanager.v1.SecretManagerService.AddSecretVersion
google.cloud.secretmanager.v1.SecretManagerService.CreateSecret
google.cloud.secretmanager.v1.SecretManagerService.DeleteSecret
google.cloud.secretmanager.v1.SecretManagerService.DestroySecretVersion
google.cloud.secretmanager.v1.SecretManagerService.DisableSecretVersion
google.cloud.secretmanager.v1.SecretManagerService.EnableSecretVersion
google.cloud.secretmanager.v1.SecretManagerService.SetIamPolicy
google.cloud.secretmanager.v1.SecretManagerService.UpdateSecret
DATA_READ google.cloud.secretmanager.v1.SecretManagerService.AccessSecretVersion

Audit-Logs für jede API-Schnittstelle

Informationen darüber, wie und welche Berechtigungen für jede Methode evaluiert werden, finden Sie in der Dokumentation zu Identity and Access Management für Secret Manager.

google.cloud.location.Locations

Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.cloud.location.Locations gehören.

GetLocation

  • Methode: google.cloud.location.Locations.GetLocation
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • secretmanager.locations.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.location.Locations.GetLocation"

ListLocations

  • Methode: google.cloud.location.Locations.ListLocations
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • secretmanager.locations.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.location.Locations.ListLocations"

google.cloud.secretmanager.v1.SecretManagerService

Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.cloud.secretmanager.v1.SecretManagerService gehören.

AccessSecretVersion

  • Methode: google.cloud.secretmanager.v1.SecretManagerService.AccessSecretVersion
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • secretmanager.versions.access - DATA_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.secretmanager.v1.SecretManagerService.AccessSecretVersion"

AddSecretVersion

  • Methode: google.cloud.secretmanager.v1.SecretManagerService.AddSecretVersion
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • secretmanager.versions.add - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.secretmanager.v1.SecretManagerService.AddSecretVersion"

CreateSecret

  • Methode: google.cloud.secretmanager.v1.SecretManagerService.CreateSecret
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • secretmanager.secrets.create - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.secretmanager.v1.SecretManagerService.CreateSecret"

DeleteSecret

  • Methode: google.cloud.secretmanager.v1.SecretManagerService.DeleteSecret
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • secretmanager.secrets.delete - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.secretmanager.v1.SecretManagerService.DeleteSecret"

DestroySecretVersion

  • Methode: google.cloud.secretmanager.v1.SecretManagerService.DestroySecretVersion
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • secretmanager.versions.destroy - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.secretmanager.v1.SecretManagerService.DestroySecretVersion"

DisableSecretVersion

  • Methode: google.cloud.secretmanager.v1.SecretManagerService.DisableSecretVersion
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • secretmanager.versions.disable - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.secretmanager.v1.SecretManagerService.DisableSecretVersion"

EnableSecretVersion

  • Methode: google.cloud.secretmanager.v1.SecretManagerService.EnableSecretVersion
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • secretmanager.versions.enable - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.secretmanager.v1.SecretManagerService.EnableSecretVersion"

GetIamPolicy

  • Methode: google.cloud.secretmanager.v1.SecretManagerService.GetIamPolicy
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • secretmanager.secrets.getIamPolicy - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.secretmanager.v1.SecretManagerService.GetIamPolicy"

GetSecret

  • Methode: google.cloud.secretmanager.v1.SecretManagerService.GetSecret
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • secretmanager.secrets.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.secretmanager.v1.SecretManagerService.GetSecret"

GetSecretVersion

  • Methode: google.cloud.secretmanager.v1.SecretManagerService.GetSecretVersion
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • secretmanager.versions.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.secretmanager.v1.SecretManagerService.GetSecretVersion"

ListSecretVersions

  • Methode: google.cloud.secretmanager.v1.SecretManagerService.ListSecretVersions
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • secretmanager.versions.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.secretmanager.v1.SecretManagerService.ListSecretVersions"

ListSecrets

  • Methode: google.cloud.secretmanager.v1.SecretManagerService.ListSecrets
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • secretmanager.secrets.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.secretmanager.v1.SecretManagerService.ListSecrets"

SetIamPolicy

  • Methode: google.cloud.secretmanager.v1.SecretManagerService.SetIamPolicy
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • secretmanager.secrets.setIamPolicy - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.secretmanager.v1.SecretManagerService.SetIamPolicy"

UpdateSecret

  • Methode: google.cloud.secretmanager.v1.SecretManagerService.UpdateSecret
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • secretmanager.secrets.update - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.secretmanager.v1.SecretManagerService.UpdateSecret"