Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

审核日志记录

本文档介绍了 Certificate Manager 的审核日志记录。 Google Cloud 服务会生成审核日志，以记录 Google Cloud 资源中的管理和访问活动。如需详细了解 Cloud Audit Logs，请参阅以下内容：

服务名称

Certificate Manager 审核日志使用 certificatemanager.googleapis.com 服务名称。针对此服务的过滤条件：

    protoPayload.serviceName="certificatemanager.googleapis.com"

方法（按权限类型）

每个 IAM 权限都有一个 type 属性，该属性的值是一个枚举，可以是以下四个值之一：ADMIN_READ、ADMIN_WRITE、DATA_READ 或 DATA_WRITE。在您调用某个方法时，Certificate Manager 会生成一个审核日志，该日志的类别取决于执行该方法所需权限的 type 属性。需要 IAM 权限且 type 属性值为 DATA_READ、DATA_WRITE 或 ADMIN_READ 的方法会生成数据访问审核日志。需要 IAM 权限且 type 属性值为 ADMIN_WRITE 的方法会生成管理员活动审核日志。

以下列表中标记为 (LRO) 的 API 方法是长时间运行的操作 (LRO)。这些方法通常会生成两个审核日志条目：一个在操作开始时生成，另一个在操作结束时生成。如需了解详情，请参阅长时间运行的操作的审核日志。

权限类型方法

ADMIN_READ google.cloud.certificatemanager.v1.CertificateManager.GetCertificate
google.cloud.certificatemanager.v1.CertificateManager.GetCertificateIssuanceConfig
google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMap
google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMapEntry
google.cloud.certificatemanager.v1.CertificateManager.GetDnsAuthorization
google.cloud.certificatemanager.v1.CertificateManager.GetTrustConfig
google.cloud.certificatemanager.v1.CertificateManager.ListCertificateIssuanceConfigs
google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMapEntries
google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMaps
google.cloud.certificatemanager.v1.CertificateManager.ListCertificates
google.cloud.certificatemanager.v1.CertificateManager.ListDnsAuthorizations
google.cloud.certificatemanager.v1.CertificateManager.ListTrustConfigs
google.longrunning.Operations.GetOperation
google.longrunning.Operations.ListOperations

ADMIN_WRITE google.cloud.certificatemanager.v1.CertificateManager.CreateCertificate (LRO)
google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateIssuanceConfig (LRO)
google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMap (LRO)
google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMapEntry (LRO)
google.cloud.certificatemanager.v1.CertificateManager.CreateDnsAuthorization (LRO)
google.cloud.certificatemanager.v1.CertificateManager.CreateTrustConfig (LRO)
google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificate (LRO)
google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateIssuanceConfig (LRO)
google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMap (LRO)
google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMapEntry (LRO)
google.cloud.certificatemanager.v1.CertificateManager.DeleteDnsAuthorization (LRO)
google.cloud.certificatemanager.v1.CertificateManager.DeleteTrustConfig (LRO)
google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificate (LRO)
google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateIssuanceConfig (LRO)
google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMap (LRO)
google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMapEntry (LRO)
google.cloud.certificatemanager.v1.CertificateManager.UpdateDnsAuthorization (LRO)
google.cloud.certificatemanager.v1.CertificateManager.UpdateTrustConfig (LRO)
google.longrunning.Operations.CancelOperation
google.longrunning.Operations.DeleteOperation

权限类型	方法
`ADMIN_READ`	`google.cloud.certificatemanager.v1.CertificateManager.GetCertificate` `google.cloud.certificatemanager.v1.CertificateManager.GetCertificateIssuanceConfig` `google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMap` `google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMapEntry` `google.cloud.certificatemanager.v1.CertificateManager.GetDnsAuthorization` `google.cloud.certificatemanager.v1.CertificateManager.GetTrustConfig` `google.cloud.certificatemanager.v1.CertificateManager.ListCertificateIssuanceConfigs` `google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMapEntries` `google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMaps` `google.cloud.certificatemanager.v1.CertificateManager.ListCertificates` `google.cloud.certificatemanager.v1.CertificateManager.ListDnsAuthorizations` `google.cloud.certificatemanager.v1.CertificateManager.ListTrustConfigs` `google.longrunning.Operations.GetOperation` `google.longrunning.Operations.ListOperations`
`ADMIN_WRITE`	`google.cloud.certificatemanager.v1.CertificateManager.CreateCertificate` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateIssuanceConfig` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMap` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMapEntry` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.CreateDnsAuthorization` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.CreateTrustConfig` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificate` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateIssuanceConfig` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMap` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMapEntry` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.DeleteDnsAuthorization` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.DeleteTrustConfig` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificate` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateIssuanceConfig` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMap` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMapEntry` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.UpdateDnsAuthorization` (LRO) `google.cloud.certificatemanager.v1.CertificateManager.UpdateTrustConfig` (LRO) `google.longrunning.Operations.CancelOperation` `google.longrunning.Operations.DeleteOperation`

API 接口审核日志

如需了解如何评估每种方法的权限以及评估哪些权限，请参阅 Certificate Manager 的 Identity and Access Management 文档。

`google.cloud.certificatemanager.v1.CertificateManager`

以下审核日志与属于 google.cloud.certificatemanager.v1.CertificateManager 的方法相关联。

`CreateCertificate`

方法：google.cloud.certificatemanager.v1.CertificateManager.CreateCertificate
审核日志类型：管理员活动
权限：
- certificatemanager.certs.create - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateCertificate"

`CreateCertificateIssuanceConfig`

方法：google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateIssuanceConfig
审核日志类型：管理员活动
权限：
- certificatemanager.certissuanceconfigs.create - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateIssuanceConfig"

`CreateCertificateMap`

方法：google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMap
审核日志类型：管理员活动
权限：
- certificatemanager.certmaps.create - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMap"

`CreateCertificateMapEntry`

方法：google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMapEntry
审核日志类型：管理员活动
权限：
- certificatemanager.certmapentries.create - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateCertificateMapEntry"

`CreateDnsAuthorization`

方法：google.cloud.certificatemanager.v1.CertificateManager.CreateDnsAuthorization
审核日志类型：管理员活动
权限：
- certificatemanager.dnsauthorizations.create - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateDnsAuthorization"

`CreateTrustConfig`

方法：google.cloud.certificatemanager.v1.CertificateManager.CreateTrustConfig
审核日志类型：管理员活动
权限：
- certificatemanager.trustconfigs.create - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.CreateTrustConfig"

`DeleteCertificate`

方法：google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificate
审核日志类型：管理员活动
权限：
- certificatemanager.certs.delete - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificate"

`DeleteCertificateIssuanceConfig`

方法：google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateIssuanceConfig
审核日志类型：管理员活动
权限：
- certificatemanager.certissuanceconfigs.delete - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateIssuanceConfig"

`DeleteCertificateMap`

方法：google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMap
审核日志类型：管理员活动
权限：
- certificatemanager.certmaps.delete - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMap"

`DeleteCertificateMapEntry`

方法：google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMapEntry
审核日志类型：管理员活动
权限：
- certificatemanager.certmapentries.delete - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteCertificateMapEntry"

`DeleteDnsAuthorization`

方法：google.cloud.certificatemanager.v1.CertificateManager.DeleteDnsAuthorization
审核日志类型：管理员活动
权限：
- certificatemanager.dnsauthorizations.delete - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteDnsAuthorization"

`DeleteTrustConfig`

方法：google.cloud.certificatemanager.v1.CertificateManager.DeleteTrustConfig
审核日志类型：管理员活动
权限：
- certificatemanager.trustconfigs.delete - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.DeleteTrustConfig"

`GetCertificate`

方法：google.cloud.certificatemanager.v1.CertificateManager.GetCertificate
审核日志类型：数据访问
权限：
- certificatemanager.certs.get - ADMIN_READ
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetCertificate"

`GetCertificateIssuanceConfig`

方法：google.cloud.certificatemanager.v1.CertificateManager.GetCertificateIssuanceConfig
审核日志类型：数据访问
权限：
- certificatemanager.certissuanceconfigs.get - ADMIN_READ
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetCertificateIssuanceConfig"

`GetCertificateMap`

方法：google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMap
审核日志类型：数据访问
权限：
- certificatemanager.certmaps.get - ADMIN_READ
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMap"

`GetCertificateMapEntry`

方法：google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMapEntry
审核日志类型：数据访问
权限：
- certificatemanager.certmapentries.get - ADMIN_READ
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetCertificateMapEntry"

`GetDnsAuthorization`

方法：google.cloud.certificatemanager.v1.CertificateManager.GetDnsAuthorization
审核日志类型：数据访问
权限：
- certificatemanager.dnsauthorizations.get - ADMIN_READ
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetDnsAuthorization"

`GetTrustConfig`

方法：google.cloud.certificatemanager.v1.CertificateManager.GetTrustConfig
审核日志类型：数据访问
权限：
- certificatemanager.trustconfigs.get - ADMIN_READ
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.GetTrustConfig"

`ListCertificateIssuanceConfigs`

方法：google.cloud.certificatemanager.v1.CertificateManager.ListCertificateIssuanceConfigs
审核日志类型：数据访问
权限：
- certificatemanager.certissuanceconfigs.list - ADMIN_READ
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListCertificateIssuanceConfigs"

`ListCertificateMapEntries`

方法：google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMapEntries
审核日志类型：数据访问
权限：
- certificatemanager.certmapentries.list - ADMIN_READ
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMapEntries"

`ListCertificateMaps`

方法：google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMaps
审核日志类型：数据访问
权限：
- certificatemanager.certmaps.list - ADMIN_READ
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListCertificateMaps"

`ListCertificates`

方法：google.cloud.certificatemanager.v1.CertificateManager.ListCertificates
审核日志类型：数据访问
权限：
- certificatemanager.certs.list - ADMIN_READ
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListCertificates"

`ListDnsAuthorizations`

方法：google.cloud.certificatemanager.v1.CertificateManager.ListDnsAuthorizations
审核日志类型：数据访问
权限：
- certificatemanager.dnsauthorizations.list - ADMIN_READ
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListDnsAuthorizations"

`ListTrustConfigs`

方法：google.cloud.certificatemanager.v1.CertificateManager.ListTrustConfigs
审核日志类型：数据访问
权限：
- certificatemanager.trustconfigs.list - ADMIN_READ
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.ListTrustConfigs"

`UpdateCertificate`

方法：google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificate
审核日志类型：管理员活动
权限：
- certificatemanager.certs.update - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificate"

`UpdateCertificateIssuanceConfig`

方法：google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateIssuanceConfig
审核日志类型：管理员活动
权限：
- certificatemanager.certissuanceconfigs.update - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateIssuanceConfig"

`UpdateCertificateMap`

方法：google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMap
审核日志类型：管理员活动
权限：
- certificatemanager.certmaps.update - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMap"

`UpdateCertificateMapEntry`

方法：google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMapEntry
审核日志类型：管理员活动
权限：
- certificatemanager.certmapentries.update - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateCertificateMapEntry"

`UpdateDnsAuthorization`

方法：google.cloud.certificatemanager.v1.CertificateManager.UpdateDnsAuthorization
审核日志类型：管理员活动
权限：
- certificatemanager.dnsauthorizations.update - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateDnsAuthorization"

`UpdateTrustConfig`

方法：google.cloud.certificatemanager.v1.CertificateManager.UpdateTrustConfig
审核日志类型：管理员活动
权限：
- certificatemanager.trustconfigs.update - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：长时间运行的操作
此方法的过滤条件：protoPayload.methodName="google.cloud.certificatemanager.v1.CertificateManager.UpdateTrustConfig"

`google.longrunning.Operations`

以下审核日志与属于 google.longrunning.Operations 的方法相关联。

`CancelOperation`

方法：google.longrunning.Operations.CancelOperation
审核日志类型：管理员活动
权限：
- certificatemanager.operations.cancel - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.longrunning.Operations.CancelOperation"

`DeleteOperation`

方法：google.longrunning.Operations.DeleteOperation
审核日志类型：管理员活动
权限：
- certificatemanager.operations.delete - ADMIN_WRITE
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.longrunning.Operations.DeleteOperation"

`GetOperation`

方法：google.longrunning.Operations.GetOperation
审核日志类型：数据访问
权限：
- certificatemanager.operations.get - ADMIN_READ
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.longrunning.Operations.GetOperation"

`ListOperations`

方法：google.longrunning.Operations.ListOperations
审核日志类型：数据访问
权限：
- certificatemanager.operations.list - ADMIN_READ
方法是长时间运行的操作或流式传输操作：否。
此方法的过滤条件：protoPayload.methodName="google.longrunning.Operations.ListOperations"

不会生成审核日志的方法

由于以下一个或多个原因，方法可能不会生成审核日志：

这是一种会产生大量日志的方法，日志生成和存储的费用高昂。
它的审核价值较低。
其他审核或平台日志已提供方法覆盖功能。

以下方法不会生成审核日志：

google.cloud.location.Locations.GetLocation
google.cloud.location.Locations.ListLocations
google.longrunning.Operations.WaitOperation

查询示例

查询说明	表达式
Certificate Manager 审核日志	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="certificate_manager_certificate" protoPayload.serviceName="certificatemanager.googleapis.com"

审核日志记录 使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

服务名称

方法（按权限类型）

API 接口审核日志

google.cloud.certificatemanager.v1.CertificateManager

CreateCertificate

CreateCertificateIssuanceConfig

CreateCertificateMap

CreateCertificateMapEntry

CreateDnsAuthorization

CreateTrustConfig

DeleteCertificate

DeleteCertificateIssuanceConfig

DeleteCertificateMap

DeleteCertificateMapEntry

DeleteDnsAuthorization

DeleteTrustConfig

GetCertificate

GetCertificateIssuanceConfig

GetCertificateMap

GetCertificateMapEntry

GetDnsAuthorization

GetTrustConfig

ListCertificateIssuanceConfigs

ListCertificateMapEntries

ListCertificateMaps

ListCertificates

ListDnsAuthorizations

ListTrustConfigs

UpdateCertificate

UpdateCertificateIssuanceConfig

UpdateCertificateMap

UpdateCertificateMapEntry

UpdateDnsAuthorization

UpdateTrustConfig

google.longrunning.Operations

CancelOperation

DeleteOperation

GetOperation

ListOperations