Audit-Logging für Confidential Computing

In diesem Dokument wird das Audit-Logging für vertrauliches Computing beschrieben. Google Cloud -Dienste generieren Audit-Logs, in denen Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud -Ressourcen aufgezeichnet werden. Weitere Informationen zu Cloud-Audit-Logs finden Sie hier:

• Arten von Audit-Logs
• Struktur von Audit-Logeinträgen
• Audit-Logs speichern und weiterleiten
• Preisübersicht für Cloud Logging
• Audit-Logs zum Datenzugriff aktivieren

Dienstname

Für Audit-Logs von Confidential Computing wird der Dienstname confidentialcomputing.googleapis.com verwendet. Nach diesem Dienst filtern:

    protoPayload.serviceName="confidentialcomputing.googleapis.com"
  

Methoden nach Berechtigungstyp

Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert ein Enum ist, der einen der folgenden vier Werte haben kann: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, generiert Confidential Computing ein Audit-Log, dessen Kategorie vom Attribut type der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.

Audit-Logs der API-Schnittstelle

Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation zur Identitäts- und Zugriffsverwaltung für vertrauliches Computing.

google.cloud.confidentialcomputing.v1.ConfidentialComputing

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.confidentialcomputing.v1.ConfidentialComputing gehören.

CreateChallenge

• Methode: google.cloud.confidentialcomputing.v1.ConfidentialComputing.CreateChallenge
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • confidentialcomputing.challenges.create - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.confidentialcomputing.v1.ConfidentialComputing.CreateChallenge"
  

VerifyAttestation

• Methode: google.cloud.confidentialcomputing.v1.ConfidentialComputing.VerifyAttestation
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • confidentialcomputing.challenges.verify - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.confidentialcomputing.v1.ConfidentialComputing.VerifyAttestation"
  

google.cloud.confidentialcomputing.v1alpha1.ConfidentialComputing

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.confidentialcomputing.v1alpha1.ConfidentialComputing gehören.

CreateChallenge

• Methode: google.cloud.confidentialcomputing.v1alpha1.ConfidentialComputing.CreateChallenge
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • confidentialcomputing.challenges.create - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.confidentialcomputing.v1alpha1.ConfidentialComputing.CreateChallenge"
  

VerifyAttestation

• Methode: google.cloud.confidentialcomputing.v1alpha1.ConfidentialComputing.VerifyAttestation
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • confidentialcomputing.challenges.verify - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.confidentialcomputing.v1alpha1.ConfidentialComputing.VerifyAttestation"