Audit-Logging für den Cloud KMS-Inventardienst

In diesem Dokument wird das Audit-Logging für den Cloud KMS Inventory Service beschrieben. Google Cloud -Dienste generieren Audit-Logs, in denen Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud -Ressourcen aufgezeichnet werden. Weitere Informationen zu Cloud-Audit-Logs finden Sie unter den folgenden Links:

Dienstname

Für Audit-Logs des Cloud KMS Inventory Service wird der Dienstname kmsinventory.googleapis.com verwendet. Filter für diesen Dienst: 

    protoPayload.serviceName="kmsinventory.googleapis.com"

Methoden nach Berechtigungstyp

Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert „enum“ ist. Er kann einen der folgenden vier Werte haben: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, generiert der Cloud KMS Inventory Service ein Audit-Log, dessen Kategorie vom Attribut type der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.

API-Methoden in der folgenden Liste, die mit (LRO) gekennzeichnet sind, sind Vorgänge mit langer Ausführungszeit. Diese Methoden generieren in der Regel zwei Audit-Log-Einträge: einen beim Start und einen beim Ende des Vorgangs. Weitere Informationen finden Sie unter Audit-Logs für Vorgänge mit langer Ausführungszeit.
Berechtigungstyp Methoden
OTHER google.cloud.kms.inventory.v1.KeyDashboardService.ListCryptoKeys: Aktivieren Sie ADMIN_READ unter dem Dienst cloudkms.googleapis.com, um dieses Protokoll zu aktivieren.
google.cloud.kms.inventory.v1.KeyTrackingService.GetProtectedResourcesSummary: Aktivieren Sie ADMIN_READ unter dem Dienst cloudkms.googleapis.com, um dieses Protokoll zu aktivieren.
google.cloud.kms.inventory.v1.KeyTrackingService.SearchProtectedResources: Aktivieren Sie ADMIN_READ unter dem Dienst cloudkms.googleapis.com, um dieses Protokoll zu aktivieren.

Audit-Logs der API-Schnittstelle

Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation zu Identity and Access Management für Cloud KMS Inventory Service.

google.cloud.kms.inventory.v1.KeyDashboardService

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.kms.inventory.v1.KeyDashboardService gehören.

ListCryptoKeys

  • Methode: google.cloud.kms.inventory.v1.KeyDashboardService.ListCryptoKeys
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeys.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.kms.inventory.v1.KeyDashboardService.ListCryptoKeys"

google.cloud.kms.inventory.v1.KeyTrackingService

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.kms.inventory.v1.KeyTrackingService gehören.

GetProtectedResourcesSummary

  • Methode: google.cloud.kms.inventory.v1.KeyTrackingService.GetProtectedResourcesSummary
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeys.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.kms.inventory.v1.KeyTrackingService.GetProtectedResourcesSummary"

SearchProtectedResources

  • Methode: google.cloud.kms.inventory.v1.KeyTrackingService.SearchProtectedResources
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudkms.cryptoKeys.get - ADMIN_READ
    • cloudkms.protectedResources.search - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.kms.inventory.v1.KeyTrackingService.SearchProtectedResources"