이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Cloud Key Management Service 감사 로깅

Cloud Key Management Service는 데이터 액세스 감사 로그 항목의 protoPayload 필드 형식을 업데이트합니다. 마이그레이션 기간 동안 데이터 액세스 감사 로그 항목 내 protoPayload는 이전 버전과 호환됩니다. 하지만 신규 또는 이후 코드 애플리케이션에는 다음과 같은 권장되는 대체 필드가 사용됩니다.

권장 대체 필드	지원 중단된 필드	설명
`protoPayload.status.details`	`protoPayload.metadata`	`EXTERNAL`(즉, Cloud EKM) 키 작업의 오류 세부정보
`protoPayload.metadata.entries.caller_provided_context`	`protoPayload.request.caller_provided_context`	이 Cloud KMS 작업과 연결된 호출자의 컨텍스트입니다.

이 문서에서는 Cloud Key Management Service의 감사 로깅을 설명합니다. Google Cloud 서비스는 Google Cloud 리소스 내의 관리 및 액세스 활동을 기록하는 감사 로그를 생성합니다. Cloud 감사 로그에 대한 자세한 내용은 다음을 참조하세요.

서비스 이름

Cloud Key Management Service 감사 로그는 cloudkms.googleapis.com 서비스 이름을 사용합니다. 이 서비스에 대한 필터:

    protoPayload.serviceName="cloudkms.googleapis.com"

권한 유형별 메서드

각 IAM 권한에는 type 속성이 포함되며 그 값은 네 가지 값(ADMIN_READ, ADMIN_WRITE, DATA_READ, DATA_WRITE) 중 하나일 수 있는 열거형입니다. 메서드를 호출하면 Cloud Key Management Service에서 감사 로그를 생성합니다. 이 로그에서 카테고리는 메서드를 수행하는 데 필요한 권한의 type 속성에 종속됩니다. DATA_READ, DATA_WRITE, ADMIN_READ의 type 속성 값을 가진 IAM 권한이 필요한 메서드는 데이터 액세스 감사 로그를 생성합니다. type 속성 값이 ADMIN_WRITE인 IAM 권한이 필요한 메서드는 관리자 활동 감사 로그를 생성합니다.

다음 목록에서 (LRO)로 표시된 API 메서드는 장기 실행 작업 (LRO)입니다. 이러한 메서드는 일반적으로 감사 로그 항목을 두 개 생성합니다. 하나는 작업이 시작될 때, 다른 하나는 작업이 종료될 때입니다. 자세한 내용은 장기 실행 작업의 감사 로그를 참고하세요.

권한 유형	메서드
`ADMIN_READ`	`google.cloud.kms.v1.Autokey.GetKeyHandle` `google.cloud.kms.v1.Autokey.ListKeyHandles` `google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig` `google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig` `GetEkmConfig` `GetEkmConnection` `ListEkmConnections` `VerifyConnectivity` `GetCryptoKey` `GetCryptoKeyVersion` `GetImportJob` `GetKeyRing` `ListCryptoKeyVersions` `ListCryptoKeys` `ListImportJobs` `ListKeyRings` `GetIamPolicy` `GetOperation`
`ADMIN_WRITE`	`google.cloud.kms.v1.Autokey.CreateKeyHandle` (LRO) `google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig` `CreateEkmConnection` `UpdateEkmConfig` `UpdateEkmConnection` `CreateCryptoKey` `CreateCryptoKeyVersion` `CreateImportJob` `CreateKeyRing` `DestroyCryptoKeyVersion` `ImportCryptoKeyVersion` `RestoreCryptoKeyVersion` `UpdateCryptoKey` `UpdateCryptoKeyPrimaryVersion` `UpdateCryptoKeyVersion` `SetIamPolicy`
`DATA_READ`	`AsymmetricDecrypt` `AsymmetricSign` `Decrypt` `Encrypt` `GetPublicKey` `MacSign` `MacVerify` `RawDecrypt` `RawEncrypt`

API 인터페이스 감사 로그

각 메서드의 권한과 평가 방법에 대한 자세한 내용은 Cloud Key Management Service의 Identity and Access Management 문서를 참조하세요.

`google.cloud.kms.v1.Autokey`

다음 감사 로그는 google.cloud.kms.v1.Autokey에 속하는 메서드와 연결되어 있습니다.

`CreateKeyHandle`

메서드: google.cloud.kms.v1.Autokey.CreateKeyHandle
감사 로그 유형: 관리자 활동
권한:
- cloudkms.keyHandles.create - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 장기 실행 작업
이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"

`GetKeyHandle`

메서드: google.cloud.kms.v1.Autokey.GetKeyHandle
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.keyHandles.get - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"

`ListKeyHandles`

메서드: google.cloud.kms.v1.Autokey.ListKeyHandles
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.keyHandles.list - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"

`google.cloud.kms.v1.AutokeyAdmin`

다음 감사 로그는 google.cloud.kms.v1.AutokeyAdmin에 속하는 메서드와 연결되어 있습니다.

`GetAutokeyConfig`

메서드: google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.autokeyConfigs.get - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"

`ShowEffectiveAutokeyConfig`

메서드: google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"

`UpdateAutokeyConfig`

메서드: google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
감사 로그 유형: 관리자 활동
권한:
- cloudkms.autokeyConfigs.update - ADMIN_WRITE
- cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"

`google.cloud.kms.v1.EkmService`

다음 감사 로그는 google.cloud.kms.v1.EkmService에 속하는 메서드와 연결되어 있습니다.

`CreateEkmConnection`

메서드: CreateEkmConnection
감사 로그 유형: 관리자 활동
권한:
- cloudkms.ekmConnections.create - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="CreateEkmConnection"

`GetEkmConfig`

메서드: GetEkmConfig
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.ekmConfigs.get - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="GetEkmConfig"

`GetEkmConnection`

메서드: GetEkmConnection
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.ekmConnections.get - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="GetEkmConnection"

`ListEkmConnections`

메서드: ListEkmConnections
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.ekmConnections.list - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="ListEkmConnections"

`UpdateEkmConfig`

메서드: UpdateEkmConfig
감사 로그 유형: 관리자 활동
권한:
- cloudkms.ekmConfigs.update - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="UpdateEkmConfig"

`UpdateEkmConnection`

메서드: UpdateEkmConnection
감사 로그 유형: 관리자 활동
권한:
- cloudkms.ekmConnections.update - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="UpdateEkmConnection"

`VerifyConnectivity`

메서드: VerifyConnectivity
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="VerifyConnectivity"

`google.cloud.kms.v1.KeyManagementService`

다음 감사 로그는 google.cloud.kms.v1.KeyManagementService에 속하는 메서드와 연결되어 있습니다.

`AsymmetricDecrypt`

메서드: AsymmetricDecrypt
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="AsymmetricDecrypt"

`AsymmetricSign`

메서드: AsymmetricSign
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.cryptoKeyVersions.useToSign - DATA_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="AsymmetricSign"

`CreateCryptoKey`

메서드: CreateCryptoKey
감사 로그 유형: 관리자 활동
권한:
- cloudkms.cryptoKeys.create - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="CreateCryptoKey"

`CreateCryptoKeyVersion`

메서드: CreateCryptoKeyVersion
감사 로그 유형: 관리자 활동
권한:
- cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="CreateCryptoKeyVersion"

`CreateImportJob`

메서드: CreateImportJob
감사 로그 유형: 관리자 활동
권한:
- cloudkms.importJobs.create - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="CreateImportJob"

`CreateKeyRing`

메서드: CreateKeyRing
감사 로그 유형: 관리자 활동
권한:
- cloudkms.keyRings.create - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="CreateKeyRing"

`Decrypt`

메서드: Decrypt
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="Decrypt"

`DestroyCryptoKeyVersion`

메서드: DestroyCryptoKeyVersion
감사 로그 유형: 관리자 활동
권한:
- cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="DestroyCryptoKeyVersion"

`Encrypt`

메서드: Encrypt
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="Encrypt"

`GetCryptoKey`

메서드: GetCryptoKey
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.cryptoKeys.get - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="GetCryptoKey"

`GetCryptoKeyVersion`

메서드: GetCryptoKeyVersion
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.cryptoKeyVersions.get - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="GetCryptoKeyVersion"

`GetImportJob`

메서드: GetImportJob
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.importJobs.get - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="GetImportJob"

`GetKeyRing`

메서드: GetKeyRing
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.keyRings.get - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="GetKeyRing"

`GetPublicKey`

메서드: GetPublicKey
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="GetPublicKey"

`ImportCryptoKeyVersion`

메서드: ImportCryptoKeyVersion
감사 로그 유형: 관리자 활동
권한:
- cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
- cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
- cloudkms.importJobs.useToImport - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="ImportCryptoKeyVersion"

`ListCryptoKeyVersions`

메서드: ListCryptoKeyVersions
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.cryptoKeyVersions.list - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="ListCryptoKeyVersions"

`ListCryptoKeys`

메서드: ListCryptoKeys
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.cryptoKeys.list - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="ListCryptoKeys"

`ListImportJobs`

메서드: ListImportJobs
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.importJobs.list - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="ListImportJobs"

`ListKeyRings`

메서드: ListKeyRings
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.keyRings.list - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="ListKeyRings"

`MacSign`

메서드: MacSign
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.cryptoKeyVersions.useToSign - DATA_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="MacSign"

`MacVerify`

메서드: MacVerify
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="MacVerify"

`RawDecrypt`

메서드: RawDecrypt
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="RawDecrypt"

`RawEncrypt`

메서드: RawEncrypt
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="RawEncrypt"

`RestoreCryptoKeyVersion`

메서드: RestoreCryptoKeyVersion
감사 로그 유형: 관리자 활동
권한:
- cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="RestoreCryptoKeyVersion"

`UpdateCryptoKey`

메서드: UpdateCryptoKey
감사 로그 유형: 관리자 활동
권한:
- cloudkms.cryptoKeys.update - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="UpdateCryptoKey"

`UpdateCryptoKeyPrimaryVersion`

메서드: UpdateCryptoKeyPrimaryVersion
감사 로그 유형: 관리자 활동
권한:
- cloudkms.cryptoKeys.update - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"

`UpdateCryptoKeyVersion`

메서드: UpdateCryptoKeyVersion
감사 로그 유형: 관리자 활동
권한:
- cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="UpdateCryptoKeyVersion"

`google.iam.v1.IAMPolicy`

다음 감사 로그는 google.iam.v1.IAMPolicy에 속하는 메서드와 연결되어 있습니다.

`GetIamPolicy`

메서드: GetIamPolicy
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
- cloudkms.keyRings.getIamPolicy - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="GetIamPolicy"

`SetIamPolicy`

메서드: SetIamPolicy
감사 로그 유형: 관리자 활동
권한:
- cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
- cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="SetIamPolicy"

`google.longrunning.Operations`

다음 감사 로그는 google.longrunning.Operations에 속하는 메서드와 연결되어 있습니다.

`GetOperation`

메서드: GetOperation
감사 로그 유형: 데이터 액세스
권한:
- cloudkms.operations.get - ADMIN_READ
메서드가 장기 실행 또는 스트리밍 작업인지 여부: 아니요.
이 메서드에 대한 필터:: protoPayload.methodName="GetOperation"

감사 로그를 생성하지 않는 메서드

메서드는 다음 중 하나 이상의 이유로 인해 감사 로그를 생성하지 않을 수 있습니다.

상당한 로그 생성 및 스토리지 비용이 포함된 대용량 메서드입니다.
감사 값이 낮습니다.
또 다른 감사 또는 플랫폼 로그에서 이미 메서드 범위를 제공합니다.

다음 메서드는 감사 로그를 생성하지 않습니다.

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
google.cloud.location.Locations.GetLocation
google.cloud.location.Locations.ListLocations

Cloud Key Management Service 감사 로깅 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

서비스 이름

권한 유형별 메서드

API 인터페이스 감사 로그

google.cloud.kms.v1.Autokey

CreateKeyHandle

GetKeyHandle

ListKeyHandles

google.cloud.kms.v1.AutokeyAdmin

GetAutokeyConfig

ShowEffectiveAutokeyConfig

UpdateAutokeyConfig

google.cloud.kms.v1.EkmService

CreateEkmConnection

GetEkmConfig

GetEkmConnection

ListEkmConnections

UpdateEkmConfig

UpdateEkmConnection

VerifyConnectivity

google.cloud.kms.v1.KeyManagementService

AsymmetricDecrypt

AsymmetricSign

CreateCryptoKey

CreateCryptoKeyVersion

CreateImportJob

CreateKeyRing

Decrypt

DestroyCryptoKeyVersion

Encrypt

GetCryptoKey

GetCryptoKeyVersion

GetImportJob

GetKeyRing

GetPublicKey

ImportCryptoKeyVersion

ListCryptoKeyVersions

ListCryptoKeys

ListImportJobs

ListKeyRings

MacSign

MacVerify

RawDecrypt

RawEncrypt

RestoreCryptoKeyVersion

UpdateCryptoKey

UpdateCryptoKeyPrimaryVersion

UpdateCryptoKeyVersion

google.iam.v1.IAMPolicy

GetIamPolicy

SetIamPolicy

google.longrunning.Operations

GetOperation