Audit logging di Cloud Key Management Service

Cloud Key Management Service sta aggiornando il formato del campo protoPayload nelle voci di audit log di accesso ai dati. Durante il periodo di migrazione, il protoPayload all'interno delle voci degli audit log di accesso ai dati rimarrà compatibile con le versioni precedenti. Tuttavia, le applicazioni di codici nuove o future devono utilizzare i campi di sostituzione consigliati come segue:

Campo di sostituzione consigliato Campo deprecato Descrizione
protoPayload.status.details protoPayload.metadata Dettaglio errore per EXTERNAL (ad es. Cloud EKM).
protoPayload.metadata.entries.caller_provided_context protoPayload.request.caller_provided_context Contesto del chiamante associato a questa operazione Cloud KMS.


Questo documento descrive l'audit logging per Cloud Key Management Service. Google Cloud i servizi generano audit log che registrano le attività amministrative e di accesso all'interno delle tue Google Cloud risorse. Per ulteriori informazioni su Cloud Audit Logs, consulta quanto segue:

Nome servizio

Gli audit log di Cloud Key Management Service utilizzano il nome servizio cloudkms.googleapis.com. Filtra per questo servizio: 

    protoPayload.serviceName="cloudkms.googleapis.com"

Metodi per tipo di autorizzazione

Ogni autorizzazione IAM ha una proprietà type, il cui valore è un enum che può essere uno dei quattro valori: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Quando chiami un metodo, Cloud Key Management Service genera un audit log la cui categoria dipende dalla proprietà type dell'autorizzazione richiesta per eseguire il metodo. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type corrispondente a DATA_READ, DATA_WRITE o ADMIN_READ generano audit log degli Accessi ai dati. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type ADMIN_WRITE generano audit log delle Attività di amministrazione.

I metodi API nel seguente elenco contrassegnati con (LRO) sono operazioni a lunga esecuzione (LRO). Questi metodi in genere generano due voci del log di controllo: una all'inizio dell'operazione e un'altra al termine. Per saperne di più, consulta Audit log per le operazioni a lunga esecuzione.
Tipo di autorizzazione Metodi
ADMIN_READ google.cloud.kms.v1.Autokey.GetKeyHandle
google.cloud.kms.v1.Autokey.ListKeyHandles
google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
GetEkmConfig
GetEkmConnection
ListEkmConnections
VerifyConnectivity
GetCryptoKey
GetCryptoKeyVersion
GetImportJob
GetKeyRing
ListCryptoKeyVersions
ListCryptoKeys
ListImportJobs
ListKeyRings
GetIamPolicy
GetOperation
ADMIN_WRITE google.cloud.kms.v1.Autokey.CreateKeyHandle (LRO)
google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
CreateEkmConnection
UpdateEkmConfig
UpdateEkmConnection
CreateCryptoKey
CreateCryptoKeyVersion
CreateImportJob
CreateKeyRing
DestroyCryptoKeyVersion
ImportCryptoKeyVersion
RestoreCryptoKeyVersion
UpdateCryptoKey
UpdateCryptoKeyPrimaryVersion
UpdateCryptoKeyVersion
SetIamPolicy
DATA_READ AsymmetricDecrypt
AsymmetricSign
Decrypt
Encrypt
GetPublicKey
MacSign
MacVerify
RawDecrypt
RawEncrypt

Audit log dell'interfaccia API

Per informazioni su come e quali autorizzazioni vengono valutate per ogni metodo, consulta la documentazione di Identity and Access Management per Cloud Key Management Service.

google.cloud.kms.v1.Autokey

I seguenti audit log sono associati ai metodi appartenenti a google.cloud.kms.v1.Autokey.

CreateKeyHandle

  • Metodo: google.cloud.kms.v1.Autokey.CreateKeyHandle
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.keyHandles.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: Operazione a lunga esecuzione
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"

GetKeyHandle

  • Metodo: google.cloud.kms.v1.Autokey.GetKeyHandle
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.keyHandles.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"

ListKeyHandles

  • Metodo: google.cloud.kms.v1.Autokey.ListKeyHandles
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.keyHandles.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"

google.cloud.kms.v1.AutokeyAdmin

I seguenti audit log sono associati ai metodi appartenenti a google.cloud.kms.v1.AutokeyAdmin.

GetAutokeyConfig

  • Metodo: google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.autokeyConfigs.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"

ShowEffectiveAutokeyConfig

  • Metodo: google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"

UpdateAutokeyConfig

  • Metodo: google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.autokeyConfigs.update - ADMIN_WRITE
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"

google.cloud.kms.v1.EkmService

I seguenti audit log sono associati ai metodi appartenenti a google.cloud.kms.v1.EkmService.

CreateEkmConnection

  • Metodo: CreateEkmConnection
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.ekmConnections.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="CreateEkmConnection"

GetEkmConfig

  • Metodo: GetEkmConfig
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.ekmConfigs.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="GetEkmConfig"

GetEkmConnection

  • Metodo: GetEkmConnection
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.ekmConnections.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="GetEkmConnection"

ListEkmConnections

  • Metodo: ListEkmConnections
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.ekmConnections.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="ListEkmConnections"

UpdateEkmConfig

  • Metodo: UpdateEkmConfig
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.ekmConfigs.update - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="UpdateEkmConfig"

UpdateEkmConnection

  • Metodo: UpdateEkmConnection
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.ekmConnections.update - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="UpdateEkmConnection"

VerifyConnectivity

  • Metodo: VerifyConnectivity
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="VerifyConnectivity"

google.cloud.kms.v1.KeyManagementService

I seguenti audit log sono associati ai metodi appartenenti a google.cloud.kms.v1.KeyManagementService.

AsymmetricDecrypt

  • Metodo: AsymmetricDecrypt
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="AsymmetricDecrypt"

AsymmetricSign

  • Metodo: AsymmetricSign
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="AsymmetricSign"

CreateCryptoKey

  • Metodo: CreateCryptoKey
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeys.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="CreateCryptoKey"

CreateCryptoKeyVersion

  • Metodo: CreateCryptoKeyVersion
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="CreateCryptoKeyVersion"

CreateImportJob

  • Metodo: CreateImportJob
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.importJobs.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="CreateImportJob"

CreateKeyRing

  • Metodo: CreateKeyRing
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.keyRings.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="CreateKeyRing"

Decrypt

  • Metodo: Decrypt
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="Decrypt"

DestroyCryptoKeyVersion

  • Metodo: DestroyCryptoKeyVersion
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="DestroyCryptoKeyVersion"

Encrypt

  • Metodo: Encrypt
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="Encrypt"

GetCryptoKey

  • Metodo: GetCryptoKey
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeys.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="GetCryptoKey"

GetCryptoKeyVersion

  • Metodo: GetCryptoKeyVersion
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="GetCryptoKeyVersion"

GetImportJob

  • Metodo: GetImportJob
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.importJobs.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="GetImportJob"

GetKeyRing

  • Metodo: GetKeyRing
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.keyRings.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="GetKeyRing"

GetPublicKey

  • Metodo: GetPublicKey
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="GetPublicKey"

ImportCryptoKeyVersion

  • Metodo: ImportCryptoKeyVersion
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
    • cloudkms.importJobs.useToImport - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="ImportCryptoKeyVersion"

ListCryptoKeyVersions

  • Metodo: ListCryptoKeyVersions
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="ListCryptoKeyVersions"

ListCryptoKeys

  • Metodo: ListCryptoKeys
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeys.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="ListCryptoKeys"

ListImportJobs

  • Metodo: ListImportJobs
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.importJobs.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="ListImportJobs"

ListKeyRings

  • Metodo: ListKeyRings
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.keyRings.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="ListKeyRings"

MacSign

  • Metodo: MacSign
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="MacSign"

MacVerify

  • Metodo: MacVerify
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="MacVerify"

RawDecrypt

  • Metodo: RawDecrypt
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="RawDecrypt"

RawEncrypt

  • Metodo: RawEncrypt
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="RawEncrypt"

RestoreCryptoKeyVersion

  • Metodo: RestoreCryptoKeyVersion
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="RestoreCryptoKeyVersion"

UpdateCryptoKey

  • Metodo: UpdateCryptoKey
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="UpdateCryptoKey"

UpdateCryptoKeyPrimaryVersion

  • Metodo: UpdateCryptoKeyPrimaryVersion
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeys.update - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"

UpdateCryptoKeyVersion

  • Metodo: UpdateCryptoKeyVersion
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="UpdateCryptoKeyVersion"

google.iam.v1.IAMPolicy

I seguenti audit log sono associati ai metodi appartenenti a google.iam.v1.IAMPolicy.

GetIamPolicy

  • Metodo: GetIamPolicy
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
    • cloudkms.keyRings.getIamPolicy - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="GetIamPolicy"

SetIamPolicy

  • Metodo: SetIamPolicy
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
    • cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="SetIamPolicy"

google.longrunning.Operations

I seguenti audit log sono associati ai metodi appartenenti a google.longrunning.Operations.

GetOperation

  • Metodo: GetOperation
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudkms.operations.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="GetOperation"

Metodi che non generano audit log

Un metodo potrebbe non generare audit log per uno o più dei seguenti motivi:

  • Si tratta di un metodo ad alto volume che comporta costi significativi per la generazione e l'archiviazione dei log.
  • Ha un valore di auditing basso.
  • Un altro audit log o log della piattaforma fornisce già la copertura del metodo.

I seguenti metodi non generano audit log:

  • google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
  • google.cloud.location.Locations.GetLocation
  • google.cloud.location.Locations.ListLocations