Este documento lista os métodos auditados do serviço de inventário do Cloud KMS.Os serviços Cloud de Confiance by S3NS geram registros de auditoria das atividades administrativas e dos acessos nos Cloud de Confiance by S3NS recursos. Para mais informações sobre os Registros de Auditoria do Cloud, confira:
- Tipos de registros de auditoria
- Estrutura da entrada de registro de auditoria
- Como armazenar e rotear registros de auditoria
- Resumo dos preços do Cloud Logging
- Ativar registros de auditoria de acesso a dados
Nome do serviço
Para visualizar os registros de auditoria do serviço de inventário do Cloud KMS, faça o seguinte:
No Cloud de Confiance console do, acesse a página Análise de registros:
Copie e cole a consulta a seguir no campo Consulta do Análise de registros e clique em Executar consulta.
protoPayload.serviceName="kmsinventory.googleapis.com"
Métodos por tipo de permissão
Cada permissão do IAM tem uma propriedade type, com um tipo enumerado que pode ser um dos quatro seguintes valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando você chama um método, o serviço de inventário do Cloud KMS gera um registro de auditoria com uma categoria dependente da propriedade type da permissão necessária para executar o método.
Métodos que exigem uma permissão do IAM com o valor da propriedade type
de DATA_READ, DATA_WRITE ou ADMIN_READ geram
registros de auditoria de acesso aos dados.
Métodos que exigem uma permissão do IAM com o valor da propriedade type
de ADMIN_WRITE geram
registros de auditoria de atividade do administrador.
| Tipo de permissão | Métodos |
|---|---|
OTHER |
google.cloud.kms.inventory.v1.KeyDashboardService.ListCryptoKeys: para ativar esse registro, ative ADMIN_READ no serviço cloudkms.googleapis.com.google.cloud.kms.inventory.v1.KeyTrackingService.GetProtectedResourcesSummary: para ativar esse registro, ative ADMIN_READ no serviço cloudkms.googleapis.com.google.cloud.kms.inventory.v1.KeyTrackingService.SearchProtectedResources: para ativar esse registro, ative ADMIN_READ no serviço cloudkms.googleapis.com. |
Registros de auditoria da interface da API
Para saber como e quais permissões são avaliadas para cada método, consulte a documentação do Identity and Access Management para o serviço de inventário do Cloud KMS.
google.cloud.kms.inventory.v1.KeyDashboardService
Os registros de auditoria a seguir estão associados a métodos que pertencem a google.cloud.kms.inventory.v1.KeyDashboardService.
ListCryptoKeys
- Método:
google.cloud.kms.inventory.v1.KeyDashboardService.ListCryptoKeys - Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeys.list - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="google.cloud.kms.inventory.v1.KeyDashboardService.ListCryptoKeys"
google.cloud.kms.inventory.v1.KeyTrackingService
Os registros de auditoria a seguir estão associados a métodos que pertencem a
google.cloud.kms.inventory.v1.KeyTrackingService.
GetProtectedResourcesSummary
- Método:
google.cloud.kms.inventory.v1.KeyTrackingService.GetProtectedResourcesSummary - Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeys.get - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="google.cloud.kms.inventory.v1.KeyTrackingService.GetProtectedResourcesSummary"
SearchProtectedResources
- Método:
google.cloud.kms.inventory.v1.KeyTrackingService.SearchProtectedResources - Tipo de registro de auditoria: acesso a dados
- Permissões:
cloudkms.cryptoKeys.get - ADMIN_READcloudkms.protectedResources.search - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="google.cloud.kms.inventory.v1.KeyTrackingService.SearchProtectedResources"