Cloud Key Management Service の監査ロギング

Cloud Key Management Service は、データアクセス監査ログエントリの protoPayload フィールドの形式を更新します。移行期間中、データアクセス監査ログエントリ内の protoPayload には下位互換性があります。ただし、新規または将来のコード アプリケーションでは、以下のような推奨の置換フィールドを使用する必要があります。

推奨される置換フィールド	サポートが終了したフィールド	説明
protoPayload.status.details	protoPayload.metadata	EXTERNAL のエラー詳細（即ち、Cloud EKM）鍵オペレーション。
protoPayload.metadata.entries.caller_provided_context	protoPayload.request.caller_provided_context	この Cloud KMS オペレーションに関連付けられた呼び出し元のコンテキスト。

このドキュメントでは、Cloud Key Management Service の監査対象メソッドを一覧表示します。 Cloud de Confiance by S3NS サービスは、 Cloud de Confiance by S3NS リソース内の管理アクティビティとアクセス アクティビティを記録する監査ログを生成します。Cloud Audit Logs の詳細については、以下をご覧ください。

• 監査ログの種類
• 監査ログエントリの構造
• 監査ログの保存とルーティング
• Cloud Logging の料金概要
• データアクセス監査ログを有効にする

サービス名

Cloud Key Management Service の監査ログを表示する手順は次のとおりです。

1. Cloud de Confiance コンソールで、[ログ エクスプローラ] ページに移動します。

   [ログ エクスプローラ] に移動

2. 次のクエリをコピーして、ログ エクスプローラの [クエリ] フィールドに貼り付け、[クエリを実行] をクリックします。

       protoPayload.serviceName="cloudkms.googleapis.com"
     

メソッド（権限タイプ別）

各 IAM 権限には type プロパティがあります。このプロパティの値は列挙型で、ADMIN_READ、ADMIN_WRITE、DATA_READ、DATA_WRITE のいずれかになります。メソッドを呼び出すと、Cloud Key Management Service によって監査ログが生成されます。監査ログのカテゴリは、そのメソッドの実行に必要な権限の type プロパティによって決まります。type プロパティ値が DATA_READ、DATA_WRITE、または ADMIN_READ の IAM 権限を必要とするメソッドは、データアクセス監査ログを生成します。type プロパティ値が ADMIN_WRITE の IAM 権限を必要とするメソッドは、管理アクティビティ監査ログを生成します。

次のリスト中の（LRO）と付記されている API メソッドは、長時間実行オペレーション（LRO）です。これらのメソッドは、通常、2 つの監査ログエントリを生成します。一つはオペレーションの開始時、もう一つは終了時に生成されます。詳細については、長時間実行オペレーションの監査ログをご覧ください。

権限タイプ	メソッド
ADMIN_READ	google.cloud.kms.v1.Autokey.GetKeyHandle google.cloud.kms.v1.Autokey.ListKeyHandles google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig GetEkmConfig GetEkmConnection ListEkmConnections VerifyConnectivity google.cloud.kms.v1.HsmManagement.GetSingleTenantHsmInstance google.cloud.kms.v1.HsmManagement.GetSingleTenantHsmInstanceProposal google.cloud.kms.v1.HsmManagement.ListSingleTenantHsmInstanceProposals google.cloud.kms.v1.HsmManagement.ListSingleTenantHsmInstances google.cloud.kms.v1.KeyAccessJustificationsConfig.GetKeyAccessJustificationsPolicyConfig google.cloud.kms.v1.KeyAccessJustificationsConfig.ShowEffectiveKeyAccessJustificationsEnrollmentConfig google.cloud.kms.v1.KeyAccessJustificationsConfig.ShowEffectiveKeyAccessJustificationsPolicyConfig GetCryptoKey GetCryptoKeyVersion GetImportJob GetKeyRing GetRetiredResource ListCryptoKeyVersions ListCryptoKeys ListImportJobs ListKeyRings ListRetiredResources GetIamPolicy GetOperation
ADMIN_WRITE	google.cloud.kms.v1.Autokey.CreateKeyHandle（LRO） google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig CreateEkmConnection UpdateEkmConfig UpdateEkmConnection google.cloud.kms.v1.HsmManagement.ApproveSingleTenantHsmInstanceProposal google.cloud.kms.v1.HsmManagement.CreateSingleTenantHsmInstance（LRO） google.cloud.kms.v1.HsmManagement.CreateSingleTenantHsmInstanceProposal（LRO） google.cloud.kms.v1.HsmManagement.DeleteSingleTenantHsmInstanceProposal google.cloud.kms.v1.HsmManagement.ExecuteSingleTenantHsmInstanceProposal（LRO） google.cloud.kms.v1.KeyAccessJustificationsConfig.UpdateKeyAccessJustificationsPolicyConfig CreateCryptoKey CreateCryptoKeyVersion CreateImportJob CreateKeyRing DeleteCryptoKey DeleteCryptoKeyVersion DestroyCryptoKeyVersion ImportCryptoKeyVersion RestoreCryptoKeyVersion UpdateCryptoKey UpdateCryptoKeyPrimaryVersion UpdateCryptoKeyVersion SetIamPolicy
DATA_READ	AsymmetricDecrypt AsymmetricSign Decapsulate Decrypt Encrypt GetPublicKey MacSign MacVerify RawDecrypt RawEncrypt

API インターフェースの監査ログ

各メソッドで評価される権限と評価方法の詳細については、Cloud Key Management Service の Identity and Access Management のドキュメントをご覧ください。

google.cloud.kms.v1.Autokey

次の監査ログは、google.cloud.kms.v1.Autokey に属するメソッドに関連付けられています。

CreateKeyHandle

• メソッド: google.cloud.kms.v1.Autokey.CreateKeyHandle
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.keyHandles.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.Autokey.CreateKeyHandle"
  

GetKeyHandle

• メソッド: google.cloud.kms.v1.Autokey.GetKeyHandle
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.keyHandles.get - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.Autokey.GetKeyHandle"
  

ListKeyHandles

• メソッド: google.cloud.kms.v1.Autokey.ListKeyHandles
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.keyHandles.list - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.Autokey.ListKeyHandles"
  

google.cloud.kms.v1.AutokeyAdmin

次の監査ログは、google.cloud.kms.v1.AutokeyAdmin に属するメソッドに関連付けられています。

GetAutokeyConfig

• メソッド: google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.autokeyConfigs.get - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.GetAutokeyConfig"
  

ShowEffectiveAutokeyConfig

• メソッド: google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.projects.showEffectiveAutokeyConfig - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.ShowEffectiveAutokeyConfig"
  

UpdateAutokeyConfig

• メソッド: google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.autokeyConfigs.update - ADMIN_WRITE
  • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.AutokeyAdmin.UpdateAutokeyConfig"
  

google.cloud.kms.v1.EkmService

次の監査ログは、google.cloud.kms.v1.EkmService に属するメソッドに関連付けられています。

CreateEkmConnection

• メソッド: CreateEkmConnection
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.ekmConnections.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="CreateEkmConnection"
  

GetEkmConfig

• メソッド: GetEkmConfig
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.ekmConfigs.get - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="GetEkmConfig"
  

GetEkmConnection

• メソッド: GetEkmConnection
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.ekmConnections.get - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="GetEkmConnection"
  

ListEkmConnections

• メソッド: ListEkmConnections
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.ekmConnections.list - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="ListEkmConnections"
  

UpdateEkmConfig

• メソッド: UpdateEkmConfig
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.ekmConfigs.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="UpdateEkmConfig"
  

UpdateEkmConnection

• メソッド: UpdateEkmConnection
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.ekmConnections.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="UpdateEkmConnection"
  

VerifyConnectivity

• メソッド: VerifyConnectivity
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.ekmConnections.verifyConnectivity - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="VerifyConnectivity"
  

google.cloud.kms.v1.HsmManagement

次の監査ログは、google.cloud.kms.v1.HsmManagement に属するメソッドに関連付けられています。

ApproveSingleTenantHsmInstanceProposal

• メソッド: google.cloud.kms.v1.HsmManagement.ApproveSingleTenantHsmInstanceProposal
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.singleTenantHsmInstanceProposals.approve - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.HsmManagement.ApproveSingleTenantHsmInstanceProposal"
  

CreateSingleTenantHsmInstance

• メソッド: google.cloud.kms.v1.HsmManagement.CreateSingleTenantHsmInstance
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.singleTenantHsmInstances.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.HsmManagement.CreateSingleTenantHsmInstance"
  

CreateSingleTenantHsmInstanceProposal

• メソッド: google.cloud.kms.v1.HsmManagement.CreateSingleTenantHsmInstanceProposal
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.singleTenantHsmInstanceProposals.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.HsmManagement.CreateSingleTenantHsmInstanceProposal"
  

DeleteSingleTenantHsmInstanceProposal

• メソッド: google.cloud.kms.v1.HsmManagement.DeleteSingleTenantHsmInstanceProposal
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.singleTenantHsmInstanceProposals.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.HsmManagement.DeleteSingleTenantHsmInstanceProposal"
  

ExecuteSingleTenantHsmInstanceProposal

• メソッド: google.cloud.kms.v1.HsmManagement.ExecuteSingleTenantHsmInstanceProposal
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.singleTenantHsmInstanceProposals.execute - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: 長時間実行オペレーション
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.HsmManagement.ExecuteSingleTenantHsmInstanceProposal"
  

GetSingleTenantHsmInstance

• メソッド: google.cloud.kms.v1.HsmManagement.GetSingleTenantHsmInstance
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.singleTenantHsmInstances.get - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.HsmManagement.GetSingleTenantHsmInstance"
  

GetSingleTenantHsmInstanceProposal

• メソッド: google.cloud.kms.v1.HsmManagement.GetSingleTenantHsmInstanceProposal
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.singleTenantHsmInstanceProposals.get - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.HsmManagement.GetSingleTenantHsmInstanceProposal"
  

ListSingleTenantHsmInstanceProposals

• メソッド: google.cloud.kms.v1.HsmManagement.ListSingleTenantHsmInstanceProposals
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.singleTenantHsmInstanceProposals.list - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.HsmManagement.ListSingleTenantHsmInstanceProposals"
  

ListSingleTenantHsmInstances

• メソッド: google.cloud.kms.v1.HsmManagement.ListSingleTenantHsmInstances
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.singleTenantHsmInstances.list - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.HsmManagement.ListSingleTenantHsmInstances"
  

google.cloud.kms.v1.KeyAccessJustificationsConfig

次の監査ログは、google.cloud.kms.v1.KeyAccessJustificationsConfig に属するメソッドに関連付けられています。

GetKeyAccessJustificationsPolicyConfig

• メソッド: google.cloud.kms.v1.KeyAccessJustificationsConfig.GetKeyAccessJustificationsPolicyConfig
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.kajPolicyConfigs.get - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.KeyAccessJustificationsConfig.GetKeyAccessJustificationsPolicyConfig"
  

ShowEffectiveKeyAccessJustificationsEnrollmentConfig

• メソッド: google.cloud.kms.v1.KeyAccessJustificationsConfig.ShowEffectiveKeyAccessJustificationsEnrollmentConfig
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.projects.showEffectiveKajEnrollmentConfig - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.KeyAccessJustificationsConfig.ShowEffectiveKeyAccessJustificationsEnrollmentConfig"
  

ShowEffectiveKeyAccessJustificationsPolicyConfig

• メソッド: google.cloud.kms.v1.KeyAccessJustificationsConfig.ShowEffectiveKeyAccessJustificationsPolicyConfig
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.projects.showEffectiveKajPolicyConfig - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.KeyAccessJustificationsConfig.ShowEffectiveKeyAccessJustificationsPolicyConfig"
  

UpdateKeyAccessJustificationsPolicyConfig

• メソッド: google.cloud.kms.v1.KeyAccessJustificationsConfig.UpdateKeyAccessJustificationsPolicyConfig
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.kajPolicyConfigs.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="google.cloud.kms.v1.KeyAccessJustificationsConfig.UpdateKeyAccessJustificationsPolicyConfig"
  

google.cloud.kms.v1.KeyManagementService

次の監査ログは、google.cloud.kms.v1.KeyManagementService に属するメソッドに関連付けられています。

AsymmetricDecrypt

• メソッド: AsymmetricDecrypt
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="AsymmetricDecrypt"
  

AsymmetricSign

• メソッド: AsymmetricSign
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="AsymmetricSign"
  

CreateCryptoKey

• メソッド: CreateCryptoKey
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.cryptoKeys.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="CreateCryptoKey"
  

CreateCryptoKeyVersion

• メソッド: CreateCryptoKeyVersion
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="CreateCryptoKeyVersion"
  

CreateImportJob

• メソッド: CreateImportJob
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.importJobs.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="CreateImportJob"
  

CreateKeyRing

• メソッド: CreateKeyRing
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.keyRings.create - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="CreateKeyRing"
  

Decapsulate

• メソッド: Decapsulate
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeyVersions.useToDecapsulate - DATA_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="Decapsulate"
  

Decrypt

• メソッド: Decrypt
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="Decrypt"
  

DeleteCryptoKey

• メソッド: DeleteCryptoKey
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.cryptoKeys.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="DeleteCryptoKey"
  

DeleteCryptoKeyVersion

• メソッド: DeleteCryptoKeyVersion
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.cryptoKeyVersions.delete - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="DeleteCryptoKeyVersion"
  

DestroyCryptoKeyVersion

• メソッド: DestroyCryptoKeyVersion
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.cryptoKeyVersions.destroy - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="DestroyCryptoKeyVersion"
  

Encrypt

• メソッド: Encrypt
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="Encrypt"
  

GetCryptoKey

• メソッド: GetCryptoKey
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeys.get - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="GetCryptoKey"
  

GetCryptoKeyVersion

• メソッド: GetCryptoKeyVersion
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeyVersions.get - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="GetCryptoKeyVersion"
  

GetImportJob

• メソッド: GetImportJob
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.importJobs.get - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="GetImportJob"
  

GetKeyRing

• メソッド: GetKeyRing
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.keyRings.get - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="GetKeyRing"
  

GetPublicKey

• メソッド: GetPublicKey
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeyVersions.viewPublicKey - DATA_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="GetPublicKey"
  

GetRetiredResource

• メソッド: GetRetiredResource
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.retiredResources.get - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="GetRetiredResource"
  

ImportCryptoKeyVersion

• メソッド: ImportCryptoKeyVersion
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.cryptoKeyVersions.create - ADMIN_WRITE
  • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
  • cloudkms.importJobs.useToImport - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="ImportCryptoKeyVersion"
  

ListCryptoKeyVersions

• メソッド: ListCryptoKeyVersions
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeyVersions.list - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="ListCryptoKeyVersions"
  

ListCryptoKeys

• メソッド: ListCryptoKeys
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeys.list - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="ListCryptoKeys"
  

ListImportJobs

• メソッド: ListImportJobs
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.importJobs.list - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="ListImportJobs"
  

ListKeyRings

• メソッド: ListKeyRings
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.keyRings.list - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="ListKeyRings"
  

ListRetiredResources

• メソッド: ListRetiredResources
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.retiredResources.list - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="ListRetiredResources"
  

MacSign

• メソッド: MacSign
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeyVersions.useToSign - DATA_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="MacSign"
  

MacVerify

• メソッド: MacVerify
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeyVersions.useToVerify - DATA_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="MacVerify"
  

RawDecrypt

• メソッド: RawDecrypt
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeyVersions.useToDecrypt - DATA_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="RawDecrypt"
  

RawEncrypt

• メソッド: RawEncrypt
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeyVersions.useToEncrypt - DATA_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="RawEncrypt"
  

RestoreCryptoKeyVersion

• メソッド: RestoreCryptoKeyVersion
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.cryptoKeyVersions.restore - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="RestoreCryptoKeyVersion"
  

UpdateCryptoKey

• メソッド: UpdateCryptoKey
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.cryptoKeys.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="UpdateCryptoKey"
  

UpdateCryptoKeyPrimaryVersion

• メソッド: UpdateCryptoKeyPrimaryVersion
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.cryptoKeys.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="UpdateCryptoKeyPrimaryVersion"
  

UpdateCryptoKeyVersion

• メソッド: UpdateCryptoKeyVersion
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.cryptoKeyVersions.update - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="UpdateCryptoKeyVersion"
  

google.iam.v1.IAMPolicy

次の監査ログは、google.iam.v1.IAMPolicy に属するメソッドに関連付けられています。

GetIamPolicy

• メソッド: GetIamPolicy
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.cryptoKeys.getIamPolicy - ADMIN_READ
  • cloudkms.keyRings.getIamPolicy - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="GetIamPolicy"
  

SetIamPolicy

• メソッド: SetIamPolicy
  
• 監査ログのタイプ: 管理アクティビティ
  
• 権限:
  • cloudkms.cryptoKeys.setIamPolicy - ADMIN_WRITE
  • cloudkms.keyRings.setIamPolicy - ADMIN_WRITE
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="SetIamPolicy"
  

google.longrunning.Operations

次の監査ログは、google.longrunning.Operations に属するメソッドに関連付けられています。

GetOperation

• メソッド: GetOperation
  
• 監査ログのタイプ: データアクセス
  
• 権限:
  • cloudkms.operations.get - ADMIN_READ
• メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか: どちらでもない。
  
• このメソッドのフィルタ: protoPayload.methodName="GetOperation"
  

監査ログを生成しないメソッド

メソッドが監査ログを生成しない理由としては、次のいずれかが考えられます。

• ログを大量に生成し、かなりのストレージ費用が発生するメソッドである。
• 監査価値が低い。
• 別の監査ログまたはプラットフォーム ログでメソッド カバレッジがすでに提供されている。

次のメソッドは監査ログを生成しません。

• google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes
• google.cloud.location.Locations.GetLocation
• google.cloud.location.Locations.ListLocations