Audit-Logging für Dienstkonto-Anmeldedaten

In diesem Dokument werden die geprüften Methoden für Dienstkontoanmeldedaten aufgeführt. Google Cloud Dienste generieren Audit-Logs, in denen Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud Ressourcen aufgezeichnet werden. Weitere Informationen zu Cloud-Audit-Logs finden Sie unter den folgenden Links:

• Typen von Audit-Logs
• Struktur von Audit-Logeinträgen
• Audit-Logs speichern und weiterleiten
• Preisübersicht für Cloud Logging
• Audit-Logs zum Datenzugriff aktivieren

Dienstname

So rufen Sie die Audit-Logs für Dienstkontoanmeldedaten auf:

1. Rufen Sie in der Google Cloud Console die Seite „Log-Explorer“ auf:

   Zum Log-Explorer

2. Kopieren Sie die folgende Abfrage und fügen Sie sie in das Feld Abfrage des Log-Explorers ein. Klicken Sie dann auf Abfrage ausführen.

       protoPayload.serviceName="iamcredentials.googleapis.com"
     

Methoden nach Berechtigungstyp

Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert ein Enum ist, der einen der folgenden vier Werte haben kann: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, generiert Service Account Credentials ein Audit-Log, dessen Kategorie vom type-Attribut der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.

API-Methoden in der folgenden Liste, die mit (LRO) gekennzeichnet sind, sind Vorgänge mit langer Ausführungszeit. Diese Methoden generieren in der Regel zwei Audit-Log-Einträge: einen beim Starten und einen beim Beenden des Vorgangs. Weitere Informationen finden Sie unter Audit-Logs für Vorgänge mit langer Ausführungszeit.

Berechtigungstyp	Methoden
ADMIN_READ	SignJwt (LRO)
DATA_READ	GenerateAccessToken (LRO) GenerateIdToken (LRO) SignBlob (LRO) SignJwt (LRO)

Audit-Logs der API-Schnittstelle

Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation zu Identity and Access Management für Service Account Credentials.

google.iam.credentials.v1.IAMCredentials

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.credentials.v1.IAMCredentials gehören.

GenerateAccessToken

• Methode: GenerateAccessToken
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • iam.serviceAccounts.getAccessToken - DATA_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  
• Filter für diese Methode: protoPayload.methodName="GenerateAccessToken"
  

GenerateIdToken

• Methode: GenerateIdToken
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • iam.serviceAccounts.getAccessToken - DATA_READ
  • iam.serviceAccounts.getOpenIdToken - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  
• Filter für diese Methode: protoPayload.methodName="GenerateIdToken"
  

SignBlob

• Methode: SignBlob
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • iam.serviceAccounts.getAccessToken - DATA_READ
  • iam.serviceAccounts.signBlob - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  
• Filter für diese Methode: protoPayload.methodName="SignBlob"
  

SignJwt

• Methode: SignJwt
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • iam.serviceAccounts.getAccessToken - DATA_READ
  • iam.serviceAccounts.signJwt - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  
• Filter für diese Methode: protoPayload.methodName="SignJwt"