Registo de auditoria de credenciais da conta de serviço

Este documento descreve o registo de auditoria para credenciais de contas de serviço. Google Cloud Os serviços geram registos de auditoria que registam atividades administrativas e de acesso nos seus Google Cloud recursos. Para mais informações sobre os registos de auditoria do Cloud, consulte o seguinte:

Nome do serviço

Os registos de auditoria das credenciais da conta de serviço usam o nome do serviço iamcredentials.googleapis.com. Filtrar por este serviço: 

    protoPayload.serviceName="iamcredentials.googleapis.com"

Métodos por tipo de autorização

Cada autorização de IAM tem uma propriedade type, cujo valor é uma enumeração que pode ter um de quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando chama um método, as credenciais da conta de serviço geram um registo de auditoria cuja categoria depende da propriedade type da autorização necessária para executar o método. Os métodos que requerem uma autorização da IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registos de auditoria de acesso aos dados. Os métodos que requerem uma autorização do IAM com o valor da propriedade type de ADMIN_WRITE generate Atividade de administrador registam auditorias.

Os métodos da API na lista seguinte marcados com (LRO) são operações de longa duração (LROs). Normalmente, estes métodos geram duas entradas no registo de auditoria: uma quando a operação é iniciada e outra quando termina. Para mais informações, consulte o artigo Registos de auditoria para operações de longa duração.
Tipo de autorização Métodos
ADMIN_READ GenerateAccessToken (LRO)
GenerateIdToken (LRO)
SignBlob (LRO)
SignJwt (LRO)

Registos de auditoria da interface da API

Para obter informações sobre como e que autorizações são avaliadas para cada método, consulte a documentação de gestão de identidade e de acesso para credenciais de contas de serviço.

google.iam.credentials.v1.IAMCredentials

Os seguintes registos de auditoria estão associados a métodos pertencentes a google.iam.credentials.v1.IAMCredentials.

GenerateAccessToken

  • Método: GenerateAccessToken
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • iam.serviceAccounts.getAccessToken - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="GenerateAccessToken"

GenerateIdToken

  • Método: GenerateIdToken
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • iam.serviceAccounts.getOpenIdToken - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="GenerateIdToken"

SignBlob

  • Método: SignBlob
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • iam.serviceAccounts.signBlob - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="SignBlob"

SignJwt

  • Método: SignJwt
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • iam.serviceAccounts.implicitDelegation - ADMIN_READ
    • iam.serviceAccounts.signJwt - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="SignJwt"