Registro de auditoria das credenciais da conta de serviço

Este documento lista os métodos auditados para as credenciais da conta de serviço. Google Cloud Os serviços geram registros de auditoria de atividades administrativas e de acesso nos Google Cloud recursos. Para mais informações sobre os Registros de Auditoria do Cloud, confira:

• Tipos de registros de auditoria
• Estrutura da entrada de registro de auditoria
• Como armazenar e rotear registros de auditoria
• Resumo dos preços do Cloud Logging
• Ativar registros de auditoria de acesso a dados

Nome do serviço

Para conferir os registros de auditoria das credenciais da conta de serviço, faça o seguinte:

1. No Google Cloud console do, acesse a página Análise de registros:

   Acessar a Análise de registros

2. Copie e cole a consulta a seguir no campo Consulta do Análise de registros e clique em Executar consulta.

       protoPayload.serviceName="iamcredentials.googleapis.com"
     

Métodos por tipo de permissão

Cada permissão do IAM tem uma propriedade type, que tem o valor de um tipo enumerado que pode ser um dos quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando você chama um método, as credenciais da conta de serviço geram um registro de auditoria com categoria dependente da propriedade type da permissão necessária para executar o método. Métodos que exigem uma permissão do IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registros de auditoria de acesso aos dados. Métodos que exigem uma permissão do IAM com o valor da propriedade type de ADMIN_WRITE geram registros de auditoria de atividade do administrador.

Os métodos de API na lista a seguir marcados com (LRO) são operações de longa duração. Em geral, esses métodos geram duas entradas de registro de auditoria: uma quando a operação começa e outra quando ela termina. Para mais informações, consulte Registros de auditoria para operações de longa duração.

Tipo de permissão	Métodos
ADMIN_READ	SignJwt (LRO)
DATA_READ	GenerateAccessToken (LRO) GenerateIdToken (LRO) SignBlob (LRO) SignJwt (LRO)

Registros de auditoria da interface da API

Para informações sobre como e quais permissões são avaliadas para cada método, consulte a documentação do Identity and Access Management para as credenciais da conta de serviço.

google.iam.credentials.v1.IAMCredentials

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.credentials.v1.IAMCredentials.

GenerateAccessToken

• Método: GenerateAccessToken
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • iam.serviceAccounts.getAccessToken - DATA_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="GenerateAccessToken"
  

GenerateIdToken

• Método: GenerateIdToken
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • iam.serviceAccounts.getAccessToken - DATA_READ
  • iam.serviceAccounts.getOpenIdToken - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="GenerateIdToken"
  

SignBlob

• Método: SignBlob
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • iam.serviceAccounts.getAccessToken - DATA_READ
  • iam.serviceAccounts.signBlob - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="SignBlob"
  

SignJwt

• Método: SignJwt
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • iam.serviceAccounts.getAccessToken - DATA_READ
  • iam.serviceAccounts.signJwt - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="SignJwt"