בדף הזה אפשר לראות דוגמאות של יומני הביקורת שנוצרים כשמשתמשים בשילוב של אפליקציית OAuth עם איחוד שירותי אימות הזהות של כוח עבודה. שילוב אפליקציות OAuth עם איחוד זהויות של כוח עבודה מאפשר לאפליקציות של צד שלישי להשתלב עם Google Cloud באמצעות OAuth ולהשתמש בזהויות חיצוניות כדי לגשת למשאבים של Google Cloud .
בכל אחת מהדוגמאות הבאות מוצגים רק השדות הרלוונטיים ביותר ברשומות היומן.
מידע נוסף על הפעלה של יומני ביקורת וצפייה בהם אפשר למצוא במאמר רישום ביומן ביקורת של ניהול זהויות והרשאות גישה (IAM).
התפקידים הנדרשים
IAM יכול ליצור יומני ביקורת כשיוצרים לקוחות OAuth ומנהלים אותם. כדי להפעיל יומני ביקורת כשמנהלים לקוחות OAuth, צריך להפעיל את יומני הביקורת לפעילות של Data Access בשביל ממשק ה-API הבא:
- API של ניהול זהויות והרשאות גישה (IAM) (הפעלת סוג היומן ADMIN_READ)
יומנים ליצירת לקוח OAuth
הרשומה ביומן דומה לרשומה הבאה:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient", "resourceName": "projects/PROJECT_NUMBER/locations/global", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest", "oauthClient": {}, "oauthClientId": OAUTH_CLIENT_ID, "parent": "projects/PROJECT_NUMBER/locations/global" } }, "resource": { "type": "audited_resource" } }
הרשומה הזו ביומן כוללת את הערכים הבאים, שבהם אפשר להשתמש כדי לסנן את היומנים:
PROJECT_NUMBER: מספר הפרויקט שמכיל את השילוב של אפליקציית OAuth.
PRINCIPAL_EMAIL: כתובת האימייל של הגורם הראשי שהוא הבעלים של לקוח OAuth.
OAUTH_CLIENT_ID: הזהות של לקוח OAuth
יומנים ליצירת פרטי כניסה של לקוח OAuth
הרשומה ביומן דומה לרשומה הבאה:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential", "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest", "oauthClientCredential": {}, "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID, "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID" } }, "resource": { "type": "audited_resource" } }
הרשומה הזו ביומן כוללת את הערכים הבאים, שבהם אפשר להשתמש כדי לסנן את היומנים:
PROJECT_NUMBER: מספר הפרויקט שמכיל את השילוב של אפליקציית OAuth.
PRINCIPAL_EMAIL: כתובת האימייל של הגורם הראשי (שבבעלותו|שניגש אל) לקוח OAuth.
OAUTH_CLIENT_ID: הזהות של לקוח OAuth
OAUTH_CLIENT_CREDENTIAL_ID: הזהות של פרטי הכניסה של לקוח OAuth
המאמרים הבאים
- הגדרה והצגה של יומני הביקורת של IAM.
- מידע נוסף על יומני ביקורת של Cloud.
- מגדירים שילוב של אפליקציית OAuth של כוח העבודה באמצעות לקוחות OAuth.