Log di controllo di Identity and Access Management

Questo documento descrive l'audit logging per Identity and Access Management. Google Cloud i servizi generano audit log che registrano le attività amministrative e di accesso all'interno delle tue Google Cloud risorse. Per ulteriori informazioni su Cloud Audit Logs, consulta quanto segue:

Note

Puoi anche visualizzare esempi di voci di log di controllo per gli account di servizio.

Nome servizio

Gli audit log di Identity and Access Management utilizzano il nome servizio iam.googleapis.com. Filtra per questo servizio: 

    protoPayload.serviceName="iam.googleapis.com"

Metodi per tipo di autorizzazione

Ogni autorizzazione IAM ha una proprietà type, il cui valore è un enum che può essere uno dei quattro valori: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Quando chiami un metodo, Identity and Access Management genera un audit log la cui categoria dipende dalla proprietà type dell'autorizzazione richiesta per eseguire il metodo. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type corrispondente a DATA_READ, DATA_WRITE o ADMIN_READ generano audit log degli Accessi ai dati. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type ADMIN_WRITE generano audit log delle Attività di amministrazione.

I metodi API nel seguente elenco contrassegnati con (LRO) sono operazioni a lunga esecuzione (LRO). Questi metodi in genere generano due voci del log di controllo: una all'inizio dell'operazione e un'altra al termine. Per saperne di più, consulta Audit log per le operazioni a lunga esecuzione.
Tipo di autorizzazione Metodi
ADMIN_READ google.iam.admin.v1.GetIAMPolicy
google.iam.admin.v1.GetRole
google.iam.admin.v1.GetServiceAccount
google.iam.admin.v1.GetServiceAccountKey
google.iam.admin.v1.ListRoles
google.iam.admin.v1.ListServiceAccountKeys
google.iam.admin.v1.ListServiceAccounts
google.iam.admin.v1.TestIAMPermissions
google.iam.admin.v1.OauthClients.GetOauthClient
google.iam.admin.v1.OauthClients.GetOauthClientCredential
google.iam.admin.v1.OauthClients.ListOauthClientCredentials
google.iam.admin.v1.OauthClients.ListOauthClients
google.iam.admin.v1.WorkforcePools.GetIamPolicy
google.iam.admin.v1.WorkforcePools.GetWorkforcePool
google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviderKeys
google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviders
google.iam.admin.v1.WorkforcePools.ListWorkforcePools
google.iam.v1.WorkloadIdentityPools.GetIamPolicy
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolManagedIdentity
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolNamespace
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.ListAttestationRules
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolManagedIdentities
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolNamespaces
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviderKeys
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPools
google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPools
google.iam.v2.Policies.GetPolicy
google.iam.v2.Policies.ListPolicies
google.iam.v2alpha.Policies.GetPolicy
google.iam.v2alpha.Policies.ListPolicies
google.iam.v2beta.Policies.GetPolicy
google.iam.v2beta.Policies.ListPolicies
google.iam.v3.PolicyBindings.GetPolicyBinding
google.iam.v3.PolicyBindings.ListPolicyBindings
google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
google.iam.v3.PrincipalAccessBoundaryPolicies.SearchPrincipalAccessBoundaryPolicyBindings
google.iam.v3beta.PolicyBindings.GetPolicyBinding
google.iam.v3beta.PolicyBindings.ListPolicyBindings
google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings
google.iam.v3beta.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
google.iam.v3beta.PrincipalAccessBoundaryPolicies.SearchPrincipalAccessBoundaryPolicyBindings
google.longrunning.Operations.GetOperation
ADMIN_WRITE google.iam.admin.v1.CreateRole
google.iam.admin.v1.CreateServiceAccount
google.iam.admin.v1.CreateServiceAccountKey
google.iam.admin.v1.DeleteRole
google.iam.admin.v1.DeleteServiceAccount
google.iam.admin.v1.DeleteServiceAccountKey
google.iam.admin.v1.DisableServiceAccount
google.iam.admin.v1.DisableServiceAccountKey
google.iam.admin.v1.EnableServiceAccount
google.iam.admin.v1.EnableServiceAccountKey
google.iam.admin.v1.PatchServiceAccount
google.iam.admin.v1.SetIAMPolicy
google.iam.admin.v1.UndeleteRole
google.iam.admin.v1.UndeleteServiceAccount
google.iam.admin.v1.UpdateRole
google.iam.admin.v1.UpdateServiceAccount
google.iam.admin.v1.UploadServiceAccountKey
google.iam.admin.v1.OauthClients.CreateOauthClient
google.iam.admin.v1.OauthClients.CreateOauthClientCredential
google.iam.admin.v1.OauthClients.DeleteOauthClient
google.iam.admin.v1.OauthClients.DeleteOauthClientCredential
google.iam.admin.v1.OauthClients.UndeleteOauthClient
google.iam.admin.v1.OauthClients.UpdateOauthClient
google.iam.admin.v1.OauthClients.UpdateOauthClientCredential
google.iam.admin.v1.WorkforcePools.CreateWorkforcePool (LRO)
google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProvider (LRO)
google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProviderKey (LRO)
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePool (LRO)
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProvider (LRO)
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProviderKey (LRO)
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolSubject (LRO)
google.iam.admin.v1.WorkforcePools.SetIamPolicy
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePool (LRO)
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProvider (LRO)
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProviderKey (LRO)
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolSubject (LRO)
google.iam.admin.v1.WorkforcePools.UpdateWorkforcePool (LRO)
google.iam.admin.v1.WorkforcePools.UpdateWorkforcePoolProvider (LRO)
google.iam.v1.WorkloadIdentityPools.AddAttestationRule (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPool (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolManagedIdentity (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolNamespace (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProviderKey (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPool (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolManagedIdentity (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolNamespace (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProviderKey (LRO)
google.iam.v1.WorkloadIdentityPools.RemoveAttestationRule (LRO)
google.iam.v1.WorkloadIdentityPools.SetAttestationRules (LRO)
google.iam.v1.WorkloadIdentityPools.SetIamPolicy
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPool (LRO)
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolManagedIdentity (LRO)
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolNamespace (LRO)
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider (LRO)
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProviderKey (LRO)
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPool (LRO)
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolManagedIdentity (LRO)
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolNamespace (LRO)
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider (LRO)
google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPool (LRO)
google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider (LRO)
google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPool (LRO)
google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider (LRO)
google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPool (LRO)
google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider (LRO)
google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPool (LRO)
google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider (LRO)
google.iam.v2.Policies.CreatePolicy (LRO)
google.iam.v2.Policies.DeletePolicy (LRO)
google.iam.v2.Policies.UpdatePolicy (LRO)
google.iam.v2alpha.Policies.CreatePolicy (LRO)
google.iam.v2alpha.Policies.DeletePolicy (LRO)
google.iam.v2alpha.Policies.UpdatePolicy (LRO)
google.iam.v2beta.Policies.CreatePolicy (LRO)
google.iam.v2beta.Policies.DeletePolicy (LRO)
google.iam.v2beta.Policies.UpdatePolicy (LRO)
google.iam.v3.PolicyBindings.CreatePolicyBinding (LRO)
google.iam.v3.PolicyBindings.DeletePolicyBinding (LRO)
google.iam.v3.PolicyBindings.UpdatePolicyBinding (LRO)
google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3beta.PolicyBindings.CreatePolicyBinding (LRO)
google.iam.v3beta.PolicyBindings.DeletePolicyBinding (LRO)
google.iam.v3beta.PolicyBindings.UpdatePolicyBinding (LRO)
google.iam.v3beta.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3beta.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3beta.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy (LRO)
OTHER google.iam.admin.v1.QueryGrantableRoles: per attivare questo log, attiva ADMIN_READ nel servizio cloudresourcemanager.googleapis.com.
google.iam.v3.PolicyBindings.SearchTargetPolicyBindings: per attivare questo log, attiva ADMIN_READ nel servizio cloudresourcemanager.googleapis.com.

Audit log dell'interfaccia API

Per informazioni su come e quali autorizzazioni vengono valutate per ogni metodo, consulta la documentazione di Identity and Access Management per Identity and Access Management.

google.iam.admin.v1.IAM

I seguenti audit log sono associati ai metodi appartenenti a google.iam.admin.v1.IAM.

CreateRole

  • Metodo: google.iam.admin.v1.CreateRole
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • iam.roles.create - ADMIN_WRITE
    • iam.roles.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.CreateRole"

CreateServiceAccount

CreateServiceAccountKey

DeleteRole

  • Metodo: google.iam.admin.v1.DeleteRole
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • iam.roles.delete - ADMIN_WRITE
    • iam.roles.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.DeleteRole"

DeleteServiceAccount

DeleteServiceAccountKey

DisableServiceAccount

DisableServiceAccountKey

EnableServiceAccount

EnableServiceAccountKey

GetIAMPolicy

  • Metodo: google.iam.admin.v1.GetIAMPolicy
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.serviceAccounts.getIamPolicy - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.GetIAMPolicy"

GetRole

  • Metodo: google.iam.admin.v1.GetRole
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.roles.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.GetRole"

GetServiceAccount

  • Metodo: google.iam.admin.v1.GetServiceAccount
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.serviceAccounts.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.GetServiceAccount"

GetServiceAccountKey

  • Metodo: google.iam.admin.v1.GetServiceAccountKey
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.serviceAccountKeys.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.GetServiceAccountKey"

ListRoles

  • Metodo: google.iam.admin.v1.ListRoles
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.roles.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.ListRoles"

ListServiceAccountKeys

  • Metodo: google.iam.admin.v1.ListServiceAccountKeys
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.serviceAccountKeys.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.ListServiceAccountKeys"

ListServiceAccounts

  • Metodo: google.iam.admin.v1.ListServiceAccounts
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.serviceAccounts.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.ListServiceAccounts"

PatchServiceAccount

QueryGrantableRoles

  • Metodo: google.iam.admin.v1.QueryGrantableRoles
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • resourcemanager.projects.getIamPolicy - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.QueryGrantableRoles"

SetIAMPolicy

  • Metodo: google.iam.admin.v1.SetIAMPolicy
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • iam.serviceAccounts.setIamPolicy - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.SetIAMPolicy"

TestIAMPermissions

  • Metodo: google.iam.admin.v1.TestIAMPermissions
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.serviceAccounts.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.TestIAMPermissions"

UndeleteRole

UndeleteServiceAccount

UpdateRole

UpdateServiceAccount

UploadServiceAccountKey

google.iam.admin.v1.OauthClients

I seguenti audit log sono associati ai metodi appartenenti a google.iam.admin.v1.OauthClients.

CreateOauthClient

CreateOauthClientCredential

DeleteOauthClient

DeleteOauthClientCredential

GetOauthClient

GetOauthClientCredential

ListOauthClientCredentials

ListOauthClients

UndeleteOauthClient

UpdateOauthClient

UpdateOauthClientCredential

google.iam.admin.v1.WorkforcePools

I seguenti audit log sono associati ai metodi appartenenti a google.iam.admin.v1.WorkforcePools.

CreateWorkforcePool

CreateWorkforcePoolProvider

CreateWorkforcePoolProviderKey

DeleteWorkforcePool

DeleteWorkforcePoolProvider

DeleteWorkforcePoolProviderKey

DeleteWorkforcePoolSubject

GetIamPolicy

  • Metodo: google.iam.admin.v1.WorkforcePools.GetIamPolicy
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.workforcePools.getIamPolicy - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.WorkforcePools.GetIamPolicy"

GetWorkforcePool

GetWorkforcePoolProvider

GetWorkforcePoolProviderKey

ListWorkforcePoolProviderKeys

ListWorkforcePoolProviders

ListWorkforcePools

SetIamPolicy

UndeleteWorkforcePool

UndeleteWorkforcePoolProvider

UndeleteWorkforcePoolProviderKey

UndeleteWorkforcePoolSubject

UpdateWorkforcePool

UpdateWorkforcePoolProvider

google.iam.v1.WorkloadIdentityPools

I seguenti audit log sono associati ai metodi appartenenti a google.iam.v1.WorkloadIdentityPools.

AddAttestationRule

CreateWorkloadIdentityPool

CreateWorkloadIdentityPoolManagedIdentity

CreateWorkloadIdentityPoolNamespace

CreateWorkloadIdentityPoolProvider

CreateWorkloadIdentityPoolProviderKey

DeleteWorkloadIdentityPool

DeleteWorkloadIdentityPoolManagedIdentity

DeleteWorkloadIdentityPoolNamespace

DeleteWorkloadIdentityPoolProvider

DeleteWorkloadIdentityPoolProviderKey

GetIamPolicy

  • Metodo: google.iam.v1.WorkloadIdentityPools.GetIamPolicy
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.googleapis.com/workloadIdentityPools.getIamPolicy - ADMIN_READ
    • iam.workloadIdentityPools.getIamPolicy - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.GetIamPolicy"

GetWorkloadIdentityPool

GetWorkloadIdentityPoolManagedIdentity

GetWorkloadIdentityPoolNamespace

GetWorkloadIdentityPoolProvider

GetWorkloadIdentityPoolProviderKey

ListAttestationRules

  • Metodo: google.iam.v1.WorkloadIdentityPools.ListAttestationRules
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.workloadIdentityPoolManagedIdentities.getAttestationRules - ADMIN_READ
    • iam.workloadIdentityPools.getAttestationRules - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.ListAttestationRules"

ListWorkloadIdentityPoolManagedIdentities

ListWorkloadIdentityPoolNamespaces

ListWorkloadIdentityPoolProviderKeys

ListWorkloadIdentityPoolProviders

ListWorkloadIdentityPools

RemoveAttestationRule

SetAttestationRules

SetIamPolicy

  • Metodo: google.iam.v1.WorkloadIdentityPools.SetIamPolicy
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • iam.googleapis.com/workloadIdentityPools.setIamPolicy - ADMIN_WRITE
    • iam.workloadIdentityPools.setIamPolicy - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.SetIamPolicy"

UndeleteWorkloadIdentityPool

UndeleteWorkloadIdentityPoolManagedIdentity

UndeleteWorkloadIdentityPoolNamespace

UndeleteWorkloadIdentityPoolProvider

UndeleteWorkloadIdentityPoolProviderKey

UpdateWorkloadIdentityPool

UpdateWorkloadIdentityPoolManagedIdentity

UpdateWorkloadIdentityPoolNamespace

UpdateWorkloadIdentityPoolProvider

google.iam.v1beta.WorkloadIdentityPools

I seguenti audit log sono associati ai metodi appartenenti a google.iam.v1beta.WorkloadIdentityPools.

CreateWorkloadIdentityPool

CreateWorkloadIdentityPoolProvider

DeleteWorkloadIdentityPool

DeleteWorkloadIdentityPoolProvider

GetWorkloadIdentityPool

GetWorkloadIdentityPoolProvider

ListWorkloadIdentityPoolProviders

ListWorkloadIdentityPools

UndeleteWorkloadIdentityPool

UndeleteWorkloadIdentityPoolProvider

UpdateWorkloadIdentityPool

UpdateWorkloadIdentityPoolProvider

google.iam.v2.Policies

I seguenti audit log sono associati ai metodi appartenenti a google.iam.v2.Policies.

CreatePolicy

DeletePolicy

GetPolicy

  • Metodo: google.iam.v2.Policies.GetPolicy
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2.Policies.GetPolicy"

ListPolicies

  • Metodo: google.iam.v2.Policies.ListPolicies
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2.Policies.ListPolicies"

UpdatePolicy

google.iam.v2alpha.Policies

I seguenti audit log sono associati ai metodi appartenenti a google.iam.v2alpha.Policies.

CreatePolicy

  • Metodo: google.iam.v2alpha.Policies.CreatePolicy
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: Operazione a lunga esecuzione
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2alpha.Policies.CreatePolicy"

DeletePolicy

  • Metodo: google.iam.v2alpha.Policies.DeletePolicy
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.delete - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: Operazione a lunga esecuzione
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2alpha.Policies.DeletePolicy"

GetPolicy

  • Metodo: google.iam.v2alpha.Policies.GetPolicy
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2alpha.Policies.GetPolicy"

ListPolicies

  • Metodo: google.iam.v2alpha.Policies.ListPolicies
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2alpha.Policies.ListPolicies"

UpdatePolicy

  • Metodo: google.iam.v2alpha.Policies.UpdatePolicy
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.update - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: Operazione a lunga esecuzione
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2alpha.Policies.UpdatePolicy"

google.iam.v2beta.Policies

I seguenti audit log sono associati ai metodi appartenenti a google.iam.v2beta.Policies.

CreatePolicy

DeletePolicy

GetPolicy

  • Metodo: google.iam.v2beta.Policies.GetPolicy
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.googleapis.com/accessboundarypolicies.get - ADMIN_READ
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2beta.Policies.GetPolicy"

ListPolicies

  • Metodo: google.iam.v2beta.Policies.ListPolicies
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2beta.Policies.ListPolicies"

UpdatePolicy

google.iam.v3.PolicyBindings

I seguenti audit log sono associati ai metodi appartenenti a google.iam.v3.PolicyBindings.

CreatePolicyBinding

  • Metodo: google.iam.v3.PolicyBindings.CreatePolicyBinding
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudresourcemanager.googleapis.com/projects.createPolicyBinding - ADMIN_WRITE
    • iam.googleapis.com/principalaccessboundarypolicies.bind - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: Operazione a lunga esecuzione
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3.PolicyBindings.CreatePolicyBinding"

DeletePolicyBinding

  • Metodo: google.iam.v3.PolicyBindings.DeletePolicyBinding
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudresourcemanager.googleapis.com/projects.deletePolicyBinding - ADMIN_WRITE
    • iam.googleapis.com/principalaccessboundarypolicies.unbind - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: Operazione a lunga esecuzione
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3.PolicyBindings.DeletePolicyBinding"

GetPolicyBinding

  • Metodo: google.iam.v3.PolicyBindings.GetPolicyBinding
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.policybindings.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3.PolicyBindings.GetPolicyBinding"

ListPolicyBindings

  • Metodo: google.iam.v3.PolicyBindings.ListPolicyBindings
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.policybindings.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3.PolicyBindings.ListPolicyBindings"

SearchTargetPolicyBindings

  • Metodo: google.iam.v3.PolicyBindings.SearchTargetPolicyBindings
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudresourcemanager.googleapis.com/projects.searchPolicyBindings - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3.PolicyBindings.SearchTargetPolicyBindings"

UpdatePolicyBinding

  • Metodo: google.iam.v3.PolicyBindings.UpdatePolicyBinding
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • cloudresourcemanager.googleapis.com/projects.updatePolicyBinding - ADMIN_WRITE
    • iam.googleapis.com/principalaccessboundarypolicies.bind - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: Operazione a lunga esecuzione
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3.PolicyBindings.UpdatePolicyBinding"

google.iam.v3.PrincipalAccessBoundaryPolicies

I seguenti audit log sono associati ai metodi appartenenti a google.iam.v3.PrincipalAccessBoundaryPolicies.

CreatePrincipalAccessBoundaryPolicy

  • Metodo: google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • iam.principalaccessboundarypolicies.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: Operazione a lunga esecuzione
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy"

DeletePrincipalAccessBoundaryPolicy

  • Metodo: google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • iam.principalaccessboundarypolicies.delete - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: Operazione a lunga esecuzione
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy"

GetPrincipalAccessBoundaryPolicy

  • Metodo: google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.principalaccessboundarypolicies.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy"

ListPrincipalAccessBoundaryPolicies

  • Metodo: google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.principalaccessboundarypolicies.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies"

SearchPrincipalAccessBoundaryPolicyBindings

  • Metodo: google.iam.v3.PrincipalAccessBoundaryPolicies.SearchPrincipalAccessBoundaryPolicyBindings
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.principalaccessboundarypolicies.searchPolicyBindings - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.SearchPrincipalAccessBoundaryPolicyBindings"

UpdatePrincipalAccessBoundaryPolicy

  • Metodo: google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • iam.principalaccessboundarypolicies.update - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: Operazione a lunga esecuzione
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy"

google.iam.v3beta.PolicyBindings

I seguenti audit log sono associati ai metodi appartenenti a google.iam.v3beta.PolicyBindings.

CreatePolicyBinding

DeletePolicyBinding

GetPolicyBinding

ListPolicyBindings

SearchTargetPolicyBindings

  • Metodo: google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • cloudresourcemanager.googleapis.com/folders.searchPolicyBindings - ADMIN_READ
    • cloudresourcemanager.googleapis.com/organizations.searchPolicyBindings - ADMIN_READ
    • cloudresourcemanager.googleapis.com/projects.searchPolicyBindings - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings"

UpdatePolicyBinding

google.iam.v3beta.PrincipalAccessBoundaryPolicies

I seguenti audit log sono associati ai metodi appartenenti a google.iam.v3beta.PrincipalAccessBoundaryPolicies.

CreatePrincipalAccessBoundaryPolicy

DeletePrincipalAccessBoundaryPolicy

GetPrincipalAccessBoundaryPolicy

ListPrincipalAccessBoundaryPolicies

SearchPrincipalAccessBoundaryPolicyBindings

UpdatePrincipalAccessBoundaryPolicy

google.longrunning.Operations

I seguenti audit log sono associati ai metodi appartenenti a google.longrunning.Operations.

GetOperation

  • Metodo: google.longrunning.Operations.GetOperation
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iam.operations.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.longrunning.Operations.GetOperation"

Metodi che non generano audit log

Un metodo potrebbe non generare audit log per uno o più dei seguenti motivi:

  • Si tratta di un metodo ad alto volume che comporta costi significativi per la generazione e l'archiviazione dei log.
  • Ha un valore di auditing basso.
  • Un altro audit log o log della piattaforma fornisce già la copertura del metodo.

I seguenti metodi non generano audit log:

  • google.iam.admin.v1.IAM.LintPolicy
  • google.iam.admin.v1.IAM.QueryAuditableServices
  • google.iam.admin.v1.IAM.QueryTestablePermissions
  • google.iam.admin.v1.IAM.SignBlob
  • google.iam.admin.v1.IAM.SignJwt
  • google.iam.admin.v1.WorkforcePools.TestIamPermissions

Query di esempio

Per utilizzare le query di esempio nella tabella seguente, completa questi passaggi:

  1. Sostituisci le variabili nell'espressione di query con le informazioni del tuo progetto, quindi copia l'espressione utilizzando l'icona degli appunti .

  2. Nella Google Cloud console, vai alla pagina Esplora log:

    Vai a Esplora log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  3. Attiva Mostra query per aprire il campo dell'editor di query, quindi incolla l'espressione nel campo dell'editor di query:

    L'editor di query in cui inserisci le query di esempio.

  4. Fai clic su Esegui query. I log che corrispondono alla tua query sono elencati nel riquadro Risultati query.

Per trovare i log di controllo per Identity and Access Management, utilizza le seguenti query in Esplora log:

Prima di utilizzare le query di esempio, sostituisci i seguenti valori:

  • SERVICE_ACCOUNT_SHORT_ID: tutto ciò che precede il simbolo @ nell'indirizzo email del account di servizio. Ad esempio, l'ID service account dell'account di servizio service-account@example.iam.gserviceaccount.com è service-account.
  • SERVICE_ACCOUNT_EMAIL: l'indirizzo email completo del account di serviziot. Ad esempio, service-account@example.iam.gserviceaccount.com.
  • ROLE_NAME: il nome completo del ruolo, inclusi i prefissi organizations/, projects/ o roles/. Ad esempio, organizations/123456789012/roles/myCompanyAdmin.
Nome query Espressione
Service account creato 
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
(protoPayload.request.account_id:"SERVICE_ACCOUNT_SHORT_ID"
  OR protoPayload.response.email:"SERVICE_ACCOUNT_EMAIL")
Service account eliminato 
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Chiave del service account creata 
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Chiave service account eliminata 
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Qualsiasi risorsa creata, modificata o eliminata 
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")
Ruolo personalizzato aggiornato 
log_id("cloudaudit.googleapis.com/activity")
resource.type = "iam_role"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"UpdateRole"
resource.labels.role_name:"ROLE_NAME"
Policy di autorizzazione a livello di progetto aggiornata 
resource.type = "project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"SetIamPolicy"