Registro de auditoría de Identity and Access Management

En este documento, se describe el registro de auditoría de Identity and Access Management.Los servicios de Google Cloud generan registros de auditoría que registran las actividades administrativas y de acceso dentro de tus recursos de Google Cloud . Para obtener más información sobre los Registros de auditoría de Cloud, consulta los siguientes recursos:

Notas

También puedes ver ejemplos de entradas de registro de auditoría para las cuentas de servicio.

Nombre del servicio

Los registros de auditoría de Identity and Access Management usan el nombre de servicio iam.googleapis.com. Filtra este servicio: 

    protoPayload.serviceName="iam.googleapis.com"

Métodos por tipo de permiso

Cada permiso de IAM tiene una propiedad type, cuyo valor es una enumeración que puede ser uno de cuatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Cuando llamas a un método, Identity and Access Management genera un registro de auditoría cuya categoría depende de la propiedad type del permiso necesario para realizar el método. Los métodos que requieren un permiso de IAM con el valor de propiedad type de DATA_READ, DATA_WRITE o ADMIN_READ generan registros de auditoría de acceso a los datos. Los métodos que requieren un permiso de IAM con el valor de propiedad type de ADMIN_WRITE generan registros de auditoría de actividad del administrador.

Los métodos de API de la siguiente lista marcados con (LRO) son operaciones de larga duración (LRO). Por lo general, estos métodos generan dos entradas de registro de auditoría: una cuando comienza la operación y otra cuando finaliza. Para obtener más información, consulta Registros de auditoría para operaciones de larga duración.
Tipo de permiso Métodos
ADMIN_READ google.iam.admin.v1.GetIAMPolicy
google.iam.admin.v1.GetRole
google.iam.admin.v1.GetServiceAccount
google.iam.admin.v1.GetServiceAccountKey
google.iam.admin.v1.ListRoles
google.iam.admin.v1.ListServiceAccountKeys
google.iam.admin.v1.ListServiceAccounts
google.iam.admin.v1.TestIAMPermissions
google.iam.admin.v1.OauthClients.GetOauthClient
google.iam.admin.v1.OauthClients.GetOauthClientCredential
google.iam.admin.v1.OauthClients.ListOauthClientCredentials
google.iam.admin.v1.OauthClients.ListOauthClients
google.iam.admin.v1.WorkforcePools.GetIamPolicy
google.iam.admin.v1.WorkforcePools.GetWorkforcePool
google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviderKeys
google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviders
google.iam.admin.v1.WorkforcePools.ListWorkforcePools
google.iam.v1.WorkloadIdentityPools.GetIamPolicy
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolManagedIdentity
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolNamespace
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.ListAttestationRules
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolManagedIdentities
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolNamespaces
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviderKeys
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPools
google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPools
google.iam.v2.Policies.GetPolicy
google.iam.v2.Policies.ListPolicies
google.iam.v2alpha.Policies.GetPolicy
google.iam.v2alpha.Policies.ListPolicies
google.iam.v2beta.Policies.GetPolicy
google.iam.v2beta.Policies.ListPolicies
google.iam.v3.PolicyBindings.GetPolicyBinding
google.iam.v3.PolicyBindings.ListPolicyBindings
google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
google.iam.v3.PrincipalAccessBoundaryPolicies.SearchPrincipalAccessBoundaryPolicyBindings
google.iam.v3beta.PolicyBindings.GetPolicyBinding
google.iam.v3beta.PolicyBindings.ListPolicyBindings
google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings
google.iam.v3beta.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
google.iam.v3beta.PrincipalAccessBoundaryPolicies.SearchPrincipalAccessBoundaryPolicyBindings
google.longrunning.Operations.GetOperation
ADMIN_WRITE google.iam.admin.v1.CreateRole
google.iam.admin.v1.CreateServiceAccount
google.iam.admin.v1.CreateServiceAccountKey
google.iam.admin.v1.DeleteRole
google.iam.admin.v1.DeleteServiceAccount
google.iam.admin.v1.DeleteServiceAccountKey
google.iam.admin.v1.DisableServiceAccount
google.iam.admin.v1.DisableServiceAccountKey
google.iam.admin.v1.EnableServiceAccount
google.iam.admin.v1.EnableServiceAccountKey
google.iam.admin.v1.PatchServiceAccount
google.iam.admin.v1.SetIAMPolicy
google.iam.admin.v1.UndeleteRole
google.iam.admin.v1.UndeleteServiceAccount
google.iam.admin.v1.UpdateRole
google.iam.admin.v1.UpdateServiceAccount
google.iam.admin.v1.UploadServiceAccountKey
google.iam.admin.v1.OauthClients.CreateOauthClient
google.iam.admin.v1.OauthClients.CreateOauthClientCredential
google.iam.admin.v1.OauthClients.DeleteOauthClient
google.iam.admin.v1.OauthClients.DeleteOauthClientCredential
google.iam.admin.v1.OauthClients.UndeleteOauthClient
google.iam.admin.v1.OauthClients.UpdateOauthClient
google.iam.admin.v1.OauthClients.UpdateOauthClientCredential
google.iam.admin.v1.WorkforcePools.CreateWorkforcePool (LRO)
google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProvider (LRO)
google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProviderKey (LRO)
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePool (LRO)
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProvider (LRO)
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProviderKey (LRO)
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolSubject (LRO)
google.iam.admin.v1.WorkforcePools.SetIamPolicy
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePool (LRO)
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProvider (LRO)
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProviderKey (LRO)
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolSubject (LRO)
google.iam.admin.v1.WorkforcePools.UpdateWorkforcePool (LRO)
google.iam.admin.v1.WorkforcePools.UpdateWorkforcePoolProvider (LRO)
google.iam.v1.WorkloadIdentityPools.AddAttestationRule (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPool (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolManagedIdentity (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolNamespace (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProviderKey (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPool (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolManagedIdentity (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolNamespace (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProviderKey (LRO)
google.iam.v1.WorkloadIdentityPools.RemoveAttestationRule (LRO)
google.iam.v1.WorkloadIdentityPools.SetAttestationRules (LRO)
google.iam.v1.WorkloadIdentityPools.SetIamPolicy
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPool (LRO)
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolManagedIdentity (LRO)
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolNamespace (LRO)
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider (LRO)
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProviderKey (LRO)
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPool (LRO)
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolManagedIdentity (LRO)
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolNamespace (LRO)
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider (LRO)
google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPool (LRO)
google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider (LRO)
google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPool (LRO)
google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider (LRO)
google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPool (LRO)
google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider (LRO)
google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPool (LRO)
google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider (LRO)
google.iam.v2.Policies.CreatePolicy (LRO)
google.iam.v2.Policies.DeletePolicy (LRO)
google.iam.v2.Policies.UpdatePolicy (LRO)
google.iam.v2alpha.Policies.CreatePolicy (LRO)
google.iam.v2alpha.Policies.DeletePolicy (LRO)
google.iam.v2alpha.Policies.UpdatePolicy (LRO)
google.iam.v2beta.Policies.CreatePolicy (LRO)
google.iam.v2beta.Policies.DeletePolicy (LRO)
google.iam.v2beta.Policies.UpdatePolicy (LRO)
google.iam.v3.PolicyBindings.CreatePolicyBinding (LRO)
google.iam.v3.PolicyBindings.DeletePolicyBinding (LRO)
google.iam.v3.PolicyBindings.UpdatePolicyBinding (LRO)
google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3beta.PolicyBindings.CreatePolicyBinding (LRO)
google.iam.v3beta.PolicyBindings.DeletePolicyBinding (LRO)
google.iam.v3beta.PolicyBindings.UpdatePolicyBinding (LRO)
google.iam.v3beta.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3beta.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3beta.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy (LRO)
OTHER google.iam.admin.v1.QueryGrantableRoles: Para habilitar este registro, habilita ADMIN_READ en el servicio cloudresourcemanager.googleapis.com.
google.iam.v3.PolicyBindings.SearchTargetPolicyBindings: Para habilitar este registro, habilita ADMIN_READ en el servicio cloudresourcemanager.googleapis.com.

Registros de auditoría de la interfaz de la API

Si quieres obtener información sobre cómo y qué permisos se evalúan para cada método, consulta la documentación de Identity and Access Management.

google.iam.admin.v1.IAM

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.admin.v1.IAM.

CreateRole

  • Método: google.iam.admin.v1.CreateRole
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.roles.create - ADMIN_WRITE
    • iam.roles.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.CreateRole"

CreateServiceAccount

CreateServiceAccountKey

DeleteRole

  • Método: google.iam.admin.v1.DeleteRole
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.roles.delete - ADMIN_WRITE
    • iam.roles.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.DeleteRole"

DeleteServiceAccount

DeleteServiceAccountKey

DisableServiceAccount

DisableServiceAccountKey

EnableServiceAccount

EnableServiceAccountKey

GetIAMPolicy

  • Método: google.iam.admin.v1.GetIAMPolicy
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.serviceAccounts.getIamPolicy - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.GetIAMPolicy"

GetRole

  • Método: google.iam.admin.v1.GetRole
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.roles.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.GetRole"

GetServiceAccount

  • Método: google.iam.admin.v1.GetServiceAccount
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.serviceAccounts.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.GetServiceAccount"

GetServiceAccountKey

  • Método: google.iam.admin.v1.GetServiceAccountKey
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.serviceAccountKeys.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.GetServiceAccountKey"

ListRoles

  • Método: google.iam.admin.v1.ListRoles
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.roles.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.ListRoles"

ListServiceAccountKeys

  • Método: google.iam.admin.v1.ListServiceAccountKeys
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.serviceAccountKeys.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.ListServiceAccountKeys"

ListServiceAccounts

  • Método: google.iam.admin.v1.ListServiceAccounts
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.serviceAccounts.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.ListServiceAccounts"

PatchServiceAccount

QueryGrantableRoles

  • Método: google.iam.admin.v1.QueryGrantableRoles
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • resourcemanager.projects.getIamPolicy - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.QueryGrantableRoles"

SetIAMPolicy

  • Método: google.iam.admin.v1.SetIAMPolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.serviceAccounts.setIamPolicy - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.SetIAMPolicy"

TestIAMPermissions

  • Método: google.iam.admin.v1.TestIAMPermissions
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.serviceAccounts.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.TestIAMPermissions"

UndeleteRole

  • Método: google.iam.admin.v1.UndeleteRole
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.roles.undelete - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.UndeleteRole"

UndeleteServiceAccount

UpdateRole

  • Método: google.iam.admin.v1.UpdateRole
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.roles.update - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.UpdateRole"

UpdateServiceAccount

UploadServiceAccountKey

google.iam.admin.v1.OauthClients

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.admin.v1.OauthClients.

CreateOauthClient

CreateOauthClientCredential

DeleteOauthClient

DeleteOauthClientCredential

GetOauthClient

GetOauthClientCredential

ListOauthClientCredentials

ListOauthClients

UndeleteOauthClient

UpdateOauthClient

UpdateOauthClientCredential

google.iam.admin.v1.WorkforcePools

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.admin.v1.WorkforcePools.

CreateWorkforcePool

CreateWorkforcePoolProvider

CreateWorkforcePoolProviderKey

DeleteWorkforcePool

DeleteWorkforcePoolProvider

DeleteWorkforcePoolProviderKey

DeleteWorkforcePoolSubject

GetIamPolicy

  • Método: google.iam.admin.v1.WorkforcePools.GetIamPolicy
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.workforcePools.getIamPolicy - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.WorkforcePools.GetIamPolicy"

GetWorkforcePool

GetWorkforcePoolProvider

GetWorkforcePoolProviderKey

ListWorkforcePoolProviderKeys

ListWorkforcePoolProviders

ListWorkforcePools

SetIamPolicy

UndeleteWorkforcePool

UndeleteWorkforcePoolProvider

UndeleteWorkforcePoolProviderKey

UndeleteWorkforcePoolSubject

UpdateWorkforcePool

UpdateWorkforcePoolProvider

google.iam.v1.WorkloadIdentityPools

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v1.WorkloadIdentityPools.

AddAttestationRule

CreateWorkloadIdentityPool

CreateWorkloadIdentityPoolManagedIdentity

CreateWorkloadIdentityPoolNamespace

CreateWorkloadIdentityPoolProvider

CreateWorkloadIdentityPoolProviderKey

DeleteWorkloadIdentityPool

DeleteWorkloadIdentityPoolManagedIdentity

DeleteWorkloadIdentityPoolNamespace

DeleteWorkloadIdentityPoolProvider

DeleteWorkloadIdentityPoolProviderKey

GetIamPolicy

  • Método: google.iam.v1.WorkloadIdentityPools.GetIamPolicy
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.googleapis.com/workloadIdentityPools.getIamPolicy - ADMIN_READ
    • iam.workloadIdentityPools.getIamPolicy - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.GetIamPolicy"

GetWorkloadIdentityPool

GetWorkloadIdentityPoolManagedIdentity

GetWorkloadIdentityPoolNamespace

GetWorkloadIdentityPoolProvider

GetWorkloadIdentityPoolProviderKey

ListAttestationRules

  • Método: google.iam.v1.WorkloadIdentityPools.ListAttestationRules
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.workloadIdentityPoolManagedIdentities.getAttestationRules - ADMIN_READ
    • iam.workloadIdentityPools.getAttestationRules - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.ListAttestationRules"

ListWorkloadIdentityPoolManagedIdentities

ListWorkloadIdentityPoolNamespaces

ListWorkloadIdentityPoolProviderKeys

ListWorkloadIdentityPoolProviders

ListWorkloadIdentityPools

RemoveAttestationRule

SetAttestationRules

SetIamPolicy

  • Método: google.iam.v1.WorkloadIdentityPools.SetIamPolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.googleapis.com/workloadIdentityPools.setIamPolicy - ADMIN_WRITE
    • iam.workloadIdentityPools.setIamPolicy - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.SetIamPolicy"

UndeleteWorkloadIdentityPool

UndeleteWorkloadIdentityPoolManagedIdentity

UndeleteWorkloadIdentityPoolNamespace

UndeleteWorkloadIdentityPoolProvider

UndeleteWorkloadIdentityPoolProviderKey

UpdateWorkloadIdentityPool

UpdateWorkloadIdentityPoolManagedIdentity

UpdateWorkloadIdentityPoolNamespace

UpdateWorkloadIdentityPoolProvider

google.iam.v1beta.WorkloadIdentityPools

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v1beta.WorkloadIdentityPools.

CreateWorkloadIdentityPool

CreateWorkloadIdentityPoolProvider

DeleteWorkloadIdentityPool

DeleteWorkloadIdentityPoolProvider

GetWorkloadIdentityPool

GetWorkloadIdentityPoolProvider

ListWorkloadIdentityPoolProviders

ListWorkloadIdentityPools

UndeleteWorkloadIdentityPool

UndeleteWorkloadIdentityPoolProvider

UpdateWorkloadIdentityPool

UpdateWorkloadIdentityPoolProvider

google.iam.v2.Policies

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v2.Policies.

CreatePolicy

DeletePolicy

GetPolicy

  • Método: google.iam.v2.Policies.GetPolicy
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v2.Policies.GetPolicy"

ListPolicies

  • Método: google.iam.v2.Policies.ListPolicies
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v2.Policies.ListPolicies"

UpdatePolicy

google.iam.v2alpha.Policies

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v2alpha.Policies.

CreatePolicy

  • Método: google.iam.v2alpha.Policies.CreatePolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.googleapis.com/denypolicies.create - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v2alpha.Policies.CreatePolicy"

DeletePolicy

  • Método: google.iam.v2alpha.Policies.DeletePolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.googleapis.com/denypolicies.delete - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v2alpha.Policies.DeletePolicy"

GetPolicy

  • Método: google.iam.v2alpha.Policies.GetPolicy
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v2alpha.Policies.GetPolicy"

ListPolicies

  • Método: google.iam.v2alpha.Policies.ListPolicies
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v2alpha.Policies.ListPolicies"

UpdatePolicy

  • Método: google.iam.v2alpha.Policies.UpdatePolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.googleapis.com/denypolicies.update - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v2alpha.Policies.UpdatePolicy"

google.iam.v2beta.Policies

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v2beta.Policies.

CreatePolicy

DeletePolicy

GetPolicy

  • Método: google.iam.v2beta.Policies.GetPolicy
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.googleapis.com/accessboundarypolicies.get - ADMIN_READ
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v2beta.Policies.GetPolicy"

ListPolicies

  • Método: google.iam.v2beta.Policies.ListPolicies
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v2beta.Policies.ListPolicies"

UpdatePolicy

google.iam.v3.PolicyBindings

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v3.PolicyBindings.

CreatePolicyBinding

  • Método: google.iam.v3.PolicyBindings.CreatePolicyBinding
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudresourcemanager.googleapis.com/projects.createPolicyBinding - ADMIN_WRITE
    • iam.googleapis.com/principalaccessboundarypolicies.bind - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PolicyBindings.CreatePolicyBinding"

DeletePolicyBinding

  • Método: google.iam.v3.PolicyBindings.DeletePolicyBinding
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudresourcemanager.googleapis.com/projects.deletePolicyBinding - ADMIN_WRITE
    • iam.googleapis.com/principalaccessboundarypolicies.unbind - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PolicyBindings.DeletePolicyBinding"

GetPolicyBinding

  • Método: google.iam.v3.PolicyBindings.GetPolicyBinding
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.policybindings.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PolicyBindings.GetPolicyBinding"

ListPolicyBindings

  • Método: google.iam.v3.PolicyBindings.ListPolicyBindings
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.policybindings.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PolicyBindings.ListPolicyBindings"

SearchTargetPolicyBindings

  • Método: google.iam.v3.PolicyBindings.SearchTargetPolicyBindings
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudresourcemanager.googleapis.com/projects.searchPolicyBindings - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PolicyBindings.SearchTargetPolicyBindings"

UpdatePolicyBinding

  • Método: google.iam.v3.PolicyBindings.UpdatePolicyBinding
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudresourcemanager.googleapis.com/projects.updatePolicyBinding - ADMIN_WRITE
    • iam.googleapis.com/principalaccessboundarypolicies.bind - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PolicyBindings.UpdatePolicyBinding"

google.iam.v3.PrincipalAccessBoundaryPolicies

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v3.PrincipalAccessBoundaryPolicies.

CreatePrincipalAccessBoundaryPolicy

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.principalaccessboundarypolicies.create - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy"

DeletePrincipalAccessBoundaryPolicy

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.principalaccessboundarypolicies.delete - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy"

GetPrincipalAccessBoundaryPolicy

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.principalaccessboundarypolicies.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy"

ListPrincipalAccessBoundaryPolicies

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.principalaccessboundarypolicies.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies"

SearchPrincipalAccessBoundaryPolicyBindings

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.SearchPrincipalAccessBoundaryPolicyBindings
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.principalaccessboundarypolicies.searchPolicyBindings - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.SearchPrincipalAccessBoundaryPolicyBindings"

UpdatePrincipalAccessBoundaryPolicy

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.principalaccessboundarypolicies.update - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy"

google.iam.v3beta.PolicyBindings

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v3beta.PolicyBindings.

CreatePolicyBinding

DeletePolicyBinding

GetPolicyBinding

ListPolicyBindings

SearchTargetPolicyBindings

  • Método: google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudresourcemanager.googleapis.com/folders.searchPolicyBindings - ADMIN_READ
    • cloudresourcemanager.googleapis.com/organizations.searchPolicyBindings - ADMIN_READ
    • cloudresourcemanager.googleapis.com/projects.searchPolicyBindings - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings"

UpdatePolicyBinding

google.iam.v3beta.PrincipalAccessBoundaryPolicies

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v3beta.PrincipalAccessBoundaryPolicies.

CreatePrincipalAccessBoundaryPolicy

DeletePrincipalAccessBoundaryPolicy

GetPrincipalAccessBoundaryPolicy

ListPrincipalAccessBoundaryPolicies

SearchPrincipalAccessBoundaryPolicyBindings

UpdatePrincipalAccessBoundaryPolicy

google.longrunning.Operations

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.longrunning.Operations.

GetOperation

  • Método: google.longrunning.Operations.GetOperation
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.operations.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.longrunning.Operations.GetOperation"

Métodos que no producen registros de auditoría

Es posible que un método no produzca registros de auditoría por uno o más de los siguientes motivos:

  • Es un método de gran volumen que implica costos significativos de generación y almacenamiento de registros.
  • Tiene un valor de auditoría bajo.
  • Otro registro de auditoría o de plataforma ya proporciona cobertura del método.

Los siguientes métodos no producen registros de auditoría:

  • google.iam.admin.v1.IAM.LintPolicy
  • google.iam.admin.v1.IAM.QueryAuditableServices
  • google.iam.admin.v1.IAM.QueryTestablePermissions
  • google.iam.admin.v1.IAM.SignBlob
  • google.iam.admin.v1.IAM.SignJwt
  • google.iam.admin.v1.WorkforcePools.TestIamPermissions

Consultas de muestra

Para usar las consultas de muestra en la siguiente tabla, completa estos pasos:

  1. Reemplaza las variables en la expresión de consulta con la información de tu proyecto y, luego, copia la expresión con el ícono de portapapeles .

  2. En la consola de Google Cloud , accede a la página Explorador de registros:

    Acceder al Explorador de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  3. Habilita Mostrar consulta para abrir el campo query-editor y, luego, pega la expresión en el campo query-editor:

    El editor de consultas en el que ingresas consultas de muestra.

  4. Haz clic en Ejecutar consulta. Los registros que coincidan con la consulta se enumerarán en el panel Resultados de la consulta.

Para encontrar registros de auditoría de Identity and Access Management, usa las siguientes consultas en el Explorador de registros:

Antes de usar las consultas de muestra, reemplaza los siguientes valores:

  • SERVICE_ACCOUNT_SHORT_ID: Todo lo que precede al símbolo @ en la dirección de correo electrónico de la cuenta de servicio. Por ejemplo, el ID de la cuenta de servicio service-account@example.iam.gserviceaccount.com es service-account.
  • SERVICE_ACCOUNT_EMAIL: La dirección de correo electrónico completa de la cuenta de servicio. Por ejemplo, service-account@example.iam.gserviceaccount.com.
  • ROLE_NAME: Es el nombre completo del rol, incluidos los prefijos organizations/, projects/ o roles/. Por ejemplo: organizations/123456789012/roles/myCompanyAdmin
Nombre de la consulta Expresión
Se creó la cuenta de servicio 
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
(protoPayload.request.account_id:"SERVICE_ACCOUNT_SHORT_ID"
  OR protoPayload.response.email:"SERVICE_ACCOUNT_EMAIL")
Se borró la cuenta de servicio 
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Clave de cuenta de servicio creada 
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Se borró la clave de la cuenta de servicio 
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Cualquier recurso creado, modificado o borrado 
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")
Se actualizó la función personalizada 
log_id("cloudaudit.googleapis.com/activity")
resource.type = "iam_role"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"UpdateRole"
resource.labels.role_name:"ROLE_NAME"
Se actualizó la política de permisos a nivel del proyecto 
resource.type = "project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"SetIamPolicy"