Journalisation des audits Identity and Access Management

Ce document décrit la journalisation des audits pour Identity and Access Management.Les services Google Cloud génèrent des journaux d'audit qui enregistrent les activités d'administration et d'accès dans vos ressources Google Cloud . Pour en savoir plus sur Cloud Audit Logs, consultez les ressources suivantes :

Remarques

Vous pouvez également consulter des exemples d'entrées de journal d'audit pour les comptes de service.

Nom du service

Les journaux d'audit Identity and Access Management utilisent le nom de service iam.googleapis.com. Filtrez les résultats pour ce service : 

    protoPayload.serviceName="iam.googleapis.com"

Méthodes par type d'autorisation

Chaque autorisation IAM possède une propriété type, dont la valeur est une énumération pouvant être l'une des quatre valeurs suivantes: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Lorsque vous appelez une méthode, Identity and Access Management génère un journal d'audit dont la catégorie dépend de la propriété type de l'autorisation requise pour exécuter la méthode. Les méthodes nécessitant une autorisation IAM avec la valeur de la propriété type de DATA_READ, DATA_WRITE ou ADMIN_READ génèrent des journaux d'audit pour l'accès aux données. Les méthodes nécessitant une autorisation IAM avec la valeur de propriété type d'ADMIN_WRITE génèrent des journaux d'audit pour les activités d'administration.

Les méthodes d'API de la liste suivante marquées (LRO) sont des opérations de longue durée (LRO). Ces méthodes génèrent généralement deux entrées de journal d'audit : une au début de l'opération et une autre à la fin. Pour en savoir plus, consultez Journaux d'audit pour les opérations de longue durée.
Type d'autorisation Méthodes
ADMIN_READ google.iam.admin.v1.GetIAMPolicy
google.iam.admin.v1.GetRole
google.iam.admin.v1.GetServiceAccount
google.iam.admin.v1.GetServiceAccountKey
google.iam.admin.v1.ListRoles
google.iam.admin.v1.ListServiceAccountKeys
google.iam.admin.v1.ListServiceAccounts
google.iam.admin.v1.TestIAMPermissions
google.iam.admin.v1.OauthClients.GetOauthClient
google.iam.admin.v1.OauthClients.GetOauthClientCredential
google.iam.admin.v1.OauthClients.ListOauthClientCredentials
google.iam.admin.v1.OauthClients.ListOauthClients
google.iam.admin.v1.WorkforcePools.GetIamPolicy
google.iam.admin.v1.WorkforcePools.GetWorkforcePool
google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviderKeys
google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviders
google.iam.admin.v1.WorkforcePools.ListWorkforcePools
google.iam.v1.WorkloadIdentityPools.GetIamPolicy
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolManagedIdentity
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolNamespace
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.ListAttestationRules
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolManagedIdentities
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolNamespaces
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviderKeys
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPools
google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPools
google.iam.v2.Policies.GetPolicy
google.iam.v2.Policies.ListPolicies
google.iam.v2alpha.Policies.GetPolicy
google.iam.v2alpha.Policies.ListPolicies
google.iam.v2beta.Policies.GetPolicy
google.iam.v2beta.Policies.ListPolicies
google.iam.v3.PolicyBindings.GetPolicyBinding
google.iam.v3.PolicyBindings.ListPolicyBindings
google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
google.iam.v3.PrincipalAccessBoundaryPolicies.SearchPrincipalAccessBoundaryPolicyBindings
google.iam.v3beta.PolicyBindings.GetPolicyBinding
google.iam.v3beta.PolicyBindings.ListPolicyBindings
google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings
google.iam.v3beta.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
google.iam.v3beta.PrincipalAccessBoundaryPolicies.SearchPrincipalAccessBoundaryPolicyBindings
google.longrunning.Operations.GetOperation
ADMIN_WRITE google.iam.admin.v1.CreateRole
google.iam.admin.v1.CreateServiceAccount
google.iam.admin.v1.CreateServiceAccountKey
google.iam.admin.v1.DeleteRole
google.iam.admin.v1.DeleteServiceAccount
google.iam.admin.v1.DeleteServiceAccountKey
google.iam.admin.v1.DisableServiceAccount
google.iam.admin.v1.DisableServiceAccountKey
google.iam.admin.v1.EnableServiceAccount
google.iam.admin.v1.EnableServiceAccountKey
google.iam.admin.v1.PatchServiceAccount
google.iam.admin.v1.SetIAMPolicy
google.iam.admin.v1.UndeleteRole
google.iam.admin.v1.UndeleteServiceAccount
google.iam.admin.v1.UpdateRole
google.iam.admin.v1.UpdateServiceAccount
google.iam.admin.v1.UploadServiceAccountKey
google.iam.admin.v1.OauthClients.CreateOauthClient
google.iam.admin.v1.OauthClients.CreateOauthClientCredential
google.iam.admin.v1.OauthClients.DeleteOauthClient
google.iam.admin.v1.OauthClients.DeleteOauthClientCredential
google.iam.admin.v1.OauthClients.UndeleteOauthClient
google.iam.admin.v1.OauthClients.UpdateOauthClient
google.iam.admin.v1.OauthClients.UpdateOauthClientCredential
google.iam.admin.v1.WorkforcePools.CreateWorkforcePool (LRO)
google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProvider (LRO)
google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProviderKey (LRO)
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePool (LRO)
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProvider (LRO)
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProviderKey (LRO)
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolSubject (LRO)
google.iam.admin.v1.WorkforcePools.SetIamPolicy
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePool (LRO)
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProvider (LRO)
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProviderKey (LRO)
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolSubject (LRO)
google.iam.admin.v1.WorkforcePools.UpdateWorkforcePool (LRO)
google.iam.admin.v1.WorkforcePools.UpdateWorkforcePoolProvider (LRO)
google.iam.v1.WorkloadIdentityPools.AddAttestationRule (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPool (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolManagedIdentity (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolNamespace (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider (LRO)
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProviderKey (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPool (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolManagedIdentity (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolNamespace (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider (LRO)
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProviderKey (LRO)
google.iam.v1.WorkloadIdentityPools.RemoveAttestationRule (LRO)
google.iam.v1.WorkloadIdentityPools.SetAttestationRules (LRO)
google.iam.v1.WorkloadIdentityPools.SetIamPolicy
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPool (LRO)
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolManagedIdentity (LRO)
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolNamespace (LRO)
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider (LRO)
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProviderKey (LRO)
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPool (LRO)
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolManagedIdentity (LRO)
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolNamespace (LRO)
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider (LRO)
google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPool (LRO)
google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider (LRO)
google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPool (LRO)
google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider (LRO)
google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPool (LRO)
google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider (LRO)
google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPool (LRO)
google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider (LRO)
google.iam.v2.Policies.CreatePolicy (LRO)
google.iam.v2.Policies.DeletePolicy (LRO)
google.iam.v2.Policies.UpdatePolicy (LRO)
google.iam.v2alpha.Policies.CreatePolicy (LRO)
google.iam.v2alpha.Policies.DeletePolicy (LRO)
google.iam.v2alpha.Policies.UpdatePolicy (LRO)
google.iam.v2beta.Policies.CreatePolicy (LRO)
google.iam.v2beta.Policies.DeletePolicy (LRO)
google.iam.v2beta.Policies.UpdatePolicy (LRO)
google.iam.v3.PolicyBindings.CreatePolicyBinding (LRO)
google.iam.v3.PolicyBindings.DeletePolicyBinding (LRO)
google.iam.v3.PolicyBindings.UpdatePolicyBinding (LRO)
google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3beta.PolicyBindings.CreatePolicyBinding (LRO)
google.iam.v3beta.PolicyBindings.DeletePolicyBinding (LRO)
google.iam.v3beta.PolicyBindings.UpdatePolicyBinding (LRO)
google.iam.v3beta.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3beta.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy (LRO)
google.iam.v3beta.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy (LRO)
OTHER google.iam.admin.v1.QueryGrantableRoles : pour activer ce journal, activez ADMIN_READ sous le service cloudresourcemanager.googleapis.com.
google.iam.v3.PolicyBindings.SearchTargetPolicyBindings : pour activer ce journal, activez ADMIN_READ sous le service cloudresourcemanager.googleapis.com.

Journaux d'audit d'interface API

Pour en savoir plus sur la manière dont les autorisations sont évaluées, pour chaque méthode, consultez la documentation sur la gestion de l'authentification et des accès pour Identity and Access Management.

google.iam.admin.v1.IAM

Les journaux d'audit suivants sont associés aux méthodes appartenant à google.iam.admin.v1.IAM.

CreateRole

  • Méthode : google.iam.admin.v1.CreateRole
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.roles.create - ADMIN_WRITE
    • iam.roles.list - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.CreateRole"

CreateServiceAccount

  • Méthode : google.iam.admin.v1.CreateServiceAccount
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.serviceAccounts.create - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"

CreateServiceAccountKey

  • Méthode : google.iam.admin.v1.CreateServiceAccountKey
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.serviceAccountKeys.create - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey"

DeleteRole

  • Méthode : google.iam.admin.v1.DeleteRole
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.roles.delete - ADMIN_WRITE
    • iam.roles.list - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.DeleteRole"

DeleteServiceAccount

  • Méthode : google.iam.admin.v1.DeleteServiceAccount
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.serviceAccounts.delete - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.DeleteServiceAccount"

DeleteServiceAccountKey

  • Méthode : google.iam.admin.v1.DeleteServiceAccountKey
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.serviceAccountKeys.delete - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.DeleteServiceAccountKey"

DisableServiceAccount

  • Méthode : google.iam.admin.v1.DisableServiceAccount
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.serviceAccounts.disable - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.DisableServiceAccount"

DisableServiceAccountKey

EnableServiceAccount

  • Méthode : google.iam.admin.v1.EnableServiceAccount
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.serviceAccounts.enable - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.EnableServiceAccount"

EnableServiceAccountKey

  • Méthode : google.iam.admin.v1.EnableServiceAccountKey
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.serviceAccountKeys.enable - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.EnableServiceAccountKey"

GetIAMPolicy

GetRole

GetServiceAccount

GetServiceAccountKey

ListRoles

ListServiceAccountKeys

ListServiceAccounts

PatchServiceAccount

  • Méthode : google.iam.admin.v1.PatchServiceAccount
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.serviceAccounts.update - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.PatchServiceAccount"

QueryGrantableRoles

SetIAMPolicy

  • Méthode : google.iam.admin.v1.SetIAMPolicy
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.serviceAccounts.setIamPolicy - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.SetIAMPolicy"

TestIAMPermissions

UndeleteRole

  • Méthode : google.iam.admin.v1.UndeleteRole
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.roles.undelete - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.UndeleteRole"

UndeleteServiceAccount

  • Méthode : google.iam.admin.v1.UndeleteServiceAccount
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.serviceAccounts.undelete - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.UndeleteServiceAccount"

UpdateRole

  • Méthode : google.iam.admin.v1.UpdateRole
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.roles.update - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.UpdateRole"

UpdateServiceAccount

  • Méthode : google.iam.admin.v1.UpdateServiceAccount
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.serviceAccounts.update - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.UpdateServiceAccount"

UploadServiceAccountKey

  • Méthode : google.iam.admin.v1.UploadServiceAccountKey
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.serviceAccountKeys.create - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.admin.v1.UploadServiceAccountKey"

google.iam.admin.v1.OauthClients

Les journaux d'audit suivants sont associés aux méthodes appartenant à google.iam.admin.v1.OauthClients.

CreateOauthClient

CreateOauthClientCredential

DeleteOauthClient

DeleteOauthClientCredential

GetOauthClient

GetOauthClientCredential

ListOauthClientCredentials

ListOauthClients

UndeleteOauthClient

UpdateOauthClient

UpdateOauthClientCredential

google.iam.admin.v1.WorkforcePools

Les journaux d'audit suivants sont associés aux méthodes appartenant à google.iam.admin.v1.WorkforcePools.

CreateWorkforcePool

CreateWorkforcePoolProvider

CreateWorkforcePoolProviderKey

DeleteWorkforcePool

DeleteWorkforcePoolProvider

DeleteWorkforcePoolProviderKey

DeleteWorkforcePoolSubject

GetIamPolicy

GetWorkforcePool

GetWorkforcePoolProvider

GetWorkforcePoolProviderKey

ListWorkforcePoolProviderKeys

ListWorkforcePoolProviders

ListWorkforcePools

SetIamPolicy

UndeleteWorkforcePool

UndeleteWorkforcePoolProvider

UndeleteWorkforcePoolProviderKey

UndeleteWorkforcePoolSubject

UpdateWorkforcePool

UpdateWorkforcePoolProvider

google.iam.v1.WorkloadIdentityPools

Les journaux d'audit suivants sont associés aux méthodes appartenant à google.iam.v1.WorkloadIdentityPools.

AddAttestationRule

CreateWorkloadIdentityPool

CreateWorkloadIdentityPoolManagedIdentity

CreateWorkloadIdentityPoolNamespace

CreateWorkloadIdentityPoolProvider

CreateWorkloadIdentityPoolProviderKey

DeleteWorkloadIdentityPool

DeleteWorkloadIdentityPoolManagedIdentity

DeleteWorkloadIdentityPoolNamespace

DeleteWorkloadIdentityPoolProvider

DeleteWorkloadIdentityPoolProviderKey

GetIamPolicy

  • Méthode : google.iam.v1.WorkloadIdentityPools.GetIamPolicy
  • Type de journaux d'audit : journaux d'audit des accès aux données
  • Autorisations :
    • iam.googleapis.com/workloadIdentityPools.getIamPolicy - ADMIN_READ
    • iam.workloadIdentityPools.getIamPolicy - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.GetIamPolicy"

GetWorkloadIdentityPool

GetWorkloadIdentityPoolManagedIdentity

GetWorkloadIdentityPoolNamespace

GetWorkloadIdentityPoolProvider

GetWorkloadIdentityPoolProviderKey

ListAttestationRules

ListWorkloadIdentityPoolManagedIdentities

ListWorkloadIdentityPoolNamespaces

ListWorkloadIdentityPoolProviderKeys

ListWorkloadIdentityPoolProviders

ListWorkloadIdentityPools

RemoveAttestationRule

SetAttestationRules

SetIamPolicy

  • Méthode : google.iam.v1.WorkloadIdentityPools.SetIamPolicy
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.googleapis.com/workloadIdentityPools.setIamPolicy - ADMIN_WRITE
    • iam.workloadIdentityPools.setIamPolicy - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.SetIamPolicy"

UndeleteWorkloadIdentityPool

UndeleteWorkloadIdentityPoolManagedIdentity

UndeleteWorkloadIdentityPoolNamespace

UndeleteWorkloadIdentityPoolProvider

UndeleteWorkloadIdentityPoolProviderKey

UpdateWorkloadIdentityPool

UpdateWorkloadIdentityPoolManagedIdentity

UpdateWorkloadIdentityPoolNamespace

UpdateWorkloadIdentityPoolProvider

google.iam.v1beta.WorkloadIdentityPools

Les journaux d'audit suivants sont associés aux méthodes appartenant à google.iam.v1beta.WorkloadIdentityPools.

CreateWorkloadIdentityPool

CreateWorkloadIdentityPoolProvider

DeleteWorkloadIdentityPool

DeleteWorkloadIdentityPoolProvider

GetWorkloadIdentityPool

GetWorkloadIdentityPoolProvider

ListWorkloadIdentityPoolProviders

ListWorkloadIdentityPools

UndeleteWorkloadIdentityPool

UndeleteWorkloadIdentityPoolProvider

UpdateWorkloadIdentityPool

UpdateWorkloadIdentityPoolProvider

google.iam.v2.Policies

Les journaux d'audit suivants sont associés aux méthodes appartenant à google.iam.v2.Policies.

CreatePolicy

DeletePolicy

GetPolicy

ListPolicies

UpdatePolicy

google.iam.v2alpha.Policies

Les journaux d'audit suivants sont associés aux méthodes appartenant à google.iam.v2alpha.Policies.

CreatePolicy

  • Méthode : google.iam.v2alpha.Policies.CreatePolicy
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.googleapis.com/denypolicies.create - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Opération de longue durée
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v2alpha.Policies.CreatePolicy"

DeletePolicy

  • Méthode : google.iam.v2alpha.Policies.DeletePolicy
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.googleapis.com/denypolicies.delete - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Opération de longue durée
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v2alpha.Policies.DeletePolicy"

GetPolicy

  • Méthode : google.iam.v2alpha.Policies.GetPolicy
  • Type de journaux d'audit : journaux d'audit des accès aux données
  • Autorisations :
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v2alpha.Policies.GetPolicy"

ListPolicies

  • Méthode : google.iam.v2alpha.Policies.ListPolicies
  • Type de journaux d'audit : journaux d'audit des accès aux données
  • Autorisations :
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v2alpha.Policies.ListPolicies"

UpdatePolicy

  • Méthode : google.iam.v2alpha.Policies.UpdatePolicy
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.googleapis.com/denypolicies.update - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Opération de longue durée
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v2alpha.Policies.UpdatePolicy"

google.iam.v2beta.Policies

Les journaux d'audit suivants sont associés aux méthodes appartenant à google.iam.v2beta.Policies.

CreatePolicy

DeletePolicy

GetPolicy

  • Méthode : google.iam.v2beta.Policies.GetPolicy
  • Type de journaux d'audit : journaux d'audit des accès aux données
  • Autorisations :
    • iam.googleapis.com/accessboundarypolicies.get - ADMIN_READ
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v2beta.Policies.GetPolicy"

ListPolicies

UpdatePolicy

google.iam.v3.PolicyBindings

Les journaux d'audit suivants sont associés aux méthodes appartenant à google.iam.v3.PolicyBindings.

CreatePolicyBinding

  • Méthode : google.iam.v3.PolicyBindings.CreatePolicyBinding
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudresourcemanager.googleapis.com/projects.createPolicyBinding - ADMIN_WRITE
    • iam.googleapis.com/principalaccessboundarypolicies.bind - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Opération de longue durée
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v3.PolicyBindings.CreatePolicyBinding"

DeletePolicyBinding

  • Méthode : google.iam.v3.PolicyBindings.DeletePolicyBinding
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudresourcemanager.googleapis.com/projects.deletePolicyBinding - ADMIN_WRITE
    • iam.googleapis.com/principalaccessboundarypolicies.unbind - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Opération de longue durée
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v3.PolicyBindings.DeletePolicyBinding"

GetPolicyBinding

  • Méthode : google.iam.v3.PolicyBindings.GetPolicyBinding
  • Type de journaux d'audit : journaux d'audit des accès aux données
  • Autorisations :
    • iam.policybindings.get - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v3.PolicyBindings.GetPolicyBinding"

ListPolicyBindings

  • Méthode : google.iam.v3.PolicyBindings.ListPolicyBindings
  • Type de journaux d'audit : journaux d'audit des accès aux données
  • Autorisations :
    • iam.policybindings.list - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v3.PolicyBindings.ListPolicyBindings"

SearchTargetPolicyBindings

  • Méthode : google.iam.v3.PolicyBindings.SearchTargetPolicyBindings
  • Type de journaux d'audit : journaux d'audit des accès aux données
  • Autorisations :
    • cloudresourcemanager.googleapis.com/projects.searchPolicyBindings - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v3.PolicyBindings.SearchTargetPolicyBindings"

UpdatePolicyBinding

  • Méthode : google.iam.v3.PolicyBindings.UpdatePolicyBinding
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • cloudresourcemanager.googleapis.com/projects.updatePolicyBinding - ADMIN_WRITE
    • iam.googleapis.com/principalaccessboundarypolicies.bind - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Opération de longue durée
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v3.PolicyBindings.UpdatePolicyBinding"

google.iam.v3.PrincipalAccessBoundaryPolicies

Les journaux d'audit suivants sont associés aux méthodes appartenant à google.iam.v3.PrincipalAccessBoundaryPolicies.

CreatePrincipalAccessBoundaryPolicy

  • Méthode : google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.principalaccessboundarypolicies.create - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Opération de longue durée
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy"

DeletePrincipalAccessBoundaryPolicy

  • Méthode : google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.principalaccessboundarypolicies.delete - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Opération de longue durée
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy"

GetPrincipalAccessBoundaryPolicy

  • Méthode : google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
  • Type de journaux d'audit : journaux d'audit des accès aux données
  • Autorisations :
    • iam.principalaccessboundarypolicies.get - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy"

ListPrincipalAccessBoundaryPolicies

  • Méthode : google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
  • Type de journaux d'audit : journaux d'audit des accès aux données
  • Autorisations :
    • iam.principalaccessboundarypolicies.list - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies"

SearchPrincipalAccessBoundaryPolicyBindings

  • Méthode : google.iam.v3.PrincipalAccessBoundaryPolicies.SearchPrincipalAccessBoundaryPolicyBindings
  • Type de journaux d'audit : journaux d'audit des accès aux données
  • Autorisations :
    • iam.principalaccessboundarypolicies.searchPolicyBindings - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.SearchPrincipalAccessBoundaryPolicyBindings"

UpdatePrincipalAccessBoundaryPolicy

  • Méthode : google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • iam.principalaccessboundarypolicies.update - ADMIN_WRITE
  • La méthode est une opération de longue durée ou en flux continu : Opération de longue durée
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy"

google.iam.v3beta.PolicyBindings

Les journaux d'audit suivants sont associés aux méthodes appartenant à google.iam.v3beta.PolicyBindings.

CreatePolicyBinding

DeletePolicyBinding

GetPolicyBinding

ListPolicyBindings

SearchTargetPolicyBindings

  • Méthode : google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings
  • Type de journaux d'audit : journaux d'audit des accès aux données
  • Autorisations :
    • cloudresourcemanager.googleapis.com/folders.searchPolicyBindings - ADMIN_READ
    • cloudresourcemanager.googleapis.com/organizations.searchPolicyBindings - ADMIN_READ
    • cloudresourcemanager.googleapis.com/projects.searchPolicyBindings - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings"

UpdatePolicyBinding

google.iam.v3beta.PrincipalAccessBoundaryPolicies

Les journaux d'audit suivants sont associés aux méthodes appartenant à google.iam.v3beta.PrincipalAccessBoundaryPolicies.

CreatePrincipalAccessBoundaryPolicy

DeletePrincipalAccessBoundaryPolicy

GetPrincipalAccessBoundaryPolicy

ListPrincipalAccessBoundaryPolicies

SearchPrincipalAccessBoundaryPolicyBindings

UpdatePrincipalAccessBoundaryPolicy

google.longrunning.Operations

Les journaux d'audit suivants sont associés aux méthodes appartenant à google.longrunning.Operations.

GetOperation

Méthodes ne produisant pas de journaux d'audit

Il est possible qu'une méthode ne produise pas de journaux d'audit pour une ou plusieurs des raisons suivantes :

  • Il s'agit d'une méthode à volume élevé impliquant des coûts significatifs de génération de journaux et de stockage.
  • Sa valeur d'audit est faible.
  • Un autre journal d'audit ou de plate-forme couvre déjà cette méthode.

Les méthodes suivantes ne génèrent pas de journaux d'audit :

  • google.iam.admin.v1.IAM.LintPolicy
  • google.iam.admin.v1.IAM.QueryAuditableServices
  • google.iam.admin.v1.IAM.QueryTestablePermissions
  • google.iam.admin.v1.IAM.SignBlob
  • google.iam.admin.v1.IAM.SignJwt
  • google.iam.admin.v1.WorkforcePools.TestIamPermissions

Exemples de requêtes

Pour utiliser les exemples de requêtes du tableau suivant, procédez comme suit :

  1. Remplacez les variables de l'expression de requête par vos propres informations de projet, puis copiez l'expression à l'aide de l'icône de presse-papiers .

  2. Dans la console Google Cloud , accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

  3. Activez Afficher la requête pour ouvrir le champ de l'éditeur de requête, puis collez l'expression dans le champ de l'éditeur de requête :

    Éditeur de requête dans lequel vous saisissez des exemples de requêtes.

  4. Cliquez sur Exécuter la requête. Les journaux correspondant à votre requête sont répertoriés dans le volet Résultats de la requête.

Pour rechercher des journaux d'audit pour Identity and Access Management, utilisez les requêtes suivantes dans l'explorateur de journaux :

Avant d'utiliser les exemples de requêtes, remplacez les valeurs suivantes :

  • SERVICE_ACCOUNT_SHORT_ID : tout ce qui précède le symbole @ dans l'adresse e-mail du compte de service. Par exemple, l'ID du compte de service service-account@example.iam.gserviceaccount.com est service-account.
  • SERVICE_ACCOUNT_EMAIL : adresse e-mail complète du compte de service. Exemple : service-account@example.iam.gserviceaccount.com.
  • ROLE_NAME : nom complet du rôle, y compris les préfixes organizations/, projects/ ou roles/. Par exemple, organizations/123456789012/roles/myCompanyAdmin.
Nom de la requête Expression
Compte de service créé 
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
(protoPayload.request.account_id:"SERVICE_ACCOUNT_SHORT_ID"
  OR protoPayload.response.email:"SERVICE_ACCOUNT_EMAIL")
Le compte de service a bien été supprimé. 
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Clé de compte de service créée 
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
La clé de compte de service a bien été supprimée 
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Toute ressource créée, modifiée ou supprimée 
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")
Rôle personnalisé mis à jour 
log_id("cloudaudit.googleapis.com/activity")
resource.type = "iam_role"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"UpdateRole"
resource.labels.role_name:"ROLE_NAME"
Règle d'autorisation au niveau du projet mise à jour 
resource.type = "project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"SetIamPolicy"