Neste documento, descrevemos a geração de registros de auditoria das credenciais da conta de serviço. Os serviços do Google Cloud geram registros de auditoria que registram atividades administrativas e de acesso nos recursos do Google Cloud. Para mais informações sobre os Registros de auditoria do Cloud, consulte:
- Tipos de registros de auditoria
- Estrutura da entrada de registro de auditoria
- Como armazenar e rotear registros de auditoria
- Resumo dos preços do Cloud Logging
- Ativar registros de auditoria de acesso a dados
Nome do serviço
Os registros de auditoria das credenciais da conta de serviço usam o nome de serviço iamcredentials.googleapis.com.
Filtrar por este serviço:
protoPayload.serviceName="iamcredentials.googleapis.com"
Métodos por tipo de permissão
Cada permissão do IAM tem uma propriedade type, que tem o valor de um tipo enumerado
que pode ser um dos quatro valores: ADMIN_READ, ADMIN_WRITE,
DATA_READ ou DATA_WRITE. Quando você chama um método,
as credenciais da conta de serviço geram um registro de auditoria com categoria dependente da
propriedade type da permissão necessária para executar o método.
Métodos que exigem uma permissão do IAM com o valor da propriedade type
de DATA_READ, DATA_WRITE ou ADMIN_READ geram
registros de auditoria de acesso aos dados.
Métodos que exigem uma permissão do IAM com o valor da propriedade type
de ADMIN_WRITE geram
registros de auditoria de Atividade do administrador.
| Tipo de permissão | Métodos |
|---|---|
ADMIN_READ |
GenerateAccessTokenGenerateIdTokenSignBlobSignJwt |
Registros de auditoria da interface da API
Para informações sobre como e quais permissões são avaliadas para cada método, consulte a documentação do Identity and Access Management para as credenciais da conta de serviço.
google.iam.credentials.v1.IAMCredentials
Os registros de auditoria a seguir estão associados a métodos que pertencem a
google.iam.credentials.v1.IAMCredentials.
GenerateAccessToken
- Método:
GenerateAccessToken - Tipo de registro de auditoria: acesso a dados
- Permissões:
iam.serviceAccounts.getAccessToken - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="GenerateAccessToken"
GenerateIdToken
- Método:
GenerateIdToken - Tipo de registro de auditoria: acesso a dados
- Permissões:
iam.serviceAccounts.getOpenIdToken - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="GenerateIdToken"
SignBlob
- Método:
SignBlob - Tipo de registro de auditoria: acesso a dados
- Permissões:
iam.serviceAccounts.signBlob - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="SignBlob"
SignJwt
- Método:
SignJwt - Tipo de registro de auditoria: acesso a dados
- Permissões:
iam.serviceAccounts.implicitDelegation - ADMIN_READiam.serviceAccounts.signJwt - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="SignJwt"