Log di controllo delle credenziali dell'account di servizio

Questo documento descrive la registrazione degli audit per le credenziali dell'account di servizio.I servizi Google Cloud generano audit log che registrano le attività amministrative e di accesso all'interno delle tue Google Cloud risorse. Per ulteriori informazioni su Cloud Audit Logs, consulta quanto segue:

• Tipi di log di controllo
• Struttura voce di log di controllo
• Archiviazione e inoltro dei log di controllo
• Riepilogo dei prezzi di Cloud Logging
• Attivare gli audit log di accesso ai dati

Nome servizio

I log di controllo delle credenziali dell'account di servizio utilizzano il nome del servizio iamcredentials.googleapis.com. Filtra per questo servizio:

    protoPayload.serviceName="iamcredentials.googleapis.com"
  

Metodi per tipo di autorizzazione

Ogni autorizzazione IAM ha una proprietà type, il cui valore è un enum che può essere uno dei quattro valori: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Quando chiami un metodo, le credenziali dell'account di servizio generano un log di controllo la cui categoria dipende dalla proprietà type dell'autorizzazione richiesta per eseguire il metodo. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type corrispondente a DATA_READ, DATA_WRITE o ADMIN_READ generano log di controllo Accesso ai dati. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type ADMIN_WRITE generano log di controllo Attività amministratore.

Audit log dell'interfaccia API

Per informazioni su come e quali autorizzazioni vengono valutate per ciascun metodo, consulta la documentazione di Identity and Access Management per le credenziali dell'account di servizio.

google.iam.credentials.v1.IAMCredentials

I seguenti log di controllo sono associati ai metodi appartenenti a google.iam.credentials.v1.IAMCredentials.

GenerateAccessToken

• Metodo: GenerateAccessToken
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • iam.serviceAccounts.getAccessToken - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="GenerateAccessToken"
  

GenerateIdToken

• Metodo: GenerateIdToken
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • iam.serviceAccounts.getOpenIdToken - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="GenerateIdToken"
  

SignBlob

• Metodo: SignBlob
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • iam.serviceAccounts.signBlob - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="SignBlob"
  

SignJwt

• Metodo: SignJwt
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • iam.serviceAccounts.implicitDelegation - ADMIN_READ
  • iam.serviceAccounts.signJwt - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="SignJwt"