Registro de auditoría del sistema para la gestión de identidades entre dominios (SCIM)

En este documento se describe el registro de auditoría del servicio SCIM de gestión de identidades y accesos. Google Cloud Los servicios generan registros de auditoría que registran las actividades administrativas y de acceso en tus Google Cloud recursos. Para obtener más información sobre los registros de auditoría de Cloud, consulta los siguientes artículos:

• Tipos de registros de auditoría
• Estructura de las entradas del registro de auditoría
• Almacenar y enrutar registros de auditoría
• Resumen de precios de Cloud Logging
• Habilitar registros de auditoría de acceso a datos

Nombre del servicio

Los registros de auditoría del servicio SCIM de gestión de identidades y accesos usan el nombre de servicio iamscim.googleapis.com. Filtrar por este servicio:

    protoPayload.serviceName="iamscim.googleapis.com"
  

Métodos por tipo de permiso

Cada permiso de gestión de identidades y accesos tiene una propiedad type, cuyo valor es una enumeración que puede ser uno de estos cuatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Cuando llamas a un método, el servicio SCIM de gestión de identidades y accesos genera un registro de auditoría cuya categoría depende de la propiedad type del permiso necesario para realizar el método. Los métodos que requieren un permiso de gestión de identidades y accesos con el valor de propiedad type de DATA_READ, DATA_WRITE o ADMIN_READ generan registros de auditoría de acceso a datos. Los métodos que requieren un permiso de gestión de identidades y accesos con el valor de la propiedad typeADMIN_WRITE generan registros de auditoría de actividad de administrador.

Registros de auditoría de la interfaz de la API

Para obtener información sobre cómo y qué permisos se evalúan en cada método, consulta la documentación de gestión de identidades y accesos del servicio SCIM de gestión de identidades y accesos.

google.cloud.iamscim.v1alpha1.Groups

Los siguientes registros de auditoría están asociados a métodos que pertenecen a google.cloud.iamscim.v1alpha1.Groups.

CreateGroup

• Método: google.cloud.iamscim.v1alpha1.Groups.CreateGroup
  
• Tipo de registro de auditoría: Actividad de administrador
  
• Permisos:
  • iam.workforcePoolProviderScimGroups.create - ADMIN_WRITE
• El método es una operación de larga duración o de streaming: No.
  
• Filtrar por este método: protoPayload.methodName="google.cloud.iamscim.v1alpha1.Groups.CreateGroup"
  

DeleteGroup

• Método: google.cloud.iamscim.v1alpha1.Groups.DeleteGroup
  
• Tipo de registro de auditoría: Actividad de administrador
  
• Permisos:
  • iam.workforcePoolProviderScimGroups.delete - ADMIN_WRITE
• El método es una operación de larga duración o de streaming: No.
  
• Filtrar por este método: protoPayload.methodName="google.cloud.iamscim.v1alpha1.Groups.DeleteGroup"
  

PatchGroup

• Método: google.cloud.iamscim.v1alpha1.Groups.PatchGroup
  
• Tipo de registro de auditoría: Actividad de administrador
  
• Permisos:
  • iam.workforcePoolProviderScimGroups.patch - ADMIN_WRITE
• El método es una operación de larga duración o de streaming: No.
  
• Filtrar por este método: protoPayload.methodName="google.cloud.iamscim.v1alpha1.Groups.PatchGroup"
  

google.cloud.iamscim.v1alpha1.Users

Los siguientes registros de auditoría están asociados a métodos que pertenecen a google.cloud.iamscim.v1alpha1.Users.

CreateUser

• Método: google.cloud.iamscim.v1alpha1.Users.CreateUser
  
• Tipo de registro de auditoría: Actividad de administrador
  
• Permisos:
  • iam.workforcePoolProviderScimUsers.create - ADMIN_WRITE
• El método es una operación de larga duración o de streaming: No.
  
• Filtrar por este método: protoPayload.methodName="google.cloud.iamscim.v1alpha1.Users.CreateUser"
  

DeleteUser

• Método: google.cloud.iamscim.v1alpha1.Users.DeleteUser
  
• Tipo de registro de auditoría: Actividad de administrador
  
• Permisos:
  • iam.workforcePoolProviderScimUsers.delete - ADMIN_WRITE
• El método es una operación de larga duración o de streaming: No.
  
• Filtrar por este método: protoPayload.methodName="google.cloud.iamscim.v1alpha1.Users.DeleteUser"
  

ListUsers

• Método: google.cloud.iamscim.v1alpha1.Users.ListUsers
  
• Tipo de registro de auditoría: Acceso a datos
  
• Permisos:
  • iam.workforcePoolProviderScimUsers.list - ADMIN_READ
• El método es una operación de larga duración o de streaming: No.
  
• Filtrar por este método: protoPayload.methodName="google.cloud.iamscim.v1alpha1.Users.ListUsers"
  

PatchUser

• Método: google.cloud.iamscim.v1alpha1.Users.PatchUser
  
• Tipo de registro de auditoría: Actividad de administrador
  
• Permisos:
  • iam.workforcePoolProviderScimUsers.patch - ADMIN_WRITE
• El método es una operación de larga duración o de streaming: No.
  
• Filtrar por este método: protoPayload.methodName="google.cloud.iamscim.v1alpha1.Users.PatchUser"
  

PutUser

• Método: google.cloud.iamscim.v1alpha1.Users.PutUser
  
• Tipo de registro de auditoría: Actividad de administrador
  
• Permisos:
  • iam.workforcePoolProviderScimUsers.put - ADMIN_WRITE
• El método es una operación de larga duración o de streaming: No.
  
• Filtrar por este método: protoPayload.methodName="google.cloud.iamscim.v1alpha1.Users.PutUser"
  

Métodos que no generan registros de auditoría

Es posible que un método no genere registros de auditoría por uno o varios de los siguientes motivos:

• Es un método de gran volumen que implica una generación y un almacenamiento de registros significativos, así como costes.
• Tiene poco valor de auditoría.
• Otro registro de auditoría o de plataforma ya proporciona cobertura de métodos.

Los siguientes métodos no generan registros de auditoría:

• google.cloud.iamscim.v1alpha1.Groups.GetGroup
• google.cloud.iamscim.v1alpha1.Groups.ListGroups
• google.cloud.iamscim.v1alpha1.Schemas.GetSchema
• google.cloud.iamscim.v1alpha1.Schemas.ListSchemas
• google.cloud.iamscim.v1alpha1.ServiceProviderConfigService.GetServiceProviderConfig
• google.cloud.iamscim.v1alpha1.Users.GetUser