In diesem Dokument wird das Audit-Logging für Security Token Service beschrieben. Google Cloud -Dienste generieren Audit-Logs, in denen Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud -Ressourcen aufgezeichnet werden. Weitere Informationen zu Cloud-Audit-Logs finden Sie unter den folgenden Links:
- Typen von Audit-Logs
- Struktur von Audit-Logeinträgen
- Audit-Logs speichern und weiterleiten
- Preisübersicht für Cloud Logging
- Audit-Logs zum Datenzugriff aktivieren
Dienstname
Audit-Logs von Security Token Service verwenden den Dienstnamen sts.googleapis.com.
Nach diesem Dienst filtern:
protoPayload.serviceName="sts.googleapis.com"
Methoden nach Berechtigungstyp
Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert ein Enum ist, der einen der folgenden vier Werte haben kann: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, generiert der Security Token Service ein Audit-Log, dessen Kategorie vom Attribut type der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist.
Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff.
Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.
| Berechtigungstyp | Methoden |
|---|---|
ADMIN_READ |
google.identity.sts.SecurityTokenService.WebSignIngoogle.identity.sts.SecurityTokenService.WebSignOutgoogle.identity.sts.v1.SecurityTokenService.ExchangeTokengoogle.identity.sts.v1beta.SecurityTokenService.ExchangeToken |
Audit-Logs der API-Schnittstelle
Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation zu Identity and Access Management für Security Token Service.
google.identity.sts.SecurityTokenService
Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.identity.sts.SecurityTokenService gehören.
WebSignIn
- Methode:
google.identity.sts.SecurityTokenService.WebSignIn - Audit-Logtyp: Datenzugriff
- Berechtigungen:
sts.identityProviders.checkLogging - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang:
Nein.
- Filter für diese Methode:
protoPayload.methodName="google.identity.sts.SecurityTokenService.WebSignIn"
WebSignOut
- Methode:
google.identity.sts.SecurityTokenService.WebSignOut - Audit-Logtyp: Datenzugriff
- Berechtigungen:
sts.identityProviders.checkLogging - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang:
Nein.
- Filter für diese Methode:
protoPayload.methodName="google.identity.sts.SecurityTokenService.WebSignOut"
google.identity.sts.v1.SecurityTokenService
Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.identity.sts.v1.SecurityTokenService gehören.
ExchangeToken
- Methode:
google.identity.sts.v1.SecurityTokenService.ExchangeToken - Audit-Logtyp: Datenzugriff
- Berechtigungen:
sts.identityProviders.checkLogging - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang:
Nein.
- Filter für diese Methode:
protoPayload.methodName="google.identity.sts.v1.SecurityTokenService.ExchangeToken"
google.identity.sts.v1beta.SecurityTokenService
Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.identity.sts.v1beta.SecurityTokenService gehören.
ExchangeToken
- Methode:
google.identity.sts.v1beta.SecurityTokenService.ExchangeToken - Audit-Logtyp: Datenzugriff
- Berechtigungen:
sts.identityProviders.checkLogging - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang:
Nein.
- Filter für diese Methode:
protoPayload.methodName="google.identity.sts.v1beta.SecurityTokenService.ExchangeToken"