Auf dieser Seite finden Sie Beispiele für Audit-Logs, die generiert werden, wenn Sie die OAuth-Anwendungsintegration für die Workforce Identity-Föderation verwenden. Mit der OAuth-Anwendungsintegration der Workforce Identity-Föderation können Sie Drittanbieteranwendungen erlauben, sich über OAuth in Google Cloud zu integrieren und externe Identitäten für den Zugriff auf Google Cloud-Ressourcen zu verwenden.
In den folgenden Beispielen werden nur die relevantesten Felder in den Logeinträgen angezeigt.
Weitere Informationen zum Aktivieren und Ansehen von Audit-Logs finden Sie unter Audit-Logging für die Identitäts- und Zugriffsverwaltung.
Erforderliche Rollen
IAM kann Audit-Logs generieren, wenn Sie OAuth-Clients erstellen und verwalten. Wenn Sie Audit-Logs beim Verwalten von OAuth-Clients aktivieren möchten, müssen Sie Audit-Logs für Datenzugriffsaktivitäten für die folgende API aktivieren:
- Identity and Access Management API (Logtyp „ADMIN_READ“ aktivieren)
Protokolle zum Erstellen eines OAuth-Clients
Der Logeintrag sieht in etwa so aus:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient", "resourceName": "projects/PROJECT_NUMBER/locations/global", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest", "oauthClient": {}, "oauthClientId": OAUTH_CLIENT_ID, "parent": "projects/PROJECT_NUMBER/locations/global" } }, "resource": { "type": "audited_resource" } }
Dieser Logeintrag enthält die folgenden Werte, mit denen Sie Protokolle filtern können:
PROJECT_NUMBER: die Projektnummer des Projekts, das die OAuth-Anwendungsintegration enthält.
PRINCIPAL_EMAIL: die E-Mail-Adresse des Hauptkontos, dem der OAuth-Client gehört.
OAUTH_CLIENT_ID: die Identität des OAuth-Clients
Protokolle zum Erstellen von OAuth-Clientanmeldedaten
Der Logeintrag sieht in etwa so aus:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential", "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest", "oauthClientCredential": {}, "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID, "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID" } }, "resource": { "type": "audited_resource" } }
Dieser Logeintrag enthält die folgenden Werte, mit denen Sie Protokolle filtern können:
PROJECT_NUMBER: die Projektnummer des Projekts, das die OAuth-Anwendungsintegration enthält.
PRINCIPAL_EMAIL: die E-Mail-Adresse des Hauptkontos, das dem OAuth-Client gehört|auf das zugegriffen wird.
OAUTH_CLIENT_ID: die Identität des OAuth-Clients
OAUTH_CLIENT_CREDENTIAL_ID: die Identität der OAuth-Clientanmeldedaten
Nächste Schritte
- Audit-Logs für IAM konfigurieren und ansehen
- Weitere Informationen zu Cloud-Audit-Logs
- Richten Sie die OAuth-Anwendungsintegration für Workforce mit OAuth-Clients ein.