En esta página, se proporcionan ejemplos de los registros de auditoría que se generan cuando usas la integración de aplicaciones de OAuth de la federación de Workforce Identity. Con la integración de aplicaciones de OAuth de la federación de Workforce Identity, puedes permitir que las aplicaciones de terceros se integren con Google Cloud a través de OAuth y usar identidades externas para acceder a los recursos de Google Cloud.
En cada uno de los siguientes ejemplos, solo se muestran los campos más relevantes de las entradas de registro.
Para obtener más información sobre cómo habilitar y ver los registros de auditoría, consulta Registros de auditoría de Identity and Access Management.
Roles obligatorios
IAM puede generar registros de auditoría cuando creas y administras clientes de OAuth. Para habilitar los registros de auditoría cuando administras clientes de OAuth, debes habilitar los registros de auditoría para la actividad de acceso a los datos en la siguiente API:
- API de Identity and Access Management (habilita el tipo de registro “ADMIN_READ”)
Registros para crear un cliente de OAuth
La entrada de registro es similar a la siguiente:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient", "resourceName": "projects/PROJECT_NUMBER/locations/global", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest", "oauthClient": {}, "oauthClientId": OAUTH_CLIENT_ID, "parent": "projects/PROJECT_NUMBER/locations/global" } }, "resource": { "type": "audited_resource" } }
Esta entrada de registro incluye los siguientes valores, que puedes usar para filtrar registros:
PROJECT_NUMBER: Es el número del proyecto que contiene la integración de la aplicación de OAuth.
PRINCIPAL_EMAIL: Es la dirección de correo electrónico del principal propietario del cliente de OAuth.
OAUTH_CLIENT_ID: La identidad del cliente de OAuth
Registros para crear una credencial de cliente de OAuth
La entrada de registro es similar a la siguiente:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential", "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest", "oauthClientCredential": {}, "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID, "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID" } }, "resource": { "type": "audited_resource" } }
Esta entrada de registro incluye los siguientes valores, que puedes usar para filtrar registros:
PROJECT_NUMBER: Es el número del proyecto que contiene la integración de la aplicación de OAuth.
PRINCIPAL_EMAIL: Es la dirección de correo electrónico del principal que (es propietario de|accedió a) al cliente de OAuth.
OAUTH_CLIENT_ID: La identidad del cliente de OAuth
OAUTH_CLIENT_CREDENTIAL_ID: La identidad de la credencial del cliente de OAuth
¿Qué sigue?
- Configura y visualiza los registros de auditoría de IAM.
- Obtén más información sobre los registros de auditoría de Cloud.
- Configura la integración de aplicaciones de OAuth de Workforce con clientes de OAuth.