Halaman ini memberikan contoh log audit yang dibuat saat Anda menggunakan integrasi aplikasi OAuth Workforce Identity Federation. Dengan integrasi aplikasi OAuth Workforce Identity Federation, Anda dapat mengizinkan aplikasi pihak ketiga untuk berintegrasi dengan Google Cloud melalui OAuth dan menggunakan identitas eksternal untuk mengakses resource Google Cloud.
Setiap contoh berikut hanya menampilkan kolom yang paling relevan dalam entri log.
Untuk informasi selengkapnya tentang cara mengaktifkan dan melihat log audit, lihat logging audit Identity and Access Management.
Peran yang diperlukan
IAM dapat menghasilkan log audit saat Anda membuat dan mengelola klien OAuth. Untuk mengaktifkan log audit saat mengelola klien OAuth, Anda harus mengaktifkan log audit untuk aktivitas Akses Data untuk API berikut:
- Identity and Access Management API (mengaktifkan jenis log "ADMIN_READ")
Log untuk membuat klien OAuth
Entri log mirip dengan yang berikut ini:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient", "resourceName": "projects/PROJECT_NUMBER/locations/global", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest", "oauthClient": {}, "oauthClientId": OAUTH_CLIENT_ID, "parent": "projects/PROJECT_NUMBER/locations/global" } }, "resource": { "type": "audited_resource" } }
Entri log ini mencakup nilai berikut, yang dapat Anda gunakan untuk memfilter log:
PROJECT_NUMBER: nomor project dari project yang berisi integrasi aplikasi OAuth.
PRINCIPAL_EMAIL: alamat email akun utama yang memiliki klien OAuth.
OAUTH_CLIENT_ID: identitas klien OAuth
Log untuk membuat kredensial klien OAuth
Entri log mirip dengan yang berikut ini:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential", "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest", "oauthClientCredential": {}, "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID, "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID" } }, "resource": { "type": "audited_resource" } }
Entri log ini mencakup nilai berikut, yang dapat Anda gunakan untuk memfilter log:
PROJECT_NUMBER: nomor project dari project yang berisi integrasi aplikasi OAuth.
PRINCIPAL_EMAIL: alamat email akun utama yang (memiliki|mengakses) klien OAuth.
OAUTH_CLIENT_ID: identitas klien OAuth
OAUTH_CLIENT_CREDENTIAL_ID: identitas kredensial klien OAuth
Langkah selanjutnya
- Mengonfigurasi dan melihat log audit untuk IAM.
- Dapatkan informasi selengkapnya tentang Cloud Audit Logs.
- Siapkan Integrasi aplikasi OAuth Workforce menggunakan klien OAuth.