Questa pagina fornisce esempi di audit log generati quando utilizzi l'integrazione dell'applicazione OAuth di Workforce Identity Federation. Con l'integrazione delle applicazioni OAuth di Workforce Identity Federation, puoi consentire alle applicazioni di terze parti di integrarsi con Google Cloud tramite OAuth e utilizzare le identità esterne per accedere Google Cloud alle risorse.
Ciascuno dei seguenti esempi mostra solo i campi più pertinenti nelle voci del log.
Per ulteriori informazioni su come attivare e visualizzare i log di controllo, consulta Log di controllo di Identity and Access Management.
Ruoli obbligatori
IAM può generare log di controllo quando crei e gestisci client OAuth. Per attivare i log di controllo durante la gestione dei client OAuth, devi attivare i log di controllo per l'attività di accesso ai dati per la seguente API:
- API Identity and Access Management (attiva il tipo di log "ADMIN_READ")
Log per la creazione di un client OAuth
La voce di log è simile alla seguente:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient", "resourceName": "projects/PROJECT_NUMBER/locations/global", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest", "oauthClient": {}, "oauthClientId": OAUTH_CLIENT_ID, "parent": "projects/PROJECT_NUMBER/locations/global" } }, "resource": { "type": "audited_resource" } }
Questa voce di log include i seguenti valori, che puoi utilizzare per filtrare i log:
PROJECT_NUMBER: il numero del progetto che contiene l'integrazione dell'applicazione OAuth.
PRINCIPAL_EMAIL: l'indirizzo email del principale proprietario del client OAuth.
OAUTH_CLIENT_ID: l'identità del client OAuth
Log per la creazione di una credenziale client OAuth
La voce di log è simile alla seguente:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential", "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest", "oauthClientCredential": {}, "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID, "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID" } }, "resource": { "type": "audited_resource" } }
Questa voce di log include i seguenti valori, che puoi utilizzare per filtrare i log:
PROJECT_NUMBER: il numero del progetto che contiene l'integrazione dell'applicazione OAuth.
PRINCIPAL_EMAIL: l'indirizzo email del principale che (possiede|ha eseguito l'accesso) al client OAuth.
OAUTH_CLIENT_ID: l'identità del client OAuth
OAUTH_CLIENT_CREDENTIAL_ID: l'identità della credenziale client OAuth
Passaggi successivi
- Configura e visualizza gli audit log per IAM.
- Scopri di più su Cloud Audit Logs.
- Configura l'integrazione dell'applicazione OAuth di Workforce utilizzando i client OAuth.