このページは Cloud Translation API によって翻訳されました。

Workforce Identity 連携 OAuth アプリケーション統合のログの例

このページでは、Workforce Identity 連携 OAuth アプリケーション統合の使用時に生成される監査ログの例を示します。Workforce Identity 連携の OAuth アプリケーション統合を使用すると、サードパーティアプリケーションが OAuth を介して Google Cloud と統合し、外部 ID を使用して Google Cloud リソースにアクセスできるようにできます。

次の例では、ログエントリの最も関連性の高いフィールドのみを表示しています。

監査ログの有効化と表示の詳細については、Identity and Access Management 監査ロギングをご覧ください。

必要なロール

IAM は、OAuth クライアントの作成と管理時に監査ログを生成できます。OAuth クライアントを管理するときに監査ログを有効にするには、次の API のデータアクセスアクティビティの監査ログを有効にする必要があります。

Identity and Access Management API（ログタイプ「ADMIN_READ」を有効にする）

OAuth クライアントの作成に関するログ

ログエントリは次のようになります。

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient",
    "resourceName": "projects/PROJECT_NUMBER/locations/global",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest",
      "oauthClient": {},
      "oauthClientId": OAUTH_CLIENT_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

このログエントリには、ログのフィルタに使用できる次の値が含まれています。

PROJECT_NUMBER: OAuth アプリケーションの統合を含むプロジェクトのプロジェクト番号。
PRINCIPAL_EMAIL: OAuth クライアントを所有するプリンシパルのメールアドレス。
OAUTH_CLIENT_ID: OAuth クライアントの ID

OAuth クライアント認証情報を作成した場合のログ

ログエントリは次のようになります。

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential",
    "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest",
      "oauthClientCredential": {},
      "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

このログエントリには、ログのフィルタに使用できる次の値が含まれています。

PROJECT_NUMBER: OAuth アプリケーションの統合を含むプロジェクトのプロジェクト番号。
PRINCIPAL_EMAIL: OAuth クライアントを所有またはアクセスするプリンシパルのメールアドレス。
OAUTH_CLIENT_ID: OAuth クライアントの ID
OAUTH_CLIENT_CREDENTIAL_ID: OAuth クライアント認証情報の ID

次のステップ

IAM の監査ログを構成、表示する。
Cloud Audit Logs の詳細を確認する。
OAuth クライアントを使用して Workforce OAuth アプリケーション統合を設定します。