직원 ID 제휴 OAuth 애플리케이션 통합 로그 예시

이 페이지에서는 직원 ID 제휴 OAuth 애플리케이션 통합을 사용할 때 생성되는 감사 로그의 예시를 제공합니다. 직원 ID 제휴 OAuth 애플리케이션 통합을 사용하면 서드 파티 애플리케이션이 OAuth를 통해 Google Cloud와 통합하고 외부 ID를 사용하여 Google Cloud 리소스에 액세스하도록 허용할 수 있습니다.

다음 예시에서는 각각 로그 항목의 가장 관련 있는 필드만 표시합니다.

감사 로그 사용 설정 및 보기에 대한 자세한 내용은 Identity and Access Management 감사 로깅을 참고하세요.

필요한 역할

사용자가 OAuth 클라이언트를 만들고 관리할 때 IAM에서 감사 로그를 생성할 수 있습니다. OAuth 클라이언트를 관리할 때 감사 로그를 사용 설정하려면 다음 API에 대한 데이터 액세스 활동에 대한 감사 로그를 사용 설정해야 합니다.

Identity and Access Management API(로그 유형 'ADMIN_READ' 사용 설정)

OAuth 클라이언트 생성을 위한 로그

로그 항목은 다음과 비슷합니다.

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient",
    "resourceName": "projects/PROJECT_NUMBER/locations/global",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest",
      "oauthClient": {},
      "oauthClientId": OAUTH_CLIENT_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

이 로그 항목에는 로그를 필터링하는 데 사용할 수 있는 다음 값이 포함됩니다.

PROJECT_NUMBER: OAuth 애플리케이션 통합이 포함된 프로젝트의 프로젝트 번호입니다.
PRINCIPAL_EMAIL: OAuth 클라이언트를 소유한 주 구성원의 이메일 주소입니다.
OAUTH_CLIENT_ID: OAuth 클라이언트의 ID입니다.

OAuth 클라이언트 사용자 인증 정보 생성을 위한 로그

로그 항목은 다음과 비슷합니다.

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential",
    "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest",
      "oauthClientCredential": {},
      "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

이 로그 항목에는 로그를 필터링하는 데 사용할 수 있는 다음 값이 포함됩니다.

PROJECT_NUMBER: OAuth 애플리케이션 통합이 포함된 프로젝트의 프로젝트 번호입니다.
PRINCIPAL_EMAIL: OAuth 클라이언트를 소유하거나 액세스한 주 구성원의 이메일 주소입니다.
OAUTH_CLIENT_ID: OAuth 클라이언트의 ID입니다.
OAUTH_CLIENT_CREDENTIAL_ID: OAuth 클라이언트 사용자 인증 정보의 ID입니다.

다음 단계

IAM의 감사 로그 구성 및 보기
Cloud 감사 로그에 대해 자세히 알아보기
OAuth 클라이언트를 사용하여 Workforce OAuth 애플리케이션 통합 설정