Esta página fornece exemplos dos registos de auditoria gerados quando usa a integração de aplicações OAuth da federação de identidade da força de trabalho. Com a integração da aplicação OAuth da Federação de identidades da força de trabalho, pode permitir que as aplicações de terceiros se integrem com o Google Cloud através do OAuth e usem identidades externas para aceder a recursos Google Cloud .
Cada um dos exemplos seguintes mostra apenas os campos mais relevantes nas entradas do registo.
Para mais informações sobre como ativar e ver registos de auditoria, consulte o artigo Registo de auditoria da gestão de identidades e acessos.
Funções necessárias
O IAM pode gerar registos de auditoria quando cria e gere clientes OAuth. Para ativar os registos de auditoria ao gerir clientes OAuth, tem de ativar os registos de auditoria para a atividade de acesso a dados para a seguinte API:
- API Identity and Access Management (ative o tipo de registo "ADMIN_READ")
Registos para criar um cliente OAuth
A entrada do registo é semelhante à seguinte:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient", "resourceName": "projects/PROJECT_NUMBER/locations/global", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest", "oauthClient": {}, "oauthClientId": OAUTH_CLIENT_ID, "parent": "projects/PROJECT_NUMBER/locations/global" } }, "resource": { "type": "audited_resource" } }
Esta entrada do registo inclui os seguintes valores, que pode usar para filtrar registos:
PROJECT_NUMBER: o número do projeto que contém a integração da aplicação OAuth.
PRINCIPAL_EMAIL: o endereço de email do principal proprietário do cliente OAuth.
OAUTH_CLIENT_ID: a identidade do cliente OAuth
Registos para a criação de uma credencial de cliente OAuth
A entrada do registo é semelhante à seguinte:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential", "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest", "oauthClientCredential": {}, "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID, "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID" } }, "resource": { "type": "audited_resource" } }
Esta entrada do registo inclui os seguintes valores, que pode usar para filtrar registos:
PROJECT_NUMBER: o número do projeto que contém a integração da aplicação OAuth.
PRINCIPAL_EMAIL: o endereço de email do principal que (detém|acedeu) ao cliente OAuth.
OAUTH_CLIENT_ID: a identidade do cliente OAuth
OAUTH_CLIENT_CREDENTIAL_ID: a identidade da credencial do cliente OAuth
O que se segue?
- Configure e veja os registos de auditoria para o IAM.
- Obtenha mais informações sobre os registos de auditoria do Cloud.
- Configure a integração da aplicação OAuth do Workforce através de clientes OAuth.