Identitäts- und Zugriffsverwaltung – Audit-Logging

In diesem Dokument wird das Audit-Logging für Identity and Access Management beschrieben. Google Cloud-Dienste generieren Audit-Logs, die Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud-Ressourcen aufzeichnen. Weitere Informationen zu Cloud-Audit-Logs finden Sie hier:

Hinweise

Sie können sich auch Beispiele für Audit-Logeinträge für Dienstkonten ansehen.

Dienstname

Für Audit-Logs für Identity and Access Management wird der Dienstname iam.googleapis.com verwendet. Nach diesem Dienst filtern:

    protoPayload.serviceName="iam.googleapis.com"
  

Methoden nach Berechtigungstyp

Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert ein Enum ist, der einen der folgenden vier Werte haben kann: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, generiert Identity and Access Management ein Audit-Log, dessen Kategorie vom Attribut type der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.

Berechtigungstyp Methoden
ADMIN_READ google.iam.admin.v1.GetIAMPolicy
google.iam.admin.v1.GetRole
google.iam.admin.v1.GetServiceAccount
google.iam.admin.v1.GetServiceAccountKey
google.iam.admin.v1.ListRoles
google.iam.admin.v1.ListServiceAccountKeys
google.iam.admin.v1.ListServiceAccounts
google.iam.admin.v1.OauthClients.GetOauthClient
google.iam.admin.v1.OauthClients.GetOauthClientCredential
google.iam.admin.v1.OauthClients.ListOauthClientCredentials
google.iam.admin.v1.OauthClients.ListOauthClients
google.iam.admin.v1.TestIAMPermissions
google.iam.admin.v1.WorkforcePools.GetIamPolicy
google.iam.admin.v1.WorkforcePools.GetWorkforcePool
google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviderKeys
google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviders
google.iam.admin.v1.WorkforcePools.ListWorkforcePools
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviderKeys
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPools
google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPools
google.iam.v2.Policies.GetPolicy
google.iam.v2.Policies.ListPolicies
google.iam.v2alpha.Policies.GetPolicy
google.iam.v2alpha.Policies.ListPolicies
google.iam.v2beta.Policies.GetPolicy
google.iam.v2beta.Policies.ListPolicies
google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings
google.iam.v3beta.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
google.longrunning.Operations.GetOperation
ADMIN_WRITE google.iam.admin.v1.CreateRole
google.iam.admin.v1.CreateServiceAccount
google.iam.admin.v1.CreateServiceAccountKey
google.iam.admin.v1.DeleteRole
google.iam.admin.v1.DeleteServiceAccount
google.iam.admin.v1.DeleteServiceAccountKey
google.iam.admin.v1.DisableServiceAccount
google.iam.admin.v1.DisableServiceAccountKey
google.iam.admin.v1.EnableServiceAccount
google.iam.admin.v1.EnableServiceAccountKey
google.iam.admin.v1.OauthClients.CreateOauthClient
google.iam.admin.v1.OauthClients.CreateOauthClientCredential
google.iam.admin.v1.OauthClients.DeleteOauthClient
google.iam.admin.v1.OauthClients.DeleteOauthClientCredential
google.iam.admin.v1.OauthClients.UndeleteOauthClient
google.iam.admin.v1.OauthClients.UpdateOauthClient
google.iam.admin.v1.OauthClients.UpdateOauthClientCredential
google.iam.admin.v1.PatchServiceAccount
google.iam.admin.v1.SetIAMPolicy
google.iam.admin.v1.UndeleteRole
google.iam.admin.v1.UndeleteServiceAccount
google.iam.admin.v1.UpdateRole
google.iam.admin.v1.UpdateServiceAccount
google.iam.admin.v1.UploadServiceAccountKey
google.iam.admin.v1.WorkforcePools.CreateWorkforcePool
google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePool
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolSubject
google.iam.admin.v1.WorkforcePools.SetIamPolicy
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePool
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolSubject
google.iam.admin.v1.WorkforcePools.UpdateWorkforcePool
google.iam.admin.v1.WorkforcePools.UpdateWorkforcePoolProvider
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider
google.iam.v2.Policies.CreatePolicy
google.iam.v2.Policies.DeletePolicy
google.iam.v2.Policies.UpdatePolicy
google.iam.v2alpha.Policies.CreatePolicy
google.iam.v2alpha.Policies.DeletePolicy
google.iam.v2beta.Policies.CreatePolicy
google.iam.v2beta.Policies.DeletePolicy
google.iam.v2beta.Policies.UpdatePolicy
google.iam.v3.PolicyBindings.CreatePolicyBinding
google.iam.v3.PolicyBindings.DeletePolicyBinding
google.iam.v3.PolicyBindings.UpdatePolicyBinding
google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy
google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy
google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy
google.iam.v3beta.PolicyBindings.CreatePolicyBinding
google.iam.v3beta.PolicyBindings.DeletePolicyBinding
google.iam.v3beta.PolicyBindings.UpdatePolicyBinding
google.iam.v3beta.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy
OTHER google.iam.admin.v1.QueryGrantableRoles: Aktivieren Sie ADMIN_READ unter dem Dienst cloudresourcemanager.googleapis.com, um dieses Protokoll zu aktivieren.
google.iam.v3.PolicyBindings.SearchTargetPolicyBindings: Aktivieren Sie ADMIN_READ unter dem Dienst cloudresourcemanager.googleapis.com, um dieses Protokoll zu aktivieren.

Audit-Logs der API-Schnittstelle

Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation für Identity and Access Management.

google.iam.admin.v1.IAM

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.admin.v1.IAM gehören.

CreateRole

  • Methode: google.iam.admin.v1.CreateRole
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.roles.create - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.CreateRole"

CreateServiceAccount

  • Methode: google.iam.admin.v1.CreateServiceAccount
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.serviceAccounts.create - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"

CreateServiceAccountKey

DeleteRole

  • Methode: google.iam.admin.v1.DeleteRole
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.roles.delete - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.DeleteRole"

DeleteServiceAccount

  • Methode: google.iam.admin.v1.DeleteServiceAccount
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.serviceAccounts.delete - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.DeleteServiceAccount"

DeleteServiceAccountKey

DisableServiceAccount

  • Methode: google.iam.admin.v1.DisableServiceAccount
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.serviceAccounts.disable - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.DisableServiceAccount"

DisableServiceAccountKey

EnableServiceAccount

  • Methode: google.iam.admin.v1.EnableServiceAccount
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.serviceAccounts.enable - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.EnableServiceAccount"

EnableServiceAccountKey

GetIAMPolicy

  • Methode: google.iam.admin.v1.GetIAMPolicy
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.serviceAccounts.getIamPolicy - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.GetIAMPolicy"

GetRole

  • Methode: google.iam.admin.v1.GetRole
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.roles.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.GetRole"

GetServiceAccount

  • Methode: google.iam.admin.v1.GetServiceAccount
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.serviceAccounts.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.GetServiceAccount"

GetServiceAccountKey

  • Methode: google.iam.admin.v1.GetServiceAccountKey
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.serviceAccountKeys.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.GetServiceAccountKey"

ListRoles

  • Methode: google.iam.admin.v1.ListRoles
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.roles.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.ListRoles"

ListServiceAccountKeys

  • Methode: google.iam.admin.v1.ListServiceAccountKeys
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.serviceAccountKeys.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.ListServiceAccountKeys"

ListServiceAccounts

  • Methode: google.iam.admin.v1.ListServiceAccounts
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.serviceAccounts.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.ListServiceAccounts"

PatchServiceAccount

  • Methode: google.iam.admin.v1.PatchServiceAccount
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.serviceAccounts.update - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.PatchServiceAccount"

QueryGrantableRoles

  • Methode: google.iam.admin.v1.QueryGrantableRoles
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • resourcemanager.projects.getIamPolicy - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.QueryGrantableRoles"

SetIAMPolicy

  • Methode: google.iam.admin.v1.SetIAMPolicy
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.serviceAccounts.setIamPolicy - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.SetIAMPolicy"

TestIAMPermissions

  • Methode: google.iam.admin.v1.TestIAMPermissions
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.serviceAccounts.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.TestIAMPermissions"

UndeleteRole

  • Methode: google.iam.admin.v1.UndeleteRole
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.roles.undelete - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.UndeleteRole"

UndeleteServiceAccount

  • Methode: google.iam.admin.v1.UndeleteServiceAccount
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.serviceAccounts.undelete - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.UndeleteServiceAccount"

UpdateRole

  • Methode: google.iam.admin.v1.UpdateRole
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.roles.update - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.UpdateRole"

UpdateServiceAccount

  • Methode: google.iam.admin.v1.UpdateServiceAccount
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.serviceAccounts.update - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.UpdateServiceAccount"

UploadServiceAccountKey

google.iam.admin.v1.OauthClients

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.admin.v1.OauthClients gehören.

CreateOauthClient

CreateOauthClientCredential

DeleteOauthClient

DeleteOauthClientCredential

GetOauthClient

  • Methode: google.iam.admin.v1.OauthClients.GetOauthClient
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.oauthClients.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.OauthClients.GetOauthClient"

GetOauthClientCredential

  • Methode: google.iam.admin.v1.OauthClients.GetOauthClientCredential
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.oauthClientCredentials.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.OauthClients.GetOauthClientCredential"

ListOauthClientCredentials

ListOauthClients

  • Methode: google.iam.admin.v1.OauthClients.ListOauthClients
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.oauthClients.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.OauthClients.ListOauthClients"

UndeleteOauthClient

UpdateOauthClient

UpdateOauthClientCredential

google.iam.admin.v1.WorkforcePools

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.admin.v1.WorkforcePools gehören.

CreateWorkforcePool

CreateWorkforcePoolProvider

CreateWorkforcePoolProviderKey

DeleteWorkforcePool

DeleteWorkforcePoolProvider

DeleteWorkforcePoolProviderKey

DeleteWorkforcePoolSubject

GetIamPolicy

  • Methode: google.iam.admin.v1.WorkforcePools.GetIamPolicy
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.workforcePools.getIamPolicy - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.WorkforcePools.GetIamPolicy"

GetWorkforcePool

  • Methode: google.iam.admin.v1.WorkforcePools.GetWorkforcePool
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.workforcePools.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.WorkforcePools.GetWorkforcePool"

GetWorkforcePoolProvider

GetWorkforcePoolProviderKey

ListWorkforcePoolProviderKeys

ListWorkforcePoolProviders

ListWorkforcePools

  • Methode: google.iam.admin.v1.WorkforcePools.ListWorkforcePools
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.workforcePools.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.admin.v1.WorkforcePools.ListWorkforcePools"

SetIamPolicy

UndeleteWorkforcePool

UndeleteWorkforcePoolProvider

UndeleteWorkforcePoolProviderKey

UndeleteWorkforcePoolSubject

UpdateWorkforcePool

UpdateWorkforcePoolProvider

google.iam.v1.WorkloadIdentityPools

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.v1.WorkloadIdentityPools gehören.

CreateWorkloadIdentityPool

CreateWorkloadIdentityPoolProvider

CreateWorkloadIdentityPoolProviderKey

DeleteWorkloadIdentityPool

DeleteWorkloadIdentityPoolProvider

DeleteWorkloadIdentityPoolProviderKey

GetWorkloadIdentityPool

GetWorkloadIdentityPoolProvider

GetWorkloadIdentityPoolProviderKey

ListWorkloadIdentityPoolProviderKeys

ListWorkloadIdentityPoolProviders

ListWorkloadIdentityPools

UndeleteWorkloadIdentityPool

UndeleteWorkloadIdentityPoolProvider

UndeleteWorkloadIdentityPoolProviderKey

UpdateWorkloadIdentityPool

UpdateWorkloadIdentityPoolProvider

google.iam.v1beta.WorkloadIdentityPools

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.v1beta.WorkloadIdentityPools gehören.

CreateWorkloadIdentityPool

CreateWorkloadIdentityPoolProvider

DeleteWorkloadIdentityPool

DeleteWorkloadIdentityPoolProvider

GetWorkloadIdentityPool

GetWorkloadIdentityPoolProvider

ListWorkloadIdentityPoolProviders

ListWorkloadIdentityPools

UndeleteWorkloadIdentityPool

UndeleteWorkloadIdentityPoolProvider

UpdateWorkloadIdentityPool

UpdateWorkloadIdentityPoolProvider

google.iam.v2.Policies

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.v2.Policies gehören.

CreatePolicy

DeletePolicy

GetPolicy

  • Methode: google.iam.v2.Policies.GetPolicy
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.v2.Policies.GetPolicy"

ListPolicies

  • Methode: google.iam.v2.Policies.ListPolicies
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.v2.Policies.ListPolicies"

UpdatePolicy

google.iam.v2alpha.Policies

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.v2alpha.Policies gehören.

CreatePolicy

  • Methode: google.iam.v2alpha.Policies.CreatePolicy
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.googleapis.com/denypolicies.create - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  • Filter für diese Methode: protoPayload.methodName="google.iam.v2alpha.Policies.CreatePolicy"

DeletePolicy

  • Methode: google.iam.v2alpha.Policies.DeletePolicy
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.googleapis.com/denypolicies.delete - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  • Filter für diese Methode: protoPayload.methodName="google.iam.v2alpha.Policies.DeletePolicy"

GetPolicy

  • Methode: google.iam.v2alpha.Policies.GetPolicy
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.v2alpha.Policies.GetPolicy"

ListPolicies

  • Methode: google.iam.v2alpha.Policies.ListPolicies
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.v2alpha.Policies.ListPolicies"

google.iam.v2beta.Policies

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.v2beta.Policies gehören.

CreatePolicy

DeletePolicy

GetPolicy

  • Methode: google.iam.v2beta.Policies.GetPolicy
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.v2beta.Policies.GetPolicy"

ListPolicies

  • Methode: google.iam.v2beta.Policies.ListPolicies
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.v2beta.Policies.ListPolicies"

UpdatePolicy

google.iam.v3.PolicyBindings

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.v3.PolicyBindings gehören.

CreatePolicyBinding

  • Methode: google.iam.v3.PolicyBindings.CreatePolicyBinding
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudresourcemanager.googleapis.com/projects.createPolicyBinding - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  • Filter für diese Methode: protoPayload.methodName="google.iam.v3.PolicyBindings.CreatePolicyBinding"

DeletePolicyBinding

  • Methode: google.iam.v3.PolicyBindings.DeletePolicyBinding
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudresourcemanager.googleapis.com/projects.deletePolicyBinding - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  • Filter für diese Methode: protoPayload.methodName="google.iam.v3.PolicyBindings.DeletePolicyBinding"

SearchTargetPolicyBindings

  • Methode: google.iam.v3.PolicyBindings.SearchTargetPolicyBindings
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudresourcemanager.googleapis.com/folders.searchPolicyBindings - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.v3.PolicyBindings.SearchTargetPolicyBindings"

UpdatePolicyBinding

  • Methode: google.iam.v3.PolicyBindings.UpdatePolicyBinding
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudresourcemanager.googleapis.com/organizations.updatePolicyBinding - ADMIN_WRITE
    • cloudresourcemanager.googleapis.com/projects.updatePolicyBinding - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  • Filter für diese Methode: protoPayload.methodName="google.iam.v3.PolicyBindings.UpdatePolicyBinding"

google.iam.v3.PrincipalAccessBoundaryPolicies

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.v3.PrincipalAccessBoundaryPolicies gehören.

CreatePrincipalAccessBoundaryPolicy

  • Methode: google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.principalaccessboundarypolicies.create - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  • Filter für diese Methode: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy"

DeletePrincipalAccessBoundaryPolicy

  • Methode: google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.principalaccessboundarypolicies.delete - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  • Filter für diese Methode: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy"

GetPrincipalAccessBoundaryPolicy

  • Methode: google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.principalaccessboundarypolicies.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy"

ListPrincipalAccessBoundaryPolicies

  • Methode: google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.principalaccessboundarypolicies.list - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies"

UpdatePrincipalAccessBoundaryPolicy

  • Methode: google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • iam.principalaccessboundarypolicies.update - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  • Filter für diese Methode: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy"

google.iam.v3beta.PolicyBindings

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.v3beta.PolicyBindings gehören.

CreatePolicyBinding

DeletePolicyBinding

SearchTargetPolicyBindings

  • Methode: google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • cloudresourcemanager.googleapis.com/folders.searchPolicyBindings - ADMIN_READ
    • cloudresourcemanager.googleapis.com/organizations.searchPolicyBindings - ADMIN_READ
    • cloudresourcemanager.googleapis.com/projects.searchPolicyBindings - ADMIN_READ
    • iam.googleapis.com/workspacePools.searchPolicyBindings - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings"

UpdatePolicyBinding

  • Methode: google.iam.v3beta.PolicyBindings.UpdatePolicyBinding
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • cloudresourcemanager.googleapis.com/folders.updatePolicyBinding - ADMIN_WRITE
    • cloudresourcemanager.googleapis.com/organizations.updatePolicyBinding - ADMIN_WRITE
    • cloudresourcemanager.googleapis.com/projects.updatePolicyBinding - ADMIN_WRITE
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  • Filter für diese Methode: protoPayload.methodName="google.iam.v3beta.PolicyBindings.UpdatePolicyBinding"

google.iam.v3beta.PrincipalAccessBoundaryPolicies

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.v3beta.PrincipalAccessBoundaryPolicies gehören.

CreatePrincipalAccessBoundaryPolicy

DeletePrincipalAccessBoundaryPolicy

GetPrincipalAccessBoundaryPolicy

ListPrincipalAccessBoundaryPolicies

UpdatePrincipalAccessBoundaryPolicy

google.longrunning.Operations

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.longrunning.Operations gehören.

GetOperation

  • Methode: google.longrunning.Operations.GetOperation
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • iam.operations.get - ADMIN_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.longrunning.Operations.GetOperation"

Methoden, die keine Audit-Logs generieren

Eine Methode kann aus folgenden Gründen keine Audit-Logs erstellen:

  • Dies ist eine Methode mit hohem Volumen, die erhebliche Loggenerierungs- und Speicherkosten mit sich bringt.
  • Sie hat einen geringen Prüfwert.
  • Ein anderes Audit- oder Plattformlog bietet bereits eine Methodenabdeckung.

Die folgenden Methoden generieren keine Audit-Logs:

  • google.iam.admin.v1.IAM.SignBlob
  • google.iam.admin.v1.IAM.SignJwt

Beispielabfragen

So verwenden Sie die Beispielabfragen in der folgenden Tabelle:

  1. Ersetzen Sie die Variablen im Abfrageausdruck durch Ihre eigenen Projektinformationen und kopieren Sie den Ausdruck dann mit dem Symbol für die Zwischenablage .

  2. Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.

    Zum Log-Explorer

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.

  3. Aktivieren Sie Abfrage anzeigen, um das Feld „Query Editor” zu öffnen, und fügen Sie den Ausdruck dann in das Feld des Query Editor ein:

    Der Query Editor, in dem Sie Beispielabfragen eingeben.

  4. Klicken Sie auf Abfrage ausführen. Logs, die Ihrer Abfrage entsprechen, werden im Bereich Abfrageergebnisse aufgeführt.

Verwenden Sie die folgenden Abfragen im Log-Explorer, um Audit-Logs für Identity and Access Management zu finden:

Ersetzen Sie vor dem Verwenden der Beispielabfragen die folgenden Werte:

  • SERVICE_ACCOUNT_SHORT_ID: Alles vor dem Symbol @ in der E-Mail-Adresse des Dienstkontos. Die Dienstkonto-ID des Dienstkontos service-account@example.iam.gserviceaccount.com ist beispielsweise service-account.
  • SERVICE_ACCOUNT_EMAIL: Die vollständige E-Mail-Adresse des Dienstkontos. Beispiel: service-account@example.iam.gserviceaccount.com
  • ROLE_NAME: Der vollständige Rollenname, einschließlich der Präfixe organizations/, projects/ und roles/. Beispiel: organizations/123456789012/roles/myCompanyAdmin.
Name der Abfrage Ausdruck
Dienstkonto erstellt
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
(protoPayload.request.account_id:"SERVICE_ACCOUNT_SHORT_ID"
  OR protoPayload.response.email:"SERVICE_ACCOUNT_EMAIL")
Dienstkonto gelöscht
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Dienstkontoschlüssel erstellt
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Dienstkontoschlüssel gelöscht
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Beliebige Ressource, die erstellt, geändert oder gelöscht wurde
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")
Benutzerdefinierte Rolle aktualisiert
log_id("cloudaudit.googleapis.com/activity")
resource.type = "iam_role"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"UpdateRole"
resource.labels.role_name:"ROLE_NAME"
Zulassungsrichtlinie auf Projektebene aktualisiert
resource.type = "project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"SetIamPolicy"