Registro de auditoría de Identity and Access Management

En este documento, se describe el registro de auditoría de Identity and Access Management. Los servicios de Google Cloud generan registros de auditoría que registran las actividades administrativas y de acceso dentro de tus recursos de Google Cloud. Para obtener más información sobre los Registros de auditoría de Cloud, consulta los siguientes recursos:

Notas

También puedes ver ejemplos de entradas de registro de auditoría para las cuentas de servicio.

Nombre del servicio

Los registros de auditoría de Identity and Access Management usan el nombre de servicio iam.googleapis.com. Filtra este servicio:

    protoPayload.serviceName="iam.googleapis.com"
  

Métodos por tipo de permiso

Cada permiso de IAM tiene una propiedad type, cuyo valor es una enumeración que puede ser uno de cuatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Cuando llamas a un método, Identity and Access Management genera un registro de auditoría cuya categoría depende de la propiedad type del permiso necesario para realizar el método. Los métodos que requieren un permiso de IAM con el valor de propiedad type de DATA_READ, DATA_WRITE o ADMIN_READ generan registros de auditoría de acceso a los datos. Los métodos que requieren un permiso de IAM con el valor de propiedad type de ADMIN_WRITE generan registros de auditoría de actividad del administrador.

Tipo de permiso Métodos
ADMIN_READ google.iam.admin.v1.GetIAMPolicy
google.iam.admin.v1.GetRole
google.iam.admin.v1.GetServiceAccount
google.iam.admin.v1.GetServiceAccountKey
google.iam.admin.v1.ListRoles
google.iam.admin.v1.ListServiceAccountKeys
google.iam.admin.v1.ListServiceAccounts
google.iam.admin.v1.OauthClients.GetOauthClient
google.iam.admin.v1.OauthClients.GetOauthClientCredential
google.iam.admin.v1.OauthClients.ListOauthClientCredentials
google.iam.admin.v1.OauthClients.ListOauthClients
google.iam.admin.v1.TestIAMPermissions
google.iam.admin.v1.WorkforcePools.GetIamPolicy
google.iam.admin.v1.WorkforcePools.GetWorkforcePool
google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviderKeys
google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviders
google.iam.admin.v1.WorkforcePools.ListWorkforcePools
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviderKeys
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPools
google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPools
google.iam.v2.Policies.GetPolicy
google.iam.v2.Policies.ListPolicies
google.iam.v2alpha.Policies.GetPolicy
google.iam.v2alpha.Policies.ListPolicies
google.iam.v2beta.Policies.GetPolicy
google.iam.v2beta.Policies.ListPolicies
google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings
google.iam.v3beta.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
google.longrunning.Operations.GetOperation
ADMIN_WRITE google.iam.admin.v1.CreateRole
google.iam.admin.v1.CreateServiceAccount
google.iam.admin.v1.CreateServiceAccountKey
google.iam.admin.v1.DeleteRole
google.iam.admin.v1.DeleteServiceAccount
google.iam.admin.v1.DeleteServiceAccountKey
google.iam.admin.v1.DisableServiceAccount
google.iam.admin.v1.DisableServiceAccountKey
google.iam.admin.v1.EnableServiceAccount
google.iam.admin.v1.EnableServiceAccountKey
google.iam.admin.v1.OauthClients.CreateOauthClient
google.iam.admin.v1.OauthClients.CreateOauthClientCredential
google.iam.admin.v1.OauthClients.DeleteOauthClient
google.iam.admin.v1.OauthClients.DeleteOauthClientCredential
google.iam.admin.v1.OauthClients.UndeleteOauthClient
google.iam.admin.v1.OauthClients.UpdateOauthClient
google.iam.admin.v1.OauthClients.UpdateOauthClientCredential
google.iam.admin.v1.PatchServiceAccount
google.iam.admin.v1.SetIAMPolicy
google.iam.admin.v1.UndeleteRole
google.iam.admin.v1.UndeleteServiceAccount
google.iam.admin.v1.UpdateRole
google.iam.admin.v1.UpdateServiceAccount
google.iam.admin.v1.UploadServiceAccountKey
google.iam.admin.v1.WorkforcePools.CreateWorkforcePool
google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePool
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolSubject
google.iam.admin.v1.WorkforcePools.SetIamPolicy
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePool
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolSubject
google.iam.admin.v1.WorkforcePools.UpdateWorkforcePool
google.iam.admin.v1.WorkforcePools.UpdateWorkforcePoolProvider
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider
google.iam.v2.Policies.CreatePolicy
google.iam.v2.Policies.DeletePolicy
google.iam.v2.Policies.UpdatePolicy
google.iam.v2alpha.Policies.CreatePolicy
google.iam.v2alpha.Policies.DeletePolicy
google.iam.v2beta.Policies.CreatePolicy
google.iam.v2beta.Policies.DeletePolicy
google.iam.v2beta.Policies.UpdatePolicy
google.iam.v3.PolicyBindings.CreatePolicyBinding
google.iam.v3.PolicyBindings.DeletePolicyBinding
google.iam.v3.PolicyBindings.UpdatePolicyBinding
google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy
google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy
google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy
google.iam.v3beta.PolicyBindings.CreatePolicyBinding
google.iam.v3beta.PolicyBindings.DeletePolicyBinding
google.iam.v3beta.PolicyBindings.UpdatePolicyBinding
google.iam.v3beta.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy
OTHER google.iam.admin.v1.QueryGrantableRoles: Para habilitar este registro, habilita ADMIN_READ en el servicio cloudresourcemanager.googleapis.com.
google.iam.v3.PolicyBindings.SearchTargetPolicyBindings: Para habilitar este registro, habilita ADMIN_READ en el servicio cloudresourcemanager.googleapis.com.

Registros de auditoría de la interfaz de la API

Si quieres obtener información sobre cómo y qué permisos se evalúan para cada método, consulta la documentación de Identity and Access Management de Identity and Access Management.

google.iam.admin.v1.IAM

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.admin.v1.IAM.

CreateRole

  • Método: google.iam.admin.v1.CreateRole
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.roles.create - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.CreateRole"

CreateServiceAccount

CreateServiceAccountKey

DeleteRole

  • Método: google.iam.admin.v1.DeleteRole
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.roles.delete - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.DeleteRole"

DeleteServiceAccount

DeleteServiceAccountKey

DisableServiceAccount

DisableServiceAccountKey

EnableServiceAccount

EnableServiceAccountKey

GetIAMPolicy

  • Método: google.iam.admin.v1.GetIAMPolicy
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.serviceAccounts.getIamPolicy - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.GetIAMPolicy"

GetRole

  • Método: google.iam.admin.v1.GetRole
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.roles.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.GetRole"

GetServiceAccount

  • Método: google.iam.admin.v1.GetServiceAccount
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.serviceAccounts.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.GetServiceAccount"

GetServiceAccountKey

  • Método: google.iam.admin.v1.GetServiceAccountKey
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.serviceAccountKeys.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.GetServiceAccountKey"

ListRoles

  • Método: google.iam.admin.v1.ListRoles
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.roles.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.ListRoles"

ListServiceAccountKeys

  • Método: google.iam.admin.v1.ListServiceAccountKeys
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.serviceAccountKeys.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.ListServiceAccountKeys"

ListServiceAccounts

  • Método: google.iam.admin.v1.ListServiceAccounts
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.serviceAccounts.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.ListServiceAccounts"

PatchServiceAccount

QueryGrantableRoles

  • Método: google.iam.admin.v1.QueryGrantableRoles
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • resourcemanager.projects.getIamPolicy - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.QueryGrantableRoles"

SetIAMPolicy

  • Método: google.iam.admin.v1.SetIAMPolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.serviceAccounts.setIamPolicy - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.SetIAMPolicy"

TestIAMPermissions

  • Método: google.iam.admin.v1.TestIAMPermissions
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.serviceAccounts.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.TestIAMPermissions"

UndeleteRole

  • Método: google.iam.admin.v1.UndeleteRole
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.roles.undelete - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.UndeleteRole"

UndeleteServiceAccount

UpdateRole

  • Método: google.iam.admin.v1.UpdateRole
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.roles.update - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.UpdateRole"

UpdateServiceAccount

UploadServiceAccountKey

google.iam.admin.v1.OauthClients

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.admin.v1.OauthClients.

CreateOauthClient

CreateOauthClientCredential

DeleteOauthClient

DeleteOauthClientCredential

GetOauthClient

GetOauthClientCredential

ListOauthClientCredentials

ListOauthClients

UndeleteOauthClient

UpdateOauthClient

UpdateOauthClientCredential

google.iam.admin.v1.WorkforcePools

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.admin.v1.WorkforcePools.

CreateWorkforcePool

CreateWorkforcePoolProvider

CreateWorkforcePoolProviderKey

DeleteWorkforcePool

DeleteWorkforcePoolProvider

DeleteWorkforcePoolProviderKey

DeleteWorkforcePoolSubject

GetIamPolicy

  • Método: google.iam.admin.v1.WorkforcePools.GetIamPolicy
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.workforcePools.getIamPolicy - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.admin.v1.WorkforcePools.GetIamPolicy"

GetWorkforcePool

GetWorkforcePoolProvider

GetWorkforcePoolProviderKey

ListWorkforcePoolProviderKeys

ListWorkforcePoolProviders

ListWorkforcePools

SetIamPolicy

UndeleteWorkforcePool

UndeleteWorkforcePoolProvider

UndeleteWorkforcePoolProviderKey

UndeleteWorkforcePoolSubject

UpdateWorkforcePool

UpdateWorkforcePoolProvider

google.iam.v1.WorkloadIdentityPools

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v1.WorkloadIdentityPools.

CreateWorkloadIdentityPool

CreateWorkloadIdentityPoolProvider

CreateWorkloadIdentityPoolProviderKey

DeleteWorkloadIdentityPool

DeleteWorkloadIdentityPoolProvider

DeleteWorkloadIdentityPoolProviderKey

GetWorkloadIdentityPool

GetWorkloadIdentityPoolProvider

GetWorkloadIdentityPoolProviderKey

ListWorkloadIdentityPoolProviderKeys

ListWorkloadIdentityPoolProviders

ListWorkloadIdentityPools

UndeleteWorkloadIdentityPool

UndeleteWorkloadIdentityPoolProvider

UndeleteWorkloadIdentityPoolProviderKey

UpdateWorkloadIdentityPool

UpdateWorkloadIdentityPoolProvider

google.iam.v1beta.WorkloadIdentityPools

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v1beta.WorkloadIdentityPools.

CreateWorkloadIdentityPool

CreateWorkloadIdentityPoolProvider

DeleteWorkloadIdentityPool

DeleteWorkloadIdentityPoolProvider

GetWorkloadIdentityPool

GetWorkloadIdentityPoolProvider

ListWorkloadIdentityPoolProviders

ListWorkloadIdentityPools

UndeleteWorkloadIdentityPool

UndeleteWorkloadIdentityPoolProvider

UpdateWorkloadIdentityPool

UpdateWorkloadIdentityPoolProvider

google.iam.v2.Policies

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v2.Policies.

CreatePolicy

DeletePolicy

GetPolicy

  • Método: google.iam.v2.Policies.GetPolicy
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v2.Policies.GetPolicy"

ListPolicies

  • Método: google.iam.v2.Policies.ListPolicies
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v2.Policies.ListPolicies"

UpdatePolicy

google.iam.v2alpha.Policies

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v2alpha.Policies.

CreatePolicy

  • Método: google.iam.v2alpha.Policies.CreatePolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.googleapis.com/denypolicies.create - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v2alpha.Policies.CreatePolicy"

DeletePolicy

  • Método: google.iam.v2alpha.Policies.DeletePolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.googleapis.com/denypolicies.delete - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v2alpha.Policies.DeletePolicy"

GetPolicy

  • Método: google.iam.v2alpha.Policies.GetPolicy
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v2alpha.Policies.GetPolicy"

ListPolicies

  • Método: google.iam.v2alpha.Policies.ListPolicies
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v2alpha.Policies.ListPolicies"

google.iam.v2beta.Policies

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v2beta.Policies.

CreatePolicy

DeletePolicy

GetPolicy

  • Método: google.iam.v2beta.Policies.GetPolicy
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v2beta.Policies.GetPolicy"

ListPolicies

  • Método: google.iam.v2beta.Policies.ListPolicies
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v2beta.Policies.ListPolicies"

UpdatePolicy

google.iam.v3.PolicyBindings

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v3.PolicyBindings.

CreatePolicyBinding

  • Método: google.iam.v3.PolicyBindings.CreatePolicyBinding
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudresourcemanager.googleapis.com/projects.createPolicyBinding - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PolicyBindings.CreatePolicyBinding"

DeletePolicyBinding

  • Método: google.iam.v3.PolicyBindings.DeletePolicyBinding
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudresourcemanager.googleapis.com/projects.deletePolicyBinding - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PolicyBindings.DeletePolicyBinding"

SearchTargetPolicyBindings

  • Método: google.iam.v3.PolicyBindings.SearchTargetPolicyBindings
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudresourcemanager.googleapis.com/folders.searchPolicyBindings - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PolicyBindings.SearchTargetPolicyBindings"

UpdatePolicyBinding

  • Método: google.iam.v3.PolicyBindings.UpdatePolicyBinding
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudresourcemanager.googleapis.com/organizations.updatePolicyBinding - ADMIN_WRITE
    • cloudresourcemanager.googleapis.com/projects.updatePolicyBinding - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PolicyBindings.UpdatePolicyBinding"

google.iam.v3.PrincipalAccessBoundaryPolicies

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v3.PrincipalAccessBoundaryPolicies.

CreatePrincipalAccessBoundaryPolicy

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.principalaccessboundarypolicies.create - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy"

DeletePrincipalAccessBoundaryPolicy

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.principalaccessboundarypolicies.delete - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy"

GetPrincipalAccessBoundaryPolicy

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.principalaccessboundarypolicies.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy"

ListPrincipalAccessBoundaryPolicies

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.principalaccessboundarypolicies.list - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies"

UpdatePrincipalAccessBoundaryPolicy

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • iam.principalaccessboundarypolicies.update - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy"

google.iam.v3beta.PolicyBindings

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v3beta.PolicyBindings.

CreatePolicyBinding

DeletePolicyBinding

SearchTargetPolicyBindings

  • Método: google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • cloudresourcemanager.googleapis.com/folders.searchPolicyBindings - ADMIN_READ
    • cloudresourcemanager.googleapis.com/organizations.searchPolicyBindings - ADMIN_READ
    • cloudresourcemanager.googleapis.com/projects.searchPolicyBindings - ADMIN_READ
    • iam.googleapis.com/workspacePools.searchPolicyBindings - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings"

UpdatePolicyBinding

  • Método: google.iam.v3beta.PolicyBindings.UpdatePolicyBinding
  • Tipo de registro de auditoría: actividad del administrador
  • Permisos:
    • cloudresourcemanager.googleapis.com/folders.updatePolicyBinding - ADMIN_WRITE
    • cloudresourcemanager.googleapis.com/organizations.updatePolicyBinding - ADMIN_WRITE
    • cloudresourcemanager.googleapis.com/projects.updatePolicyBinding - ADMIN_WRITE
  • El método es una operación de larga duración o de transmisión: operación de larga duración
  • Filtra para este método: protoPayload.methodName="google.iam.v3beta.PolicyBindings.UpdatePolicyBinding"

google.iam.v3beta.PrincipalAccessBoundaryPolicies

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.iam.v3beta.PrincipalAccessBoundaryPolicies.

CreatePrincipalAccessBoundaryPolicy

DeletePrincipalAccessBoundaryPolicy

GetPrincipalAccessBoundaryPolicy

ListPrincipalAccessBoundaryPolicies

UpdatePrincipalAccessBoundaryPolicy

google.longrunning.Operations

Los siguientes registros de auditoría están asociados con métodos que pertenecen a google.longrunning.Operations.

GetOperation

  • Método: google.longrunning.Operations.GetOperation
  • Tipo de registro de auditoría: acceso a los datos
  • Permisos:
    • iam.operations.get - ADMIN_READ
  • El método es una operación de larga duración o de transmisión: no.
  • Filtra para este método: protoPayload.methodName="google.longrunning.Operations.GetOperation"

Métodos que no producen registros de auditoría

Es posible que un método no produzca registros de auditoría por uno o más de los siguientes motivos:

  • Es un método de gran volumen que implica costos significativos de generación y almacenamiento de registros.
  • Tiene un valor de auditoría bajo.
  • Otro registro de auditoría o de plataforma ya proporciona cobertura del método.

Los siguientes métodos no producen registros de auditoría:

  • google.iam.admin.v1.IAM.SignBlob
  • google.iam.admin.v1.IAM.SignJwt

Consultas de muestra

Para usar las consultas de muestra en la siguiente tabla, completa estos pasos:

  1. Reemplaza las variables en la expresión de consulta con la información de tu proyecto y, luego, copia la expresión con el ícono de portapapeles .

  2. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  3. Habilita Mostrar consulta para abrir el campo query-editor y, luego, pega la expresión en el campo query-editor:

    El editor de consultas en el que ingresas consultas de muestra.

  4. Haz clic en Ejecutar consulta. Los registros que coincidan con la consulta se enumerarán en el panel Resultados de la consulta.

Para encontrar registros de auditoría de Identity and Access Management, usa las siguientes consultas en el Explorador de registros:

Antes de usar las consultas de muestra, reemplaza los siguientes valores:

  • SERVICE_ACCOUNT_SHORT_ID: Todo lo que precede al símbolo @ en la dirección de correo electrónico de la cuenta de servicio. Por ejemplo, el ID de la cuenta de servicio service-account@example.iam.gserviceaccount.com es service-account.
  • SERVICE_ACCOUNT_EMAIL: La dirección de correo electrónico completa de la cuenta de servicio. Por ejemplo, service-account@example.iam.gserviceaccount.com.
  • ROLE_NAME: Es el nombre completo del rol, incluidos los prefijos organizations/, projects/ o roles/. Por ejemplo: organizations/123456789012/roles/myCompanyAdmin
Nombre de la consulta Expresión
Se creó la cuenta de servicio
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
(protoPayload.request.account_id:"SERVICE_ACCOUNT_SHORT_ID"
  OR protoPayload.response.email:"SERVICE_ACCOUNT_EMAIL")
Se borró la cuenta de servicio
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Clave de cuenta de servicio creada
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Se borró la clave de la cuenta de servicio
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Cualquier recurso creado, modificado o borrado
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")
Se actualizó la función personalizada
log_id("cloudaudit.googleapis.com/activity")
resource.type = "iam_role"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"UpdateRole"
resource.labels.role_name:"ROLE_NAME"
Se actualizó la política de permisos a nivel del proyecto
resource.type = "project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"SetIamPolicy"