Identity and Access Management 审核日志记录

本文档介绍了 Identity and Access Management 的审核日志记录。Google Cloud 服务会生成审核日志，以记录 Google Cloud 资源中的管理和访问活动。 如需详细了解 Cloud Audit Logs，请参阅以下内容：

• 审核日志类型
• 审核日志条目结构
• 存储和路由审核日志
• Cloud Logging 价格摘要
• 启用数据访问审核日志

备注

您也可以查看服务账号的审核日志条目示例。

服务名称

Identity and Access Management 审核日志使用服务名称 iam.googleapis.com。针对此服务的过滤条件：

    protoPayload.serviceName="iam.googleapis.com"
  

方法（按权限类型）

每个 IAM 权限都有一个 type 属性，该属性的值是一个枚举，可以是以下四个值之一：ADMIN_READ、ADMIN_WRITE、DATA_READ 或 DATA_WRITE。当您调用某个方法时，Identity and Access Management 会生成一个审核日志，其类别取决于执行该方法所需权限的 type 属性。 需要 IAM 权限且 type 属性值为 DATA_READ、DATA_WRITE 或 ADMIN_READ 的方法会生成数据访问审核日志。需要 IAM 权限且 type 属性值为 ADMIN_WRITE 的方法会生成管理员活动审核日志。

API 接口审核日志

如需了解如何评估每种方法的权限以及评估哪些权限，请参阅 Identity and Access Management 的 Identity and Access Management 文档。

google.iam.admin.v1.IAM

以下审核日志与属于 google.iam.admin.v1.IAM 的方法相关联。

CreateRole

• 方法：google.iam.admin.v1.CreateRole
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.roles.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.CreateRole"
  

CreateServiceAccount

• 方法：google.iam.admin.v1.CreateServiceAccount
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.serviceAccounts.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"
  

CreateServiceAccountKey

• 方法：google.iam.admin.v1.CreateServiceAccountKey
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.serviceAccountKeys.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey"
  

DeleteRole

• 方法：google.iam.admin.v1.DeleteRole
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.roles.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.DeleteRole"
  

DeleteServiceAccount

• 方法：google.iam.admin.v1.DeleteServiceAccount
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.serviceAccounts.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.DeleteServiceAccount"
  

DeleteServiceAccountKey

• 方法：google.iam.admin.v1.DeleteServiceAccountKey
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.serviceAccountKeys.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.DeleteServiceAccountKey"
  

DisableServiceAccount

• 方法：google.iam.admin.v1.DisableServiceAccount
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.serviceAccounts.disable - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.DisableServiceAccount"
  

DisableServiceAccountKey

• 方法：google.iam.admin.v1.DisableServiceAccountKey
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.serviceAccountKeys.disable - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.DisableServiceAccountKey"
  

EnableServiceAccount

• 方法：google.iam.admin.v1.EnableServiceAccount
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.serviceAccounts.enable - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.EnableServiceAccount"
  

EnableServiceAccountKey

• 方法：google.iam.admin.v1.EnableServiceAccountKey
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.serviceAccountKeys.enable - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.EnableServiceAccountKey"
  

GetIAMPolicy

• 方法：google.iam.admin.v1.GetIAMPolicy
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.serviceAccounts.getIamPolicy - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.GetIAMPolicy"
  

GetRole

• 方法：google.iam.admin.v1.GetRole
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.roles.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.GetRole"
  

GetServiceAccount

• 方法：google.iam.admin.v1.GetServiceAccount
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.serviceAccounts.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.GetServiceAccount"
  

GetServiceAccountKey

• 方法：google.iam.admin.v1.GetServiceAccountKey
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.serviceAccountKeys.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.GetServiceAccountKey"
  

ListRoles

• 方法：google.iam.admin.v1.ListRoles
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.roles.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.ListRoles"
  

ListServiceAccountKeys

• 方法：google.iam.admin.v1.ListServiceAccountKeys
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.serviceAccountKeys.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.ListServiceAccountKeys"
  

ListServiceAccounts

• 方法：google.iam.admin.v1.ListServiceAccounts
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.serviceAccounts.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.ListServiceAccounts"
  

PatchServiceAccount

• 方法：google.iam.admin.v1.PatchServiceAccount
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.serviceAccounts.update - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.PatchServiceAccount"
  

QueryGrantableRoles

• 方法：google.iam.admin.v1.QueryGrantableRoles
  
• 审核日志类型：数据访问
  
• 权限：
  • resourcemanager.projects.getIamPolicy - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.QueryGrantableRoles"
  

SetIAMPolicy

• 方法：google.iam.admin.v1.SetIAMPolicy
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.serviceAccounts.setIamPolicy - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.SetIAMPolicy"
  

TestIAMPermissions

• 方法：google.iam.admin.v1.TestIAMPermissions
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.serviceAccounts.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.TestIAMPermissions"
  

UndeleteRole

• 方法：google.iam.admin.v1.UndeleteRole
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.roles.undelete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.UndeleteRole"
  

UndeleteServiceAccount

• 方法：google.iam.admin.v1.UndeleteServiceAccount
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.serviceAccounts.undelete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.UndeleteServiceAccount"
  

UpdateRole

• 方法：google.iam.admin.v1.UpdateRole
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.roles.update - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.UpdateRole"
  

UpdateServiceAccount

• 方法：google.iam.admin.v1.UpdateServiceAccount
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.serviceAccounts.update - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.UpdateServiceAccount"
  

UploadServiceAccountKey

• 方法：google.iam.admin.v1.UploadServiceAccountKey
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.serviceAccountKeys.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.UploadServiceAccountKey"
  

google.iam.admin.v1.OauthClients

以下审核日志与属于 google.iam.admin.v1.OauthClients 的方法相关联。

CreateOauthClient

• 方法：google.iam.admin.v1.OauthClients.CreateOauthClient
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.oauthClients.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.OauthClients.CreateOauthClient"
  

CreateOauthClientCredential

• 方法：google.iam.admin.v1.OauthClients.CreateOauthClientCredential
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.oauthClientCredentials.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.OauthClients.CreateOauthClientCredential"
  

DeleteOauthClient

• 方法：google.iam.admin.v1.OauthClients.DeleteOauthClient
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.oauthClients.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.OauthClients.DeleteOauthClient"
  

DeleteOauthClientCredential

• 方法：google.iam.admin.v1.OauthClients.DeleteOauthClientCredential
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.oauthClientCredentials.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.OauthClients.DeleteOauthClientCredential"
  

GetOauthClient

• 方法：google.iam.admin.v1.OauthClients.GetOauthClient
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.oauthClients.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.OauthClients.GetOauthClient"
  

GetOauthClientCredential

• 方法：google.iam.admin.v1.OauthClients.GetOauthClientCredential
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.oauthClientCredentials.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.OauthClients.GetOauthClientCredential"
  

ListOauthClientCredentials

• 方法：google.iam.admin.v1.OauthClients.ListOauthClientCredentials
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.oauthClientCredentials.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.OauthClients.ListOauthClientCredentials"
  

ListOauthClients

• 方法：google.iam.admin.v1.OauthClients.ListOauthClients
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.oauthClients.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.OauthClients.ListOauthClients"
  

UndeleteOauthClient

• 方法：google.iam.admin.v1.OauthClients.UndeleteOauthClient
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.oauthClients.undelete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.OauthClients.UndeleteOauthClient"
  

UpdateOauthClient

• 方法：google.iam.admin.v1.OauthClients.UpdateOauthClient
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.oauthClients.update - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.OauthClients.UpdateOauthClient"
  

UpdateOauthClientCredential

• 方法：google.iam.admin.v1.OauthClients.UpdateOauthClientCredential
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.oauthClientCredentials.update - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.OauthClients.UpdateOauthClientCredential"
  

google.iam.admin.v1.WorkforcePools

以下审核日志与属于 google.iam.admin.v1.WorkforcePools 的方法相关联。

CreateWorkforcePool

• 方法：google.iam.admin.v1.WorkforcePools.CreateWorkforcePool
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workforcePools.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.CreateWorkforcePool"
  

CreateWorkforcePoolProvider

• 方法：google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProvider
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workforcePoolProviders.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProvider"
  

CreateWorkforcePoolProviderKey

• 方法：google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProviderKey
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workforcePoolProviderKeys.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProviderKey"
  

DeleteWorkforcePool

• 方法：google.iam.admin.v1.WorkforcePools.DeleteWorkforcePool
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workforcePools.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.DeleteWorkforcePool"
  

DeleteWorkforcePoolProvider

• 方法：google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProvider
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workforcePoolProviders.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProvider"
  

DeleteWorkforcePoolProviderKey

• 方法：google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProviderKey
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workforcePoolProviderKeys.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProviderKey"
  

DeleteWorkforcePoolSubject

• 方法：google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolSubject
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workforcePoolSubjects.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolSubject"
  

GetIamPolicy

• 方法：google.iam.admin.v1.WorkforcePools.GetIamPolicy
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workforcePools.getIamPolicy - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.GetIamPolicy"
  

GetWorkforcePool

• 方法：google.iam.admin.v1.WorkforcePools.GetWorkforcePool
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workforcePools.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.GetWorkforcePool"
  

GetWorkforcePoolProvider

• 方法：google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProvider
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workforcePoolProviders.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProvider"
  

GetWorkforcePoolProviderKey

• 方法：google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProviderKey
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workforcePoolProviderKeys.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProviderKey"
  

ListWorkforcePoolProviderKeys

• 方法：google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviderKeys
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workforcePoolProviderKeys.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviderKeys"
  

ListWorkforcePoolProviders

• 方法：google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviders
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workforcePoolProviders.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviders"
  

ListWorkforcePools

• 方法：google.iam.admin.v1.WorkforcePools.ListWorkforcePools
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workforcePools.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.ListWorkforcePools"
  

SetIamPolicy

• 方法：google.iam.admin.v1.WorkforcePools.SetIamPolicy
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workforcePools.setIamPolicy - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.SetIamPolicy"
  

UndeleteWorkforcePool

• 方法：google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePool
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workforcePools.undelete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePool"
  

UndeleteWorkforcePoolProvider

• 方法：google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProvider
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workforcePoolProviders.undelete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProvider"
  

UndeleteWorkforcePoolProviderKey

• 方法：google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProviderKey
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workforcePoolProviderKeys.undelete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProviderKey"
  

UndeleteWorkforcePoolSubject

• 方法：google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolSubject
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workforcePoolSubjects.undelete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolSubject"
  

UpdateWorkforcePool

• 方法：google.iam.admin.v1.WorkforcePools.UpdateWorkforcePool
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workforcePools.update - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.UpdateWorkforcePool"
  

UpdateWorkforcePoolProvider

• 方法：google.iam.admin.v1.WorkforcePools.UpdateWorkforcePoolProvider
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workforcePoolProviders.update - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.admin.v1.WorkforcePools.UpdateWorkforcePoolProvider"
  

google.iam.v1.WorkloadIdentityPools

以下审核日志与属于 google.iam.v1.WorkloadIdentityPools 的方法相关联。

CreateWorkloadIdentityPool

• 方法：google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPool
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPools.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPool"
  

CreateWorkloadIdentityPoolProvider

• 方法：google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPoolProviders.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider"
  

CreateWorkloadIdentityPoolProviderKey

• 方法：google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProviderKey
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPoolProviderKeys.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProviderKey"
  

DeleteWorkloadIdentityPool

• 方法：google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPool
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPools.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPool"
  

DeleteWorkloadIdentityPoolProvider

• 方法：google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPoolProviders.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider"
  

DeleteWorkloadIdentityPoolProviderKey

• 方法：google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProviderKey
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPoolProviderKeys.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProviderKey"
  

GetWorkloadIdentityPool

• 方法：google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPool
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workloadIdentityPools.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPool"
  

GetWorkloadIdentityPoolProvider

• 方法：google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workloadIdentityPoolProviders.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider"
  

GetWorkloadIdentityPoolProviderKey

• 方法：google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProviderKey
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workloadIdentityPoolProviderKeys.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProviderKey"
  

ListWorkloadIdentityPoolProviderKeys

• 方法：google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviderKeys
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workloadIdentityPoolProviderKeys.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviderKeys"
  

ListWorkloadIdentityPoolProviders

• 方法：google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workloadIdentityPoolProviders.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders"
  

ListWorkloadIdentityPools

• 方法：google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPools
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workloadIdentityPools.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPools"
  

UndeleteWorkloadIdentityPool

• 方法：google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPool
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPools.undelete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPool"
  

UndeleteWorkloadIdentityPoolProvider

• 方法：google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPoolProviders.undelete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider"
  

UndeleteWorkloadIdentityPoolProviderKey

• 方法：google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProviderKey
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPoolProviderKeys.undelete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProviderKey"
  

UpdateWorkloadIdentityPool

• 方法：google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPool
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPools.update - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPool"
  

UpdateWorkloadIdentityPoolProvider

• 方法：google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPoolProviders.update - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider"
  

google.iam.v1beta.WorkloadIdentityPools

以下审核日志与属于 google.iam.v1beta.WorkloadIdentityPools 的方法相关联。

CreateWorkloadIdentityPool

• 方法：google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPool
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPools.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPool"
  

CreateWorkloadIdentityPoolProvider

• 方法：google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPoolProviders.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider"
  

DeleteWorkloadIdentityPool

• 方法：google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPool
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPools.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPool"
  

DeleteWorkloadIdentityPoolProvider

• 方法：google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPoolProviders.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider"
  

GetWorkloadIdentityPool

• 方法：google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPool
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workloadIdentityPools.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPool"
  

GetWorkloadIdentityPoolProvider

• 方法：google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workloadIdentityPoolProviders.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider"
  

ListWorkloadIdentityPoolProviders

• 方法：google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workloadIdentityPoolProviders.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders"
  

ListWorkloadIdentityPools

• 方法：google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPools
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.workloadIdentityPools.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPools"
  

UndeleteWorkloadIdentityPool

• 方法：google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPool
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPools.undelete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPool"
  

UndeleteWorkloadIdentityPoolProvider

• 方法：google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPoolProviders.undelete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider"
  

UpdateWorkloadIdentityPool

• 方法：google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPool
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPools.update - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPool"
  

UpdateWorkloadIdentityPoolProvider

• 方法：google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.workloadIdentityPoolProviders.update - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider"
  

google.iam.v2.Policies

以下审核日志与属于 google.iam.v2.Policies 的方法相关联。

CreatePolicy

• 方法：google.iam.v2.Policies.CreatePolicy
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.googleapis.com/denypolicies.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2.Policies.CreatePolicy"
  

DeletePolicy

• 方法：google.iam.v2.Policies.DeletePolicy
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.googleapis.com/denypolicies.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2.Policies.DeletePolicy"
  

GetPolicy

• 方法：google.iam.v2.Policies.GetPolicy
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.googleapis.com/denypolicies.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2.Policies.GetPolicy"
  

ListPolicies

• 方法：google.iam.v2.Policies.ListPolicies
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.googleapis.com/denypolicies.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2.Policies.ListPolicies"
  

UpdatePolicy

• 方法：google.iam.v2.Policies.UpdatePolicy
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.googleapis.com/denypolicies.update - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2.Policies.UpdatePolicy"
  

google.iam.v2alpha.Policies

以下审核日志与属于 google.iam.v2alpha.Policies 的方法相关联。

CreatePolicy

• 方法：google.iam.v2alpha.Policies.CreatePolicy
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.googleapis.com/denypolicies.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2alpha.Policies.CreatePolicy"
  

DeletePolicy

• 方法：google.iam.v2alpha.Policies.DeletePolicy
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.googleapis.com/denypolicies.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2alpha.Policies.DeletePolicy"
  

GetPolicy

• 方法：google.iam.v2alpha.Policies.GetPolicy
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.googleapis.com/denypolicies.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2alpha.Policies.GetPolicy"
  

ListPolicies

• 方法：google.iam.v2alpha.Policies.ListPolicies
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.googleapis.com/denypolicies.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2alpha.Policies.ListPolicies"
  

UpdatePolicy

• 方法：google.iam.v2alpha.Policies.UpdatePolicy
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.googleapis.com/denypolicies.update - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2alpha.Policies.UpdatePolicy"
  

google.iam.v2beta.Policies

以下审核日志与属于 google.iam.v2beta.Policies 的方法相关联。

CreatePolicy

• 方法：google.iam.v2beta.Policies.CreatePolicy
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.googleapis.com/denypolicies.create - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2beta.Policies.CreatePolicy"
  

DeletePolicy

• 方法：google.iam.v2beta.Policies.DeletePolicy
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.googleapis.com/denypolicies.delete - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2beta.Policies.DeletePolicy"
  

GetPolicy

• 方法：google.iam.v2beta.Policies.GetPolicy
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.googleapis.com/denypolicies.get - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2beta.Policies.GetPolicy"
  

ListPolicies

• 方法：google.iam.v2beta.Policies.ListPolicies
  
• 审核日志类型：数据访问
  
• 权限：
  • iam.googleapis.com/denypolicies.list - ADMIN_READ
• 方法是长时间运行的操作或流式传输操作：否。
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2beta.Policies.ListPolicies"
  

UpdatePolicy

• 方法：google.iam.v2beta.Policies.UpdatePolicy
  
• 审核日志类型：管理员活动
  
• 权限：
  • iam.googleapis.com/denypolicies.update - ADMIN_WRITE
• 方法是长时间运行的操作或流式传输操作：长时间运行的操作
  
• 此方法的过滤条件： protoPayload.methodName="google.iam.v2beta.Policies.UpdatePolicy"
  

查询示例

如需使用下表中的示例查询，请完成以下步骤：

1. 将查询表达式中的变量替换为您自己的项目信息，然后使用剪贴板图标 content_copy 复制表达式。

2. 在 Google Cloud 控制台中，转到 Logs Explorer 页面。

   前往 Logs Explorer

   如果您使用搜索栏查找此页面，请选择子标题为 Logging 的结果。

3. 启用显示查询以打开查询编辑器字段，然后将表达式粘贴到查询编辑器字段中：

   

4. 点击运行查询。查询结果窗格中会列出与您的查询匹配的日志。

如需查找 Identity and Access Management 的审核日志，请在 Logs Explorer 中使用以下查询：

在使用示例查询之前，请替换以下值：

• SERVICE_ACCOUNT_SHORT_ID：服务账号电子邮件地址中 @ 符号前面的所有内容。例如，服务账号 service-account@example.iam.gserviceaccount.com 的服务账号 ID 为 service-account。
• SERVICE_ACCOUNT_EMAIL：服务账号的完整电子邮件地址。例如 service-account@example.iam.gserviceaccount.com。
• ROLE_NAME：完整的角色名称，包括任何 organizations/、projects/ 或 roles/ 前缀。例如 organizations/123456789012/roles/myCompanyAdmin。

resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
(protoPayload.request.account_id:"SERVICE_ACCOUNT_SHORT_ID"
  OR protoPayload.response.email:"SERVICE_ACCOUNT_EMAIL")

resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"

resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"

resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"

log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")

log_id("cloudaudit.googleapis.com/activity")
resource.type = "iam_role"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"UpdateRole"
resource.labels.role_name:"ROLE_NAME"

resource.type = "project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"SetIamPolicy"