Log di controllo di Identity and Access Management

Questo documento descrive la registrazione di controllo per Identity and Access Management. I servizi Google Cloud generano audit log che registrano le attività amministrative e di accesso all'interno delle risorse Google Cloud. Per ulteriori informazioni su Cloud Audit Logs, consulta quanto segue:

Note

Puoi anche visualizzare esempi di voci di log di controllo per gli account di servizio.

Nome servizio

I log di controllo di Identity and Access Management utilizzano il nome del servizio iam.googleapis.com. Filtra per questo servizio:

    protoPayload.serviceName="iam.googleapis.com"
  

Metodi per tipo di autorizzazione

Ogni autorizzazione IAM ha una proprietà type, il cui valore è un enum che può essere uno dei quattro valori: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Quando chiami un metodo, Identity and Access Management genera un log di controllo la cui categoria dipende dalla proprietà type dell'autorizzazione richiesta per eseguire il metodo. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type corrispondente a DATA_READ, DATA_WRITE o ADMIN_READ generano log di controllo Accesso ai dati. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type ADMIN_WRITE generano log di controllo per le attività amministrative.

Tipo di autorizzazione Metodi
ADMIN_READ google.iam.admin.v1.GetIAMPolicy
google.iam.admin.v1.GetRole
google.iam.admin.v1.GetServiceAccount
google.iam.admin.v1.GetServiceAccountKey
google.iam.admin.v1.ListRoles
google.iam.admin.v1.ListServiceAccountKeys
google.iam.admin.v1.ListServiceAccounts
google.iam.admin.v1.OauthClients.GetOauthClient
google.iam.admin.v1.OauthClients.GetOauthClientCredential
google.iam.admin.v1.OauthClients.ListOauthClientCredentials
google.iam.admin.v1.OauthClients.ListOauthClients
google.iam.admin.v1.QueryGrantableRoles
google.iam.admin.v1.TestIAMPermissions
google.iam.admin.v1.WorkforcePools.GetIamPolicy
google.iam.admin.v1.WorkforcePools.GetWorkforcePool
google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviderKeys
google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviders
google.iam.admin.v1.WorkforcePools.ListWorkforcePools
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviderKeys
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPools
google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPools
google.iam.v2.Policies.GetPolicy
google.iam.v2.Policies.ListPolicies
google.iam.v2alpha.Policies.GetPolicy
google.iam.v2alpha.Policies.ListPolicies
google.iam.v2beta.Policies.GetPolicy
google.iam.v2beta.Policies.ListPolicies
google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings
google.iam.v3beta.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
google.longrunning.Operations.GetOperation
ADMIN_WRITE google.iam.admin.v1.CreateRole
google.iam.admin.v1.CreateServiceAccount
google.iam.admin.v1.CreateServiceAccountKey
google.iam.admin.v1.DeleteRole
google.iam.admin.v1.DeleteServiceAccount
google.iam.admin.v1.DeleteServiceAccountKey
google.iam.admin.v1.DisableServiceAccount
google.iam.admin.v1.DisableServiceAccountKey
google.iam.admin.v1.EnableServiceAccount
google.iam.admin.v1.EnableServiceAccountKey
google.iam.admin.v1.OauthClients.CreateOauthClient
google.iam.admin.v1.OauthClients.CreateOauthClientCredential
google.iam.admin.v1.OauthClients.DeleteOauthClient
google.iam.admin.v1.OauthClients.DeleteOauthClientCredential
google.iam.admin.v1.OauthClients.UndeleteOauthClient
google.iam.admin.v1.OauthClients.UpdateOauthClient
google.iam.admin.v1.OauthClients.UpdateOauthClientCredential
google.iam.admin.v1.PatchServiceAccount
google.iam.admin.v1.SetIAMPolicy
google.iam.admin.v1.UndeleteRole
google.iam.admin.v1.UndeleteServiceAccount
google.iam.admin.v1.UpdateRole
google.iam.admin.v1.UpdateServiceAccount
google.iam.admin.v1.UploadServiceAccountKey
google.iam.admin.v1.WorkforcePools.CreateWorkforcePool
google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePool
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolSubject
google.iam.admin.v1.WorkforcePools.SetIamPolicy
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePool
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolSubject
google.iam.admin.v1.WorkforcePools.UpdateWorkforcePool
google.iam.admin.v1.WorkforcePools.UpdateWorkforcePoolProvider
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider
google.iam.v2.Policies.CreatePolicy
google.iam.v2.Policies.DeletePolicy
google.iam.v2.Policies.UpdatePolicy
google.iam.v2alpha.Policies.CreatePolicy
google.iam.v2alpha.Policies.DeletePolicy
google.iam.v2beta.Policies.CreatePolicy
google.iam.v2beta.Policies.DeletePolicy
google.iam.v2beta.Policies.UpdatePolicy
google.iam.v3beta.PolicyBindings.CreatePolicyBinding
google.iam.v3beta.PolicyBindings.DeletePolicyBinding
google.iam.v3beta.PolicyBindings.UpdatePolicyBinding
google.iam.v3beta.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy

Audit log dell'interfaccia API

Per informazioni su come e quali autorizzazioni vengono valutate per ogni metodo, consulta la documentazione di Identity and Access Management.

google.iam.admin.v1.IAM

I seguenti log di controllo sono associati ai metodi appartenenti a google.iam.admin.v1.IAM.

CreateRole

  • Metodo: google.iam.admin.v1.CreateRole
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • iam.roles.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.CreateRole"

CreateServiceAccount

CreateServiceAccountKey

DeleteRole

  • Metodo: google.iam.admin.v1.DeleteRole
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • iam.roles.delete - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.DeleteRole"

DeleteServiceAccount

DeleteServiceAccountKey

DisableServiceAccount

DisableServiceAccountKey

EnableServiceAccount

EnableServiceAccountKey

GetIAMPolicy

  • Metodo: google.iam.admin.v1.GetIAMPolicy
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.serviceAccounts.getIamPolicy - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.GetIAMPolicy"

GetRole

  • Metodo: google.iam.admin.v1.GetRole
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.roles.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.GetRole"

GetServiceAccount

  • Metodo: google.iam.admin.v1.GetServiceAccount
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.serviceAccounts.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.GetServiceAccount"

GetServiceAccountKey

  • Metodo: google.iam.admin.v1.GetServiceAccountKey
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.serviceAccountKeys.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.GetServiceAccountKey"

ListRoles

  • Metodo: google.iam.admin.v1.ListRoles
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.roles.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.ListRoles"

ListServiceAccountKeys

  • Metodo: google.iam.admin.v1.ListServiceAccountKeys
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.serviceAccountKeys.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.ListServiceAccountKeys"

ListServiceAccounts

  • Metodo: google.iam.admin.v1.ListServiceAccounts
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.serviceAccounts.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.ListServiceAccounts"

PatchServiceAccount

QueryGrantableRoles

  • Metodo: google.iam.admin.v1.QueryGrantableRoles
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • resourcemanager.projects.getIamPolicy - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.QueryGrantableRoles"
.

SetIAMPolicy

  • Metodo: google.iam.admin.v1.SetIAMPolicy
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • iam.serviceAccounts.setIamPolicy - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.SetIAMPolicy"

TestIAMPermissions

  • Metodo: google.iam.admin.v1.TestIAMPermissions
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.serviceAccounts.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.TestIAMPermissions"

UndeleteRole

UndeleteServiceAccount

UpdateRole

  • Metodo: google.iam.admin.v1.UpdateRole
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • iam.roles.update - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.UpdateRole"

UpdateServiceAccount

UploadServiceAccountKey

google.iam.admin.v1.OauthClients

I seguenti log di controllo sono associati ai metodi appartenenti a google.iam.admin.v1.OauthClients.

CreateOauthClient

CreateOauthClientCredential

DeleteOauthClient

DeleteOauthClientCredential

GetOauthClient

  • Metodo: google.iam.admin.v1.OauthClients.GetOauthClient
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.oauthClients.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.OauthClients.GetOauthClient"

GetOauthClientCredential

ListOauthClientCredentials

ListOauthClients

  • Metodo: google.iam.admin.v1.OauthClients.ListOauthClients
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.oauthClients.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.OauthClients.ListOauthClients"

UndeleteOauthClient

UpdateOauthClient

UpdateOauthClientCredential

google.iam.admin.v1.WorkforcePools

I seguenti log di controllo sono associati ai metodi appartenenti a google.iam.admin.v1.WorkforcePools.

CreateWorkforcePool

CreateWorkforcePoolProvider

CreateWorkforcePoolProviderKey

DeleteWorkforcePool

DeleteWorkforcePoolProvider

DeleteWorkforcePoolProviderKey

DeleteWorkforcePoolSubject

GetIamPolicy

  • Metodo: google.iam.admin.v1.WorkforcePools.GetIamPolicy
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.workforcePools.getIamPolicy - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.admin.v1.WorkforcePools.GetIamPolicy"

GetWorkforcePool

GetWorkforcePoolProvider

GetWorkforcePoolProviderKey

ListWorkforcePoolProviderKeys

ListWorkforcePoolProviders

ListWorkforcePools

SetIamPolicy

UndeleteWorkforcePool

UndeleteWorkforcePoolProvider

UndeleteWorkforcePoolProviderKey

UndeleteWorkforcePoolSubject

UpdateWorkforcePool

UpdateWorkforcePoolProvider

google.iam.v1.WorkloadIdentityPools

I seguenti log di controllo sono associati ai metodi appartenenti a google.iam.v1.WorkloadIdentityPools.

CreateWorkloadIdentityPool

CreateWorkloadIdentityPoolProvider

CreateWorkloadIdentityPoolProviderKey

DeleteWorkloadIdentityPool

DeleteWorkloadIdentityPoolProvider

DeleteWorkloadIdentityPoolProviderKey

GetWorkloadIdentityPool

GetWorkloadIdentityPoolProvider

GetWorkloadIdentityPoolProviderKey

ListWorkloadIdentityPoolProviderKeys

ListWorkloadIdentityPoolProviders

ListWorkloadIdentityPools

UndeleteWorkloadIdentityPool

UndeleteWorkloadIdentityPoolProvider

UndeleteWorkloadIdentityPoolProviderKey

UpdateWorkloadIdentityPool

UpdateWorkloadIdentityPoolProvider

google.iam.v1beta.WorkloadIdentityPools

I seguenti log di controllo sono associati ai metodi appartenenti a google.iam.v1beta.WorkloadIdentityPools.

CreateWorkloadIdentityPool

CreateWorkloadIdentityPoolProvider

DeleteWorkloadIdentityPool

DeleteWorkloadIdentityPoolProvider

GetWorkloadIdentityPool

GetWorkloadIdentityPoolProvider

ListWorkloadIdentityPoolProviders

ListWorkloadIdentityPools

UndeleteWorkloadIdentityPool

UndeleteWorkloadIdentityPoolProvider

UpdateWorkloadIdentityPool

UpdateWorkloadIdentityPoolProvider

google.iam.v2.Policies

I seguenti log di controllo sono associati ai metodi appartenenti a google.iam.v2.Policies.

CreatePolicy

DeletePolicy

GetPolicy

  • Metodo: google.iam.v2.Policies.GetPolicy
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2.Policies.GetPolicy"

ListPolicies

  • Metodo: google.iam.v2.Policies.ListPolicies
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2.Policies.ListPolicies"

UpdatePolicy

google.iam.v2alpha.Policies

I seguenti log di controllo sono associati ai metodi appartenenti a google.iam.v2alpha.Policies.

CreatePolicy

  • Metodo: google.iam.v2alpha.Policies.CreatePolicy
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o di streaming: Operazione a lunga esecuzione
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2alpha.Policies.CreatePolicy"

DeletePolicy

  • Metodo: google.iam.v2alpha.Policies.DeletePolicy
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.delete - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o di streaming: Operazione a lunga esecuzione
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2alpha.Policies.DeletePolicy"

GetPolicy

  • Metodo: google.iam.v2alpha.Policies.GetPolicy
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2alpha.Policies.GetPolicy"

ListPolicies

  • Metodo: google.iam.v2alpha.Policies.ListPolicies
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2alpha.Policies.ListPolicies"

google.iam.v2beta.Policies

I seguenti log di controllo sono associati ai metodi appartenenti a google.iam.v2beta.Policies.

CreatePolicy

DeletePolicy

GetPolicy

  • Metodo: google.iam.v2beta.Policies.GetPolicy
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2beta.Policies.GetPolicy"

ListPolicies

  • Metodo: google.iam.v2beta.Policies.ListPolicies
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v2beta.Policies.ListPolicies"

UpdatePolicy

google.iam.v3beta.PolicyBindings

I seguenti log di controllo sono associati ai metodi appartenenti a google.iam.v3beta.PolicyBindings.

CreatePolicyBinding

DeletePolicyBinding

SearchTargetPolicyBindings

  • Metodo: google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • cloudresourcemanager.googleapis.com/folders.searchPolicyBindings - ADMIN_READ
    • cloudresourcemanager.googleapis.com/organizations.searchPolicyBindings - ADMIN_READ
    • cloudresourcemanager.googleapis.com/projects.searchPolicyBindings - ADMIN_READ
    • iam.googleapis.com/workspacePools.searchPolicyBindings - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings"

UpdatePolicyBinding

  • Metodo: google.iam.v3beta.PolicyBindings.UpdatePolicyBinding
  • Tipo di log di controllo: Attività di amministrazione
  • Autorizzazioni:
    • cloudresourcemanager.googleapis.com/folders.updatePolicyBinding - ADMIN_WRITE
    • cloudresourcemanager.googleapis.com/organizations.updatePolicyBinding - ADMIN_WRITE
    • cloudresourcemanager.googleapis.com/projects.updatePolicyBinding - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o di streaming: Operazione a lunga esecuzione
  • Filtra per questo metodo: protoPayload.methodName="google.iam.v3beta.PolicyBindings.UpdatePolicyBinding"

google.iam.v3beta.PrincipalAccessBoundaryPolicies

I seguenti log di controllo sono associati ai metodi appartenenti a google.iam.v3beta.PrincipalAccessBoundaryPolicies.

CreatePrincipalAccessBoundaryPolicy

DeletePrincipalAccessBoundaryPolicy

GetPrincipalAccessBoundaryPolicy

ListPrincipalAccessBoundaryPolicies

UpdatePrincipalAccessBoundaryPolicy

google.longrunning.Operations

I seguenti log di controllo sono associati ai metodi appartenenti a google.longrunning.Operations.

GetOperation

  • Metodo: google.longrunning.Operations.GetOperation
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • iam.operations.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.longrunning.Operations.GetOperation"

Metodi che non generano log di controllo

Un metodo potrebbe non generare audit log per uno o più dei seguenti motivi:

  • Si tratta di un metodo ad alto volume che comporta costi significativi per la generazione e l'archiviazione dei log.
  • Ha un valore di controllo basso.
  • Un altro log di controllo o della piattaforma fornisce già la copertura del metodo.

I seguenti metodi non generano log di controllo:

  • google.iam.admin.v1.IAM.SignBlob
  • google.iam.admin.v1.IAM.SignJwt

Query di esempio

Per utilizzare le query di esempio nella tabella seguente:

  1. Sostituisci le variabili nell'espressione di query con le informazioni del tuo progetto, quindi copia l'espressione utilizzando l'icona della clipboard.

  2. Nella console Google Cloud, vai alla pagina Esplora log:

    Vai a Esplora log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  3. Attiva Mostra query per aprire il campo dell'editor di query, quindi incolla l'espressione nel campo dell'editor di query:

    L'editor di query in cui inserisci le query di esempio.

  4. Fai clic su Esegui query. I log corrispondenti alla tua query sono elencati nel riquadro Risultati query.

Per trovare gli audit log per Identity and Access Management, utilizza le seguenti query in Esplora log:

Prima di utilizzare le query di esempio, sostituisci i seguenti valori:

  • SERVICE_ACCOUNT_SHORT_ID: tutto ciò che precede il simbolo @ nell'indirizzo email dell'account di servizio. Ad esempio, l'ID account di servizio dell'account di servizioservice-account@example.iam.gserviceaccount.com è service-account.
  • SERVICE_ACCOUNT_EMAIL: l'indirizzo email completo dell'account di servizio. Ad esempio, service-account@example.iam.gserviceaccount.com.
  • ROLE_NAME: il nome completo del ruolo, inclusi eventuali prefìsi organizations/, projects/ o roles/. Ad esempio, organizations/123456789012/roles/myCompanyAdmin.
Nome query Espressione
Service account creato
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
(protoPayload.request.account_id:"SERVICE_ACCOUNT_SHORT_ID"
  OR protoPayload.response.email:"SERVICE_ACCOUNT_EMAIL")
Account di servizio eliminato
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Chiave dell'account di servizio creata
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Chiave dell'account di servizio eliminata
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Qualsiasi risorsa creata, modificata o eliminata
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")
Ruolo personalizzato aggiornato
log_id("cloudaudit.googleapis.com/activity")
resource.type = "iam_role"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"UpdateRole"
resource.labels.role_name:"ROLE_NAME"
Criterio di autorizzazione a livello di progetto aggiornato
resource.type = "project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"SetIamPolicy"