Geração de registros de auditoria do Identity and Access Management

Neste documento, descrevemos o registro de auditoria do Identity and Access Management. Os serviços do Google Cloud geram registros de auditoria que registram atividades administrativas e de acesso nos recursos do Google Cloud. Para mais informações sobre os Registros de auditoria do Cloud, consulte:

Observações

Também é possível ver exemplos de entradas de registro de auditoria para contas de serviço.

Nome do serviço

Os registros de auditoria do Identity and Access Management usam o nome de serviço iam.googleapis.com. Filtrar por este serviço:

    protoPayload.serviceName="iam.googleapis.com"
  

Métodos por tipo de permissão

Cada permissão do IAM tem uma propriedade type, que tem o valor de um tipo enumerado que pode ser um dos quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando você chama um método, o Identity and Access Management gera um registro de auditoria com categoria dependente da propriedade type da permissão necessária para executar o método. Métodos que exigem uma permissão do IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registros de auditoria de acesso aos dados. Métodos que exigem uma permissão do IAM com o valor da propriedade type de ADMIN_WRITE geram registros de auditoria de Atividade do administrador.

Tipo de permissão Métodos
ADMIN_READ google.iam.admin.v1.GetIAMPolicy
google.iam.admin.v1.GetRole
google.iam.admin.v1.GetServiceAccount
google.iam.admin.v1.GetServiceAccountKey
google.iam.admin.v1.ListRoles
google.iam.admin.v1.ListServiceAccountKeys
google.iam.admin.v1.ListServiceAccounts
google.iam.admin.v1.OauthClients.GetOauthClient
google.iam.admin.v1.OauthClients.GetOauthClientCredential
google.iam.admin.v1.OauthClients.ListOauthClientCredentials
google.iam.admin.v1.OauthClients.ListOauthClients
google.iam.admin.v1.TestIAMPermissions
google.iam.admin.v1.WorkforcePools.GetIamPolicy
google.iam.admin.v1.WorkforcePools.GetWorkforcePool
google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.GetWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviderKeys
google.iam.admin.v1.WorkforcePools.ListWorkforcePoolProviders
google.iam.admin.v1.WorkforcePools.ListWorkforcePools
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.GetWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviderKeys
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
google.iam.v1.WorkloadIdentityPools.ListWorkloadIdentityPools
google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.GetWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPoolProviders
google.iam.v1beta.WorkloadIdentityPools.ListWorkloadIdentityPools
google.iam.v2.Policies.GetPolicy
google.iam.v2.Policies.ListPolicies
google.iam.v2alpha.Policies.GetPolicy
google.iam.v2alpha.Policies.ListPolicies
google.iam.v2beta.Policies.GetPolicy
google.iam.v2beta.Policies.ListPolicies
google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings
google.iam.v3beta.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
google.longrunning.Operations.GetOperation
ADMIN_WRITE google.iam.admin.v1.CreateRole
google.iam.admin.v1.CreateServiceAccount
google.iam.admin.v1.CreateServiceAccountKey
google.iam.admin.v1.DeleteRole
google.iam.admin.v1.DeleteServiceAccount
google.iam.admin.v1.DeleteServiceAccountKey
google.iam.admin.v1.DisableServiceAccount
google.iam.admin.v1.DisableServiceAccountKey
google.iam.admin.v1.EnableServiceAccount
google.iam.admin.v1.EnableServiceAccountKey
google.iam.admin.v1.OauthClients.CreateOauthClient
google.iam.admin.v1.OauthClients.CreateOauthClientCredential
google.iam.admin.v1.OauthClients.DeleteOauthClient
google.iam.admin.v1.OauthClients.DeleteOauthClientCredential
google.iam.admin.v1.OauthClients.UndeleteOauthClient
google.iam.admin.v1.OauthClients.UpdateOauthClient
google.iam.admin.v1.OauthClients.UpdateOauthClientCredential
google.iam.admin.v1.PatchServiceAccount
google.iam.admin.v1.SetIAMPolicy
google.iam.admin.v1.UndeleteRole
google.iam.admin.v1.UndeleteServiceAccount
google.iam.admin.v1.UpdateRole
google.iam.admin.v1.UpdateServiceAccount
google.iam.admin.v1.UploadServiceAccountKey
google.iam.admin.v1.WorkforcePools.CreateWorkforcePool
google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.CreateWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePool
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.DeleteWorkforcePoolSubject
google.iam.admin.v1.WorkforcePools.SetIamPolicy
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePool
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProvider
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolProviderKey
google.iam.admin.v1.WorkforcePools.UndeleteWorkforcePoolSubject
google.iam.admin.v1.WorkforcePools.UpdateWorkforcePool
google.iam.admin.v1.WorkforcePools.UpdateWorkforcePoolProvider
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.CreateWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider
google.iam.v1.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProviderKey
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPool
google.iam.v1.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.CreateWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.DeleteWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.UndeleteWorkloadIdentityPoolProvider
google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPool
google.iam.v1beta.WorkloadIdentityPools.UpdateWorkloadIdentityPoolProvider
google.iam.v2.Policies.CreatePolicy
google.iam.v2.Policies.DeletePolicy
google.iam.v2.Policies.UpdatePolicy
google.iam.v2alpha.Policies.CreatePolicy
google.iam.v2alpha.Policies.DeletePolicy
google.iam.v2beta.Policies.CreatePolicy
google.iam.v2beta.Policies.DeletePolicy
google.iam.v2beta.Policies.UpdatePolicy
google.iam.v3.PolicyBindings.CreatePolicyBinding
google.iam.v3.PolicyBindings.DeletePolicyBinding
google.iam.v3.PolicyBindings.UpdatePolicyBinding
google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy
google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy
google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy
google.iam.v3beta.PolicyBindings.CreatePolicyBinding
google.iam.v3beta.PolicyBindings.DeletePolicyBinding
google.iam.v3beta.PolicyBindings.UpdatePolicyBinding
google.iam.v3beta.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy
google.iam.v3beta.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy
OTHER google.iam.admin.v1.QueryGrantableRoles: para ativar esse registro, ative ADMIN_READ no serviço cloudresourcemanager.googleapis.com.
google.iam.v3.PolicyBindings.SearchTargetPolicyBindings: para ativar esse registro, ative ADMIN_READ no serviço cloudresourcemanager.googleapis.com.

Registros de auditoria da interface da API

Para informações sobre como e quais permissões são avaliadas para cada método, consulte a documentação do Identity and Access Management.

google.iam.admin.v1.IAM

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.admin.v1.IAM.

CreateRole

  • Método: google.iam.admin.v1.CreateRole
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • iam.roles.create - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.CreateRole"

CreateServiceAccount

CreateServiceAccountKey

DeleteRole

  • Método: google.iam.admin.v1.DeleteRole
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • iam.roles.delete - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.DeleteRole"

DeleteServiceAccount

DeleteServiceAccountKey

DisableServiceAccount

DisableServiceAccountKey

EnableServiceAccount

EnableServiceAccountKey

GetIAMPolicy

  • Método: google.iam.admin.v1.GetIAMPolicy
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.serviceAccounts.getIamPolicy - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.GetIAMPolicy"

GetRole

  • Método: google.iam.admin.v1.GetRole
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.roles.get - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.GetRole"

GetServiceAccount

  • Método: google.iam.admin.v1.GetServiceAccount
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.serviceAccounts.get - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.GetServiceAccount"

GetServiceAccountKey

  • Método: google.iam.admin.v1.GetServiceAccountKey
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.serviceAccountKeys.get - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.GetServiceAccountKey"

ListRoles

  • Método: google.iam.admin.v1.ListRoles
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.roles.list - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.ListRoles"

ListServiceAccountKeys

  • Método: google.iam.admin.v1.ListServiceAccountKeys
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.serviceAccountKeys.list - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.ListServiceAccountKeys"

ListServiceAccounts

  • Método: google.iam.admin.v1.ListServiceAccounts
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.serviceAccounts.list - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.ListServiceAccounts"

PatchServiceAccount

QueryGrantableRoles

  • Método: google.iam.admin.v1.QueryGrantableRoles
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • resourcemanager.projects.getIamPolicy - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.QueryGrantableRoles"

SetIAMPolicy

  • Método: google.iam.admin.v1.SetIAMPolicy
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • iam.serviceAccounts.setIamPolicy - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.SetIAMPolicy"

TestIAMPermissions

  • Método: google.iam.admin.v1.TestIAMPermissions
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.serviceAccounts.list - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.TestIAMPermissions"

UndeleteRole

  • Método: google.iam.admin.v1.UndeleteRole
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • iam.roles.undelete - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.UndeleteRole"

UndeleteServiceAccount

UpdateRole

  • Método: google.iam.admin.v1.UpdateRole
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • iam.roles.update - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.UpdateRole"

UpdateServiceAccount

UploadServiceAccountKey

google.iam.admin.v1.OauthClients

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.admin.v1.OauthClients.

CreateOauthClient

CreateOauthClientCredential

DeleteOauthClient

DeleteOauthClientCredential

GetOauthClient

  • Método: google.iam.admin.v1.OauthClients.GetOauthClient
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.oauthClients.get - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.OauthClients.GetOauthClient"

GetOauthClientCredential

ListOauthClientCredentials

ListOauthClients

  • Método: google.iam.admin.v1.OauthClients.ListOauthClients
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.oauthClients.list - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.OauthClients.ListOauthClients"

UndeleteOauthClient

UpdateOauthClient

UpdateOauthClientCredential

google.iam.admin.v1.WorkforcePools

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.admin.v1.WorkforcePools.

CreateWorkforcePool

CreateWorkforcePoolProvider

CreateWorkforcePoolProviderKey

DeleteWorkforcePool

DeleteWorkforcePoolProvider

DeleteWorkforcePoolProviderKey

DeleteWorkforcePoolSubject

GetIamPolicy

  • Método: google.iam.admin.v1.WorkforcePools.GetIamPolicy
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.workforcePools.getIamPolicy - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.WorkforcePools.GetIamPolicy"

GetWorkforcePool

  • Método: google.iam.admin.v1.WorkforcePools.GetWorkforcePool
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.workforcePools.get - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.admin.v1.WorkforcePools.GetWorkforcePool"

GetWorkforcePoolProvider

GetWorkforcePoolProviderKey

ListWorkforcePoolProviderKeys

ListWorkforcePoolProviders

ListWorkforcePools

SetIamPolicy

UndeleteWorkforcePool

UndeleteWorkforcePoolProvider

UndeleteWorkforcePoolProviderKey

UndeleteWorkforcePoolSubject

UpdateWorkforcePool

UpdateWorkforcePoolProvider

google.iam.v1.WorkloadIdentityPools

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.v1.WorkloadIdentityPools.

CreateWorkloadIdentityPool

CreateWorkloadIdentityPoolProvider

CreateWorkloadIdentityPoolProviderKey

DeleteWorkloadIdentityPool

DeleteWorkloadIdentityPoolProvider

DeleteWorkloadIdentityPoolProviderKey

GetWorkloadIdentityPool

GetWorkloadIdentityPoolProvider

GetWorkloadIdentityPoolProviderKey

ListWorkloadIdentityPoolProviderKeys

ListWorkloadIdentityPoolProviders

ListWorkloadIdentityPools

UndeleteWorkloadIdentityPool

UndeleteWorkloadIdentityPoolProvider

UndeleteWorkloadIdentityPoolProviderKey

UpdateWorkloadIdentityPool

UpdateWorkloadIdentityPoolProvider

google.iam.v1beta.WorkloadIdentityPools

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.v1beta.WorkloadIdentityPools.

CreateWorkloadIdentityPool

CreateWorkloadIdentityPoolProvider

DeleteWorkloadIdentityPool

DeleteWorkloadIdentityPoolProvider

GetWorkloadIdentityPool

GetWorkloadIdentityPoolProvider

ListWorkloadIdentityPoolProviders

ListWorkloadIdentityPools

UndeleteWorkloadIdentityPool

UndeleteWorkloadIdentityPoolProvider

UpdateWorkloadIdentityPool

UpdateWorkloadIdentityPoolProvider

google.iam.v2.Policies

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.v2.Policies.

CreatePolicy

DeletePolicy

GetPolicy

  • Método: google.iam.v2.Policies.GetPolicy
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.v2.Policies.GetPolicy"

ListPolicies

  • Método: google.iam.v2.Policies.ListPolicies
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.v2.Policies.ListPolicies"

UpdatePolicy

google.iam.v2alpha.Policies

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.v2alpha.Policies.

CreatePolicy

  • Método: google.iam.v2alpha.Policies.CreatePolicy
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • iam.googleapis.com/denypolicies.create - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: operação de longa duração
  • Filtrar para este método: protoPayload.methodName="google.iam.v2alpha.Policies.CreatePolicy"

DeletePolicy

  • Método: google.iam.v2alpha.Policies.DeletePolicy
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • iam.googleapis.com/denypolicies.delete - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: operação de longa duração
  • Filtrar para este método: protoPayload.methodName="google.iam.v2alpha.Policies.DeletePolicy"

GetPolicy

  • Método: google.iam.v2alpha.Policies.GetPolicy
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.v2alpha.Policies.GetPolicy"

ListPolicies

  • Método: google.iam.v2alpha.Policies.ListPolicies
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.v2alpha.Policies.ListPolicies"

google.iam.v2beta.Policies

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.v2beta.Policies.

CreatePolicy

DeletePolicy

GetPolicy

  • Método: google.iam.v2beta.Policies.GetPolicy
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.googleapis.com/denypolicies.get - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.v2beta.Policies.GetPolicy"

ListPolicies

  • Método: google.iam.v2beta.Policies.ListPolicies
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.googleapis.com/denypolicies.list - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.v2beta.Policies.ListPolicies"

UpdatePolicy

google.iam.v3.PolicyBindings

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.v3.PolicyBindings.

CreatePolicyBinding

  • Método: google.iam.v3.PolicyBindings.CreatePolicyBinding
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • cloudresourcemanager.googleapis.com/projects.createPolicyBinding - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: operação de longa duração
  • Filtrar para este método: protoPayload.methodName="google.iam.v3.PolicyBindings.CreatePolicyBinding"

DeletePolicyBinding

  • Método: google.iam.v3.PolicyBindings.DeletePolicyBinding
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • cloudresourcemanager.googleapis.com/projects.deletePolicyBinding - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: operação de longa duração
  • Filtrar para este método: protoPayload.methodName="google.iam.v3.PolicyBindings.DeletePolicyBinding"

SearchTargetPolicyBindings

  • Método: google.iam.v3.PolicyBindings.SearchTargetPolicyBindings
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudresourcemanager.googleapis.com/folders.searchPolicyBindings - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.v3.PolicyBindings.SearchTargetPolicyBindings"

UpdatePolicyBinding

  • Método: google.iam.v3.PolicyBindings.UpdatePolicyBinding
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • cloudresourcemanager.googleapis.com/organizations.updatePolicyBinding - ADMIN_WRITE
    • cloudresourcemanager.googleapis.com/projects.updatePolicyBinding - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: operação de longa duração
  • Filtrar para este método: protoPayload.methodName="google.iam.v3.PolicyBindings.UpdatePolicyBinding"

google.iam.v3.PrincipalAccessBoundaryPolicies

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.v3.PrincipalAccessBoundaryPolicies.

CreatePrincipalAccessBoundaryPolicy

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • iam.principalaccessboundarypolicies.create - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: operação de longa duração
  • Filtrar para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.CreatePrincipalAccessBoundaryPolicy"

DeletePrincipalAccessBoundaryPolicy

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • iam.principalaccessboundarypolicies.delete - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: operação de longa duração
  • Filtrar para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.DeletePrincipalAccessBoundaryPolicy"

GetPrincipalAccessBoundaryPolicy

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.principalaccessboundarypolicies.get - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.GetPrincipalAccessBoundaryPolicy"

ListPrincipalAccessBoundaryPolicies

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.principalaccessboundarypolicies.list - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.ListPrincipalAccessBoundaryPolicies"

UpdatePrincipalAccessBoundaryPolicy

  • Método: google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • iam.principalaccessboundarypolicies.update - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: operação de longa duração
  • Filtrar para este método: protoPayload.methodName="google.iam.v3.PrincipalAccessBoundaryPolicies.UpdatePrincipalAccessBoundaryPolicy"

google.iam.v3beta.PolicyBindings

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.v3beta.PolicyBindings.

CreatePolicyBinding

DeletePolicyBinding

SearchTargetPolicyBindings

  • Método: google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • cloudresourcemanager.googleapis.com/folders.searchPolicyBindings - ADMIN_READ
    • cloudresourcemanager.googleapis.com/organizations.searchPolicyBindings - ADMIN_READ
    • cloudresourcemanager.googleapis.com/projects.searchPolicyBindings - ADMIN_READ
    • iam.googleapis.com/workspacePools.searchPolicyBindings - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.iam.v3beta.PolicyBindings.SearchTargetPolicyBindings"

UpdatePolicyBinding

  • Método: google.iam.v3beta.PolicyBindings.UpdatePolicyBinding
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • cloudresourcemanager.googleapis.com/folders.updatePolicyBinding - ADMIN_WRITE
    • cloudresourcemanager.googleapis.com/organizations.updatePolicyBinding - ADMIN_WRITE
    • cloudresourcemanager.googleapis.com/projects.updatePolicyBinding - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: operação de longa duração
  • Filtrar para este método: protoPayload.methodName="google.iam.v3beta.PolicyBindings.UpdatePolicyBinding"

google.iam.v3beta.PrincipalAccessBoundaryPolicies

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.v3beta.PrincipalAccessBoundaryPolicies.

CreatePrincipalAccessBoundaryPolicy

DeletePrincipalAccessBoundaryPolicy

GetPrincipalAccessBoundaryPolicy

ListPrincipalAccessBoundaryPolicies

UpdatePrincipalAccessBoundaryPolicy

google.longrunning.Operations

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.longrunning.Operations.

GetOperation

  • Método: google.longrunning.Operations.GetOperation
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iam.operations.get - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.longrunning.Operations.GetOperation"

Métodos que não produzem registros de auditoria

Um método pode não produzir registros de auditoria para um ou mais dos seguintes itens motivos:

  • É um método de alto volume que envolve geração e armazenamento de registros significativos custos.
  • Tem baixo valor de auditoria.
  • Outro registro de auditoria ou plataforma já oferece cobertura de método.

Os métodos a seguir não produzem registros de auditoria:

  • google.iam.admin.v1.IAM.SignBlob
  • google.iam.admin.v1.IAM.SignJwt

Amostras de consultas

Para usar as consultas de amostra na tabela a seguir, siga estas etapas:

  1. Substitua as variáveis na expressão de consulta pelas informações do projeto e copie a expressão usando o ícone de área de transferência .

  2. No console do Google Cloud, acesse a página Análise de registros:

    Acessar a Análise de registros

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.

  3. Ative Mostrar consulta para abrir o campo "query-editor" e cole a expressão nele:

    O editor de consultas em que você insere exemplos de consultas.

  4. Clique em Executar consulta. Os registros que correspondem à consulta são listados no painel Resultados da consulta.

Para encontrar registros de auditoria do Identity and Access Management, use as seguintes consultas na Análise de registros:

Antes de usar as consultas de exemplo, substitua estes valores:

  • SERVICE_ACCOUNT_SHORT_ID: tudo que precede o símbolo @ no endereço de e-mail da conta de serviço. Por exemplo, o ID da conta de serviço service-account@example.iam.gserviceaccount.com é service-account.
  • SERVICE_ACCOUNT_EMAIL: o endereço de e-mail completo da conta de serviço. Por exemplo, service-account@example.iam.gserviceaccount.com.
  • ROLE_NAME: o nome completo do papel, incluindo qualquer prefixo organizations/, projects/ ou roles/. Por exemplo, organizations/123456789012/roles/myCompanyAdmin.
Nome da consulta Expressão
Conta de serviço criada
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
(protoPayload.request.account_id:"SERVICE_ACCOUNT_SHORT_ID"
  OR protoPayload.response.email:"SERVICE_ACCOUNT_EMAIL")
Conta de serviço excluída
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccount"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Chave da conta de serviço criada
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"CreateServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Chave da conta de serviço excluída
resource.type = "service_account"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"DeleteServiceAccountKey"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.email_id:"SERVICE_ACCOUNT_EMAIL"
Qualquer recurso criado, modificado ou excluído
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")
Papel personalizado atualizado
log_id("cloudaudit.googleapis.com/activity")
resource.type = "iam_role"
protoPayload.serviceName = "iam.googleapis.com"
protoPayload.methodName:"UpdateRole"
resource.labels.role_name:"ROLE_NAME"
Política de permissão para envolvidos no projeto atualizada
resource.type = "project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"SetIamPolicy"