Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Cloud de Confiance von S3NS. Weitere Informationen finden Sie unter Unterschiede zu Google Cloud.

Diese Seite wurde von der Cloud Translation API übersetzt.

Audit-Logging für Dienstkonto-Anmeldedaten

In diesem Dokument wird das Audit-Logging für Dienstkontoanmeldedaten beschrieben. Cloud de Confiance by S3NS -Dienste generieren Audit-Logs, in denen Verwaltungs- und Zugriffsaktivitäten in Ihren Cloud de Confiance by S3NS -Ressourcen aufgezeichnet werden. Weitere Informationen zu Cloud-Audit-Logs finden Sie unter den folgenden Links:

Dienstname

Für Audit-Logs für Dienstkontoanmeldedaten wird der Dienstname iamcredentials.googleapis.com verwendet. Nach diesem Dienst filtern:

    protoPayload.serviceName="iamcredentials.googleapis.com"

Methoden nach Berechtigungstyp

Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert ein Enum ist, der einen der folgenden vier Werte haben kann: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, generiert „Anmeldedaten für Dienstkonten“ ein Audit-Log, dessen Kategorie vom Attribut type der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.

API-Methoden in der folgenden Liste, die mit (LRO) gekennzeichnet sind, sind Vorgänge mit langer Ausführungszeit. Diese Methoden generieren in der Regel zwei Audit-Log-Einträge: einen beim Start und einen beim Ende des Vorgangs. Weitere Informationen finden Sie unter Audit-Logs für Vorgänge mit langer Ausführungszeit.

Berechtigungstyp	Methoden
`ADMIN_READ`	`GenerateAccessToken` (LRO) `GenerateIdToken` (LRO) `SignBlob` (LRO) `SignJwt` (LRO)

Audit-Logs der API-Schnittstelle

Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation zu Identity and Access Management für Anmeldedaten für Dienstkonten.

`google.iam.credentials.v1.IAMCredentials`

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.credentials.v1.IAMCredentials gehören.

`GenerateAccessToken`

Methode: GenerateAccessToken
Audit-Logtyp: Datenzugriff
Berechtigungen:
- iam.serviceAccounts.getAccessToken - ADMIN_READ
Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
Filter für diese Methode: protoPayload.methodName="GenerateAccessToken"

`GenerateIdToken`

Methode: GenerateIdToken
Audit-Logtyp: Datenzugriff
Berechtigungen:
- iam.serviceAccounts.getOpenIdToken - ADMIN_READ
Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
Filter für diese Methode: protoPayload.methodName="GenerateIdToken"

`SignBlob`

Methode: SignBlob
Audit-Logtyp: Datenzugriff
Berechtigungen:
- iam.serviceAccounts.signBlob - ADMIN_READ
Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
Filter für diese Methode: protoPayload.methodName="SignBlob"

`SignJwt`

Methode: SignJwt
Audit-Logtyp: Datenzugriff
Berechtigungen:
- iam.serviceAccounts.implicitDelegation - ADMIN_READ
- iam.serviceAccounts.signJwt - ADMIN_READ
Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
Filter für diese Methode: protoPayload.methodName="SignJwt"