Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS. Pour en savoir plus, consultez Différences par rapport à Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Journaux d'audit des identifiants de compte de service

Ce document liste les méthodes auditées pour les identifiants de compte de service. Cloud de Confiance by S3NS Les services génèrent des journaux d'audit qui enregistrent les activités d'administration et d'accès dans vos Cloud de Confiance by S3NS ressources. Pour en savoir plus sur Cloud Audit Logs, consultez les ressources suivantes :

Nom du service

Pour afficher les journaux d'audit des identifiants de compte de service, procédez comme suit :

Dans la Cloud de Confiance console, accédez à la page Explorateur de journaux.

Accéder à l'explorateur de journaux
Copiez la requête suivante et collez-la dans le champ Requête de l' explorateur de journaux, puis cliquez sur Exécuter la requête.
```
    protoPayload.serviceName="iamcredentials.googleapis.com"
  
```

Méthodes par type d'autorisation

Chaque autorisation IAM possède une propriété type, dont la valeur est une énumération pouvant être l'une des quatre valeurs suivantes: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Lorsque vous appelez une méthode, les identifiants de compte de service génèrent un journal d'audit dont la catégorie dépend de la propriété type de l'autorisation requise pour exécuter la méthode. Les méthodes nécessitant une autorisation IAM avec la valeur de la propriété type de DATA_READ, DATA_WRITE ou ADMIN_READ génèrent des journaux d'audit pour l'accès aux données. Les méthodes nécessitant une autorisation IAM avec la valeur de propriété type de ADMIN_WRITE génèrent des journaux d'audit pour les activités d'administration.

Les méthodes d'API de la liste suivante marquées (LRO) sont des opérations de longue durée (LRO, Long-running operations). Ces méthodes génèrent généralement deux entrées de journal d'audit : une au début de l'opération et une autre à la fin. Pour en savoir plus, consultez Journaux d'audit pour les opérations de longue durée.

Type d'autorisation	Méthodes
`ADMIN_READ`	`SignJwt` (LRO)
`DATA_READ`	`GenerateAccessToken` (LRO) `GenerateIdToken` (LRO) `SignBlob` (LRO) `SignJwt` (LRO)

Journaux d'audit d'interface API

Pour connaître les autorisations évaluées et la procédure d'évaluation utilisée pour chaque méthode, consultez la documentation Identity and Access Management pour les identifiants de compte de service.

`google.iam.credentials.v1.IAMCredentials`

Les journaux d'audit suivants sont associés aux méthodes appartenant à google.iam.credentials.v1.IAMCredentials.

`GenerateAccessToken`

Méthode : GenerateAccessToken
Type de journal d'audit : Accès aux données
Autorisations :
- iam.serviceAccounts.getAccessToken - DATA_READ
La méthode est une opération de longue durée ou en flux continu: Non.
Filtre pour cette méthode : protoPayload.methodName="GenerateAccessToken"

`GenerateIdToken`

Méthode : GenerateIdToken
Type de journal d'audit : Accès aux données
Autorisations :
- iam.serviceAccounts.getAccessToken - DATA_READ
- iam.serviceAccounts.getOpenIdToken - ADMIN_READ
La méthode est une opération de longue durée ou en flux continu: Non.
Filtre pour cette méthode : protoPayload.methodName="GenerateIdToken"

`SignBlob`

Méthode : SignBlob
Type de journal d'audit : Accès aux données
Autorisations :
- iam.serviceAccounts.getAccessToken - DATA_READ
- iam.serviceAccounts.signBlob - ADMIN_READ
La méthode est une opération de longue durée ou en flux continu: Non.
Filtre pour cette méthode : protoPayload.methodName="SignBlob"

`SignJwt`

Méthode : SignJwt
Type de journal d'audit : Accès aux données
Autorisations :
- iam.serviceAccounts.getAccessToken - DATA_READ
- iam.serviceAccounts.signJwt - ADMIN_READ
La méthode est une opération de longue durée ou en flux continu: Non.
Filtre pour cette méthode : protoPayload.methodName="SignJwt"