Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance by S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Questa pagina è stata tradotta dall'API Cloud Translation.

Log di controllo delle credenziali dell'account di servizio

Questo documento descrive l'audit logging per le credenziali dell'account di servizio.I servizi Cloud de Confiance by S3NS generano audit log che registrano le attività amministrative e di accesso all'interno delle tue risorse Cloud de Confiance by S3NS . Per ulteriori informazioni su Cloud Audit Logs, consulta quanto segue:

Nome servizio

Gli audit log delle credenziali dell'account di servizio utilizzano il nome servizio iamcredentials.googleapis.com. Filtra per questo servizio:

    protoPayload.serviceName="iamcredentials.googleapis.com"

Metodi per tipo di autorizzazione

Ogni autorizzazione IAM ha una proprietà type, il cui valore è un enum che può essere uno dei quattro valori: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Quando chiami un metodo, Service Account Credentials genera un audit log la cui categoria dipende dalla proprietà type dell'autorizzazione richiesta per eseguire il metodo. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type corrispondente a DATA_READ, DATA_WRITE o ADMIN_READ generano audit log degli Accessi ai dati. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type ADMIN_WRITE generano audit log delle Attività di amministrazione.

I metodi API nel seguente elenco contrassegnati con (LRO) sono operazioni a lunga esecuzione (LRO). Questi metodi in genere generano due voci del log di controllo: una all'inizio dell'operazione e un'altra al termine. Per saperne di più, consulta Audit log per le operazioni a lunga esecuzione.

Tipo di autorizzazione	Metodi
`ADMIN_READ`	`GenerateAccessToken` (LRO) `GenerateIdToken` (LRO) `SignBlob` (LRO) `SignJwt` (LRO)

Audit log dell'interfaccia API

Per informazioni su come e quali autorizzazioni vengono valutate per ogni metodo, consulta la documentazione di Identity and Access Management per le credenziali del service account.

`google.iam.credentials.v1.IAMCredentials`

I seguenti audit log sono associati ai metodi appartenenti a google.iam.credentials.v1.IAMCredentials.

`GenerateAccessToken`

Metodo: GenerateAccessToken
Tipo di audit log: accesso ai dati
Autorizzazioni:
- iam.serviceAccounts.getAccessToken - ADMIN_READ
Il metodo è un'operazione a lunga esecuzione o in streaming: no.
Filtra per questo metodo: protoPayload.methodName="GenerateAccessToken"

`GenerateIdToken`

Metodo: GenerateIdToken
Tipo di audit log: accesso ai dati
Autorizzazioni:
- iam.serviceAccounts.getOpenIdToken - ADMIN_READ
Il metodo è un'operazione a lunga esecuzione o in streaming: no.
Filtra per questo metodo: protoPayload.methodName="GenerateIdToken"

`SignBlob`

Metodo: SignBlob
Tipo di audit log: accesso ai dati
Autorizzazioni:
- iam.serviceAccounts.signBlob - ADMIN_READ
Il metodo è un'operazione a lunga esecuzione o in streaming: no.
Filtra per questo metodo: protoPayload.methodName="SignBlob"

`SignJwt`

Metodo: SignJwt
Tipo di audit log: accesso ai dati
Autorizzazioni:
- iam.serviceAccounts.implicitDelegation - ADMIN_READ
- iam.serviceAccounts.signJwt - ADMIN_READ
Il metodo è un'operazione a lunga esecuzione o in streaming: no.
Filtra per questo metodo: protoPayload.methodName="SignJwt"