このページの一部またはすべての情報は、S3NS の Trusted Cloud に適用されない場合があります。
サービス アカウント認証情報の監査ロギング
このドキュメントでは、サービス アカウント認証情報の監査ロギングについて説明します。 Trusted Cloud by S3NS サービスは、 Trusted Cloud by S3NS リソース内の管理アクティビティとアクセス アクティビティを記録する監査ログを生成します。
Cloud Audit Logs の詳細については、以下をご覧ください。
サービス名
サービス アカウント認証情報の監査ログでは、サービス名 iamcredentials.googleapis.com が使用されます。このサービスでフィルタ:
protoPayload.serviceName="iamcredentials.googleapis.com"
メソッド(権限タイプ別)
各 IAM 権限には type プロパティがあります。このプロパティの値は列挙型で、ADMIN_READ、ADMIN_WRITE、DATA_READ、DATA_WRITE のいずれかになります。メソッドを呼び出すと監査ログが生成されます。監査ログのカテゴリは、そのメソッドの実行に必要な権限の type プロパティによって決まります。type プロパティ値が DATA_READ、DATA_WRITE、または ADMIN_READ の IAM 権限を必要とするメソッドは、データアクセス監査ログを生成します。type プロパティ値が ADMIN_WRITE の IAM 権限を必要とするメソッドは、管理アクティビティ監査ログを生成します。
| 権限タイプ |
メソッド |
ADMIN_READ |
GenerateAccessToken
GenerateIdToken
SignBlob
SignJwt |
API インターフェースの監査ログ
各メソッドで評価される権限と評価方法については、Identity and Access Management のドキュメントでサービス アカウントの認証情報をご覧ください。
google.iam.credentials.v1.IAMCredentials
次の監査ログは、google.iam.credentials.v1.IAMCredentials に属するメソッドに関連付けられています。
GenerateAccessToken
- メソッド:
GenerateAccessToken
- 監査ログのタイプ: データアクセス
- 権限:
iam.serviceAccounts.getAccessToken - ADMIN_READ
- メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="GenerateAccessToken"
GenerateIdToken
- メソッド:
GenerateIdToken
- 監査ログのタイプ: データアクセス
- 権限:
iam.serviceAccounts.getOpenIdToken - ADMIN_READ
- メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="GenerateIdToken"
SignBlob
- メソッド:
SignBlob
- 監査ログのタイプ: データアクセス
- 権限:
iam.serviceAccounts.signBlob - ADMIN_READ
- メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="SignBlob"
SignJwt
- メソッド:
SignJwt
- 監査ログのタイプ: データアクセス
- 権限:
iam.serviceAccounts.implicitDelegation - ADMIN_READiam.serviceAccounts.signJwt - ADMIN_READ
- メソッドが長時間実行オペレーションまたはストリーミング オペレーションのどちらであるか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="SignJwt"
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2025-08-21 UTC。
[[["わかりやすい","easyToUnderstand","thumb-up"],["問題の解決に役立った","solvedMyProblem","thumb-up"],["その他","otherUp","thumb-up"]],[["必要な情報がない","missingTheInformationINeed","thumb-down"],["複雑すぎる / 手順が多すぎる","tooComplicatedTooManySteps","thumb-down"],["最新ではない","outOfDate","thumb-down"],["翻訳に関する問題","translationIssue","thumb-down"],["サンプル / コードに問題がある","samplesCodeIssue","thumb-down"],["その他","otherDown","thumb-down"]],["最終更新日 2025-08-21 UTC。"],[[["\u003cp\u003eService Account Credentials audit logs are captured under the service name \u003ccode\u003eiamcredentials.googleapis.com\u003c/code\u003e, which can be used to filter logs.\u003c/p\u003e\n"],["\u003cp\u003eAudit log categories, either Data Access or Admin Activity, are determined by the \u003ccode\u003etype\u003c/code\u003e property of the required IAM permission for a given method, specifically \u003ccode\u003eADMIN_WRITE\u003c/code\u003e, \u003ccode\u003eADMIN_READ\u003c/code\u003e, \u003ccode\u003eDATA_READ\u003c/code\u003e, or \u003ccode\u003eDATA_WRITE\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eMethods requiring IAM permissions with \u003ccode\u003eDATA_READ\u003c/code\u003e, \u003ccode\u003eDATA_WRITE\u003c/code\u003e, or \u003ccode\u003eADMIN_READ\u003c/code\u003e types result in Data Access audit logs, while those with \u003ccode\u003eADMIN_WRITE\u003c/code\u003e permissions generate Admin Activity audit logs.\u003c/p\u003e\n"],["\u003cp\u003eThe methods \u003ccode\u003eGenerateAccessToken\u003c/code\u003e, \u003ccode\u003eGenerateIdToken\u003c/code\u003e, \u003ccode\u003eSignBlob\u003c/code\u003e, and \u003ccode\u003eSignJwt\u003c/code\u003e are logged as Data Access audit logs, each requiring specific permissions, and they are all non-long-running or non-streaming.\u003c/p\u003e\n"],["\u003cp\u003eInformation regarding how and which permissions are evaluated for each method is documented in the Identity and Access Management documentation for Service Account Credentials, under \u003ccode\u003egoogle.iam.credentials.v1.IAMCredentials\u003c/code\u003e.\u003c/p\u003e\n"]]],[],null,[]]
