Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Registo de auditoria de credenciais da conta de serviço

Este documento descreve o registo de auditoria para credenciais de contas de serviço. Cloud de Confiance by S3NS Os serviços geram registos de auditoria que registam atividades administrativas e de acesso nos seus Cloud de Confiance by S3NS recursos. Para mais informações sobre os registos de auditoria do Cloud, consulte o seguinte:

Nome do serviço

Os registos de auditoria das credenciais da conta de serviço usam o nome do serviço iamcredentials.googleapis.com. Filtrar por este serviço:

    protoPayload.serviceName="iamcredentials.googleapis.com"

Métodos por tipo de autorização

Cada autorização de IAM tem uma propriedade type, cujo valor é uma enumeração que pode ter um de quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando chama um método, as credenciais da conta de serviço geram um registo de auditoria cuja categoria depende da propriedade type da autorização necessária para executar o método. Os métodos que requerem uma autorização da IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registos de auditoria de acesso aos dados. Os métodos que requerem uma autorização do IAM com o valor da propriedade type de ADMIN_WRITE generate Atividade de administrador registam auditorias.

Os métodos da API na lista seguinte marcados com (LRO) são operações de longa duração (LROs). Normalmente, estes métodos geram duas entradas no registo de auditoria: uma quando a operação é iniciada e outra quando termina. Para mais informações, consulte o artigo Registos de auditoria para operações de longa duração.

Tipo de autorização	Métodos
`ADMIN_READ`	`GenerateAccessToken` (LRO) `GenerateIdToken` (LRO) `SignBlob` (LRO) `SignJwt` (LRO)

Registos de auditoria da interface da API

Para obter informações sobre como e que autorizações são avaliadas para cada método, consulte a documentação de gestão de identidade e de acesso para credenciais de contas de serviço.

`google.iam.credentials.v1.IAMCredentials`

Os seguintes registos de auditoria estão associados a métodos pertencentes a google.iam.credentials.v1.IAMCredentials.

`GenerateAccessToken`

Método: GenerateAccessToken
Tipo de registo de auditoria: Acesso a dados
Autorizações:
- iam.serviceAccounts.getAccessToken - ADMIN_READ
O método é uma operação de longa duração ou de streaming: Não.
Filtre por este método: protoPayload.methodName="GenerateAccessToken"

`GenerateIdToken`

Método: GenerateIdToken
Tipo de registo de auditoria: Acesso a dados
Autorizações:
- iam.serviceAccounts.getOpenIdToken - ADMIN_READ
O método é uma operação de longa duração ou de streaming: Não.
Filtre por este método: protoPayload.methodName="GenerateIdToken"

`SignBlob`

Método: SignBlob
Tipo de registo de auditoria: Acesso a dados
Autorizações:
- iam.serviceAccounts.signBlob - ADMIN_READ
O método é uma operação de longa duração ou de streaming: Não.
Filtre por este método: protoPayload.methodName="SignBlob"

`SignJwt`

Método: SignJwt
Tipo de registo de auditoria: Acesso a dados
Autorizações:
- iam.serviceAccounts.implicitDelegation - ADMIN_READ
- iam.serviceAccounts.signJwt - ADMIN_READ
O método é uma operação de longa duração ou de streaming: Não.
Filtre por este método: protoPayload.methodName="SignJwt"