Registro de auditoria das credenciais da conta de serviço

Neste documento, listamos os métodos auditados para credenciais da conta de serviço.Os serviços do Cloud de Confiance by S3NS geram registros de auditoria das atividades administrativas e de acesso nos recursos do Cloud de Confiance by S3NS . Para mais informações sobre os Registros de Auditoria do Cloud, confira:

Observações

Não é possível ativar os registros de auditoria de acesso a dados para esse serviço de forma independente. Para ativar os registros de auditoria de acesso a dados para esse serviço, ative os registros de auditoria de acesso a dados para a API IAM (iam.googleapis.com) ou para todos os serviços.

Nome do serviço

Para conferir os registros de auditoria das credenciais da conta de serviço, faça o seguinte:

  1. No console do Cloud de Confiance , acesse a página Análise de registros:

    Acessar a Análise de registros

  2. Copie e cole a consulta a seguir no campo Consulta do Explorador de registros e clique em Executar consulta.

        protoPayload.serviceName="iamcredentials.googleapis.com"
      

Métodos por tipo de permissão

Cada permissão do IAM tem uma propriedade type, que tem o valor de um tipo enumerado que pode ser um dos quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando você chama um método, as credenciais da conta de serviço geram um registro de auditoria com categoria dependente da propriedade type da permissão necessária para executar o método. Métodos que exigem uma permissão do IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registros de auditoria de acesso aos dados. Métodos que exigem uma permissão do IAM com o valor da propriedade type de ADMIN_WRITE geram registros de auditoria de atividade do administrador.

Os métodos de API na lista a seguir marcados com (LRO) são operações de longa duração. Em geral, esses métodos geram duas entradas de registro de auditoria: uma quando a operação começa e outra quando ela termina. Para mais informações, consulte Registros de auditoria para operações de longa duração.
Tipo de permissão Métodos
ADMIN_READ GenerateAccessToken (LRO)
SignJwt (LRO)
DATA_READ GenerateIdToken (LRO)
SignBlob (LRO)
SignJwt (LRO)

Registros de auditoria da interface da API

Para informações sobre como e quais permissões são avaliadas para cada método, consulte a documentação do Identity and Access Management para as credenciais da conta de serviço.

google.iam.credentials.v1.IAMCredentials

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.credentials.v1.IAMCredentials.

GenerateAccessToken

  • Método: GenerateAccessToken
  • Tipo de registro de auditoria: acesso aos dados
  • Permissões:
    • iam.serviceAccounts.getAccessToken - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: nenhum
  • Filtrar para este método: protoPayload.methodName="GenerateAccessToken"

GenerateIdToken

  • Método: GenerateIdToken
  • Tipo de registro de auditoria: acesso aos dados
  • Permissões:
    • iam.serviceAccounts.getAccessToken - DATA_READ
    • iam.serviceAccounts.getOpenIdToken - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: nenhum
  • Filtrar para este método: protoPayload.methodName="GenerateIdToken"

SignBlob

  • Método: SignBlob
  • Tipo de registro de auditoria: acesso aos dados
  • Permissões:
    • iam.serviceAccounts.getAccessToken - DATA_READ
    • iam.serviceAccounts.signBlob - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: nenhum
  • Filtrar para este método: protoPayload.methodName="SignBlob"

SignJwt

  • Método: SignJwt
  • Tipo de registro de auditoria: acesso aos dados
  • Permissões:
    • iam.serviceAccounts.getAccessToken - DATA_READ
    • iam.serviceAccounts.signJwt - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: nenhum
  • Filtrar para este método: protoPayload.methodName="SignJwt"