Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Esta página foi traduzida pela API Cloud Translation.

Registro de auditoria das credenciais da conta de serviço

Neste documento, descrevemos a geração de registros de auditoria das credenciais da conta de serviço.Os serviços do Cloud de Confiance by S3NS geram registros de auditoria das atividades administrativas e de acesso nos recursos do Cloud de Confiance by S3NS . Para mais informações sobre os Registros de auditoria do Cloud, consulte:

Nome do serviço

Os registros de auditoria das credenciais da conta de serviço usam o nome de serviço iamcredentials.googleapis.com. Filtrar por este serviço:

    protoPayload.serviceName="iamcredentials.googleapis.com"

Métodos por tipo de permissão

Cada permissão do IAM tem uma propriedade type, que tem o valor de um tipo enumerado que pode ser um dos quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando você chama um método, as credenciais da conta de serviço geram um registro de auditoria com categoria dependente da propriedade type da permissão necessária para executar o método. Métodos que exigem uma permissão do IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registros de auditoria de acesso aos dados. Métodos que exigem uma permissão do IAM com o valor da propriedade type de ADMIN_WRITE geram registros de auditoria de Atividade do administrador.

Os métodos de API na lista a seguir marcados com (LRO) são operações de longa duração (LROs). Esses métodos geralmente geram duas entradas de registro de auditoria: uma quando a operação começa e outra quando ela termina. Para mais informações, consulte Registros de auditoria para operações de longa duração.

Tipo de permissão	Métodos
`ADMIN_READ`	`GenerateAccessToken` (LRO) `GenerateIdToken` (LRO) `SignBlob` (LRO) `SignJwt` (LRO)

Registros de auditoria da interface da API

Para informações sobre como e quais permissões são avaliadas para cada método, consulte a documentação do Identity and Access Management para as credenciais da conta de serviço.

`google.iam.credentials.v1.IAMCredentials`

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.credentials.v1.IAMCredentials.

`GenerateAccessToken`

Método: GenerateAccessToken
Tipo de registro de auditoria: acesso a dados
Permissões:
- iam.serviceAccounts.getAccessToken - ADMIN_READ
O método é uma operação de streaming ou de longa duração: No
Filtrar para este método: protoPayload.methodName="GenerateAccessToken"

`GenerateIdToken`

Método: GenerateIdToken
Tipo de registro de auditoria: acesso a dados
Permissões:
- iam.serviceAccounts.getOpenIdToken - ADMIN_READ
O método é uma operação de streaming ou de longa duração: No
Filtrar para este método: protoPayload.methodName="GenerateIdToken"

`SignBlob`

Método: SignBlob
Tipo de registro de auditoria: acesso a dados
Permissões:
- iam.serviceAccounts.signBlob - ADMIN_READ
O método é uma operação de streaming ou de longa duração: No
Filtrar para este método: protoPayload.methodName="SignBlob"

`SignJwt`

Método: SignJwt
Tipo de registro de auditoria: acesso a dados
Permissões:
- iam.serviceAccounts.implicitDelegation - ADMIN_READ
- iam.serviceAccounts.signJwt - ADMIN_READ
O método é uma operação de streaming ou de longa duração: No
Filtrar para este método: protoPayload.methodName="SignJwt"