Identity and Access Management(IAM)

STS トークンの鍵交換

ログスキーマ: Istio

監査情報を含むログエントリのフィールド
監査メタデータ 監査フィールド名
ユーザーまたはサービス ID identity 

\"user\":{\"identity\":\"system:serviceaccount:iam-test:service-account\"}

ターゲット

(API を呼び出すフィールドと値)

 resource 

\"resource\":\"service-accounts.zone1.google.gdch.test\"

操作

(実行されたオペレーションを含むフィールド)

 該当なし
イベントのタイムスタンプ time 

"time": "2022-11-23T18:25:54Z"
アクションのソース 該当なし
成果 該当なし
その他のフィールド 該当なし

サービス アカウントの作成やアクセス制御の管理など、Kubernetes リソースに対する CRUD オペレーションを監査ログに記録します。

ログスキーマ: KRM API

監査情報を含むログエントリのフィールド
監査メタデータ 監査フィールド名
ユーザーまたはサービス ID user/username 

"user": {
    "groups": [
      "system:authenticated"
    ],
    "username": "fop-platform-admin@example.com"
  }

ターゲット

(API を呼び出すフィールドと値)

 objectRef 

"objectRef": {
    "resource": "projectserviceaccounts",
    "apiGroup": "resourcemanager.gdc.goog",
    "name": "service-accountt",
    "apiVersion": "v1alpha1",
    "namespace": "iam-test"
}

操作

(実行されたオペレーションを含むフィールド)

 verb 

"verb": "create"
イベントのタイムスタンプ requestReceivedTimestamp 

"requestReceivedTimestamp": "2022-11-23T18:24:26.514173Z"
アクションのソース sourceIPs 

"sourceIPs": [
    "10.200.0.2"
  ]
成果 responseStatus 

"responseStatus": {
    "code": 201,
    "metadata": {}
  }
その他のフィールド annotations/authorization.k8s.io/reason 

"annotations": {
    "authorization.k8s.io/reason": "RBAC: allowed by RoleBinding \"platform-admin-project-iam-admin/iam-test\" of Role \"project-iam-admin\" to User \"fop-platform-admin@example.com\"",
    "authorization.k8s.io/decision": "allow"
  }

ユーザーがログアウトしたときの監査ログ

ログスキーマ: カスタム AIS 形式。

監査情報を含むログエントリのフィールド
監査メタデータ 監査フィールド名
ユーザーまたはサービス ID payload.user 

"payload": {
      "expirationTime": "2023-08-29T12:42:36.848454939+00:00",
      "groups": [],
      "id": "7a5bea7a-0821-45d8-b4a0-69f24d30ab3f",
      "issuer": "Google OIDC",
      "user": "test-user"
    }

ターゲット

(API を呼び出すフィールドと値)

 該当なし

操作

(実行されたオペレーションを含むフィールド)

 operation 

"operation": "revoke"
イベントのタイムスタンプ metadata.timestamp 

"timestamp": "2023-08-29T00:42:40.000544813+00:00"
アクションのソース 該当なし
成果 該当なし
その他のフィールド expirationTime 

"expirationTime": "2023-08-29T12:42:36.848454939+00:00"

ユーザーがログインしたときの監査ログ

ログスキーマ: カスタム AIS 形式。

監査情報を含むログエントリのフィールド
監査メタデータ 監査フィールド名
ユーザーまたはサービス ID payload.user 

"payload": {
      "expirationTime": "2023-08-29T05:22:13.350779831+00:00",
      "groups": [],
      "id": "dcb7c5d9-c171-4f5b-84b6-5c92bfffb0e0",
      "issuer": "Azure AD SAML",
      "user": "test-ais-e2e-saml@byoidcloudaccountgoogle.onmicrosoft.com"
    }

ターゲット

(API を呼び出すフィールドと値)

 該当なし

操作

(実行されたオペレーションを含むフィールド)

 operation 

"operation": "create"
イベントのタイムスタンプ metadata.timestamp 

"timestamp": "2023-08-28T17:22:13.351713088+00:00"
アクションのソース 該当なし
成果 該当なし
その他のフィールド expirationTime 

"expirationTime": "2023-08-29T05:22:13.350779831+00:00"

PA がユーザーのセッションを取り消したときの監査ログ

ログスキーマ: カスタム AIS 形式。

監査情報を含むログエントリのフィールド
監査メタデータ 監査フィールド名
ユーザーまたはサービス ID payload.admin / payload.user 

"payload": {
      "admin": "test-user-1@gdch.com",
      "numSessionsAffected": 1,
      "peerWorkloadIdentity": "system:serviceaccount:anthos-identity-service:default",
      "peerWorkloadIdentityIssuer": "https://kubernetes.default.svc.cluster.local",
      "user": "test-user-2@gdch.com"
    }

ターゲット

(API を呼び出すフィールドと値)

 resource 

"resource": "session"

操作

(実行されたオペレーションを含むフィールド)

 operation 

"operation": "revoke"
イベントのタイムスタンプ metadata.timestamp 

"timestamp": "2023-08-28T17:22:24.043644569+00:00"
アクションのソース 該当なし
成果 該当なし
その他のフィールド numSessionsAffected 

"numSessionsAffected": 1

IAM ログの例

{
  "pri": "46",
  "_gdch_flbProcessedTimestamp": 1669227957.340494,
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-vk6vx",
  "time": "2022-11-23T18:25:54Z",
  "message": "{\"time\":\"2022-11-23T18:25:54.257503516Z\",\"auditID\":\"d1c33645-bed0-47dc-8180-06b752673109\",\"user\":{\"identity\":\"system:serviceaccount:iam-test:service-accountt\"},\"resource\":\"service-accounts.zone1.google.gdch.test\",\"description\":\"{\\\"keyID\\\":\\\"f9540561-84d5-4113-983f-fd8868501596\\\",\\\"expirationTime\\\":\\\"2022-11-24T06:25:53Z\\\"}\"}",
  "ident": "/service-identity-server",
  "pid": "1",
  "msgid": "audit-log",
  "extradata": "-",
  "_gdch_cluster": "root-admin",
  "host": "serviceidentity-sa-server-55544bd9f5-nwg8m",
  "_gdch_service_name": "service-identity-audit-logs"
}