在Stackdriver日志中标识服务帐户的密钥ID

时间:2019-03-18 08:26:33

标签: google-cloud-platform service-accounts stackdriver google-cloud-stackdriver google-cloud-iam

我有一个GCP项目。我已经创建了带有两个JSON密钥(密钥ID)的服务帐户。为简便起见,我们将它们称为Key AKey B

创建密钥后,我可以在JSON文件中看到每个密钥都有唯一的private_key_id属性。两个密钥显然共享相同的client_email,例如foo@project-id-here.iam.gserviceaccount.com

在Stackdriver日志记录中,我可以看到正在使用的服务帐户client_email。但是,审核日志不会区分附加到实际服务帐户的密钥。换句话说,我在日志中看到的是(此示例显示了对BigQuery的访问):

  ..authenticationInfo: {
   principalEmail:  "foo@project-id-here.iam.gserviceaccount.com"    
  }
  authorizationInfo: [
   0: {
    granted:  true     
    permission:  "bigquery.jobs.create"     
    resource:  "projects/project-id-here"     
   }
   1: {
    granted:  true     
    permission:  "bigquery.jobs.create"     
    resource:  "projects/project-id-here"     
   }
  ]..

如何查看服务帐户的实际使用密钥,即Key AKey B

1 个答案:

答案 0 :(得分:0)

合理的请求,但当前(通常)是不可能的。

我建议您在Google的日志发布记录中提交FR: https://issuetracker.google.com/issues/new?component=187203&template=1162662

相关问题
最新问题