Memulihkan versi sebelumnya dari kebijakan izin IAM

Halaman ini menjelaskan cara memulihkan versi sebelumnya dari kebijakan izin IAM setelah melakukan perubahan yang tidak disengaja atau penghapusan yang tidak disengaja.

Untuk memulihkan kebijakan IAM sebelumnya, temukan setIamPolicy yang berhasil terakhir sebelum perubahan atau penghapusan dan gunakan untuk memulihkan kebijakan.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk memulihkan kebijakan izin sebelumnya, minta administrator untuk memberi Anda peran IAM berikut pada project, folder, atau organisasi:

• Memulihkan kebijakan izin dengan setIamPolicy:
  • Logging Viewer (roles/logging.viewer)
  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Pemilik (roles/owner)
• Memulihkan kebijakan izin dengan Cloud Asset Inventory: Cloud Asset Owner (roles/cloudasset.owner)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Memulihkan kebijakan izinkan dengan instance setIamPolicy yang terakhir berhasil

Untuk memulihkan kebijakan izin ke versi sebelumnya, Anda dapat meninjau log audit untuk instance setIamPolicy yang terakhir berhasil sebelum perubahan atau penghapusan dan menggunakan informasi dari instance tersebut untuk memulihkan kebijakan. Proses ini mencakup langkah-langkah berikut:

1. Identifikasi instance setIamPolicy terakhir yang berhasil untuk kebijakan izin dan ambil insertId.
2. Gunakan insertId dari permintaan setIamPolicy untuk mengekspor kebijakan izin dalam format YAML atau JSON.
3. Ubah file output agar sesuai dengan kebijakan izin kerja sebelumnya dan ganti kebijakan izin saat ini.

Identifikasi instance setIamPolicy terakhir yang berhasil dan ambil insertId

Untuk mengidentifikasi instance setIamPolicy yang terakhir berhasil dan mengambil isertId, gunakan konsol Cloud de Confiance atau gcloud CLI untuk meninjau log audit Anda.

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Gunakan insertId untuk mengekspor kebijakan izin

Gunakan insertId yang Anda ambil dari instance setIamPolicy yang terakhir berhasil untuk menjalankan perintah berikut di gcloud CLI guna mengekspor kebijakan izin dalam format JSON atau YAML. Anda dapat mengekspor kebijakan izin untuk organisasi dan project.

gcloud logging read organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com
insertId="INSERT_ID"'
--organization=ORGANIZATION_ID
--format="FORMAT(protoPayload.request.policy)"
--freshness=TIME_PERIOD > OUTPUT_FILE

gcloud logging read organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com
insertId="INSERT_ID"'
--organization=ORGANIZATION_ID
--format="FORMAT(protoPayload.request.policy)"
--freshness=TIME_PERIOD > OUTPUT_FILE

gcloud logging read organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com
insertId="INSERT_ID"'
--organization=ORGANIZATION_ID
--format="FORMAT(protoPayload.request.policy)"
--freshness=TIME_PERIOD > OUTPUT_FILE

gcloud logging read \
'protoPayload.methodName="SetIamPolicy" AND insertId="INSERT_ID"' \
--freshness=TIME_PERIOD \
--format="FORMAT(protoPayload.request.policy)" > OUTPUT_FILE

gcloud logging read `
'protoPayload.methodName="SetIamPolicy" AND insertId="INSERT_ID"' `
--freshness=TIME_PERIOD `
--format="FORMAT(protoPayload.request.policy)" > OUTPUT_FILE

gcloud logging read ^
'protoPayload.methodName="SetIamPolicy" AND insertId="INSERT_ID"' ^
--freshness=TIME_PERIOD ^
--format="FORMAT(protoPayload.request.policy)" > OUTPUT_FILE

Mengubah file output dan mengganti kebijakan izin saat ini

Ubah file output dengan cara berikut dan ganti kebijakan izin saat ini.

1. Secara terprogram atau menggunakan editor teks, ubah file output dengan menghapus baris berikut:

    ---
    protoPayload:
       request:
         policy:
   

   File yang dihasilkan dimulai dengan auditConfigs:.

2. Dapatkan kebijakan izin saat ini.

   gcloud

   Perintah gcloud get-iam-policy mendapatkan kebijakan izin project, folder, atau organisasi.

   Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

   • RESOURCE_TYPE: Jenis resource yang ingin Anda dapatkan kebijakan izinnya. Nilai yang valid adalah projects, resource-manager folders, atau organizations.

   • RESOURCE_ID: Project, folder, atau ID organisasi Cloud de Confiance Anda. Project ID berupa alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

   • FORMAT: Format yang diinginkan untuk kebijakan izinkan. Gunakan json atau yaml.

   • PATH: Jalur ke file output baru untuk kebijakan izinkan.

   Jalankan perintah berikut:

   Linux, macOS, atau Cloud Shell

   gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH

   Windows (PowerShell)

   gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH

   Windows (cmd.exe)

   gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH

   Misalnya, perintah berikut mendapatkan kebijakan izinkan untuk project my-project dan menyimpannya ke direktori beranda Anda dalam format JSON:

   gcloud projects get-iam-policy my-project --format json > ~/policy.json

   C#

   Untuk mengautentikasi ke Resource Manager, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Sebelum memulai.

   Untuk mempelajari cara menginstal dan menggunakan library klien untuk Resource Manager, lihat library klien Resource Manager.

   Contoh berikut menunjukkan cara mendapatkan kebijakan izinkan untuk project. Untuk mempelajari cara mendapatkan kebijakan izin folder atau organisasi, tinjau dokumentasi library klien Resource Manageruntuk bahasa pemrograman Anda.

   
   using Google.Apis.Auth.OAuth2;
   using Google.Apis.CloudResourceManager.v1;
   using Google.Apis.CloudResourceManager.v1.Data;
   
   public partial class AccessManager
   {
       public static Policy GetPolicy(string projectId)
       {
           var credential = GoogleCredential.GetApplicationDefault()
               .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
           var service = new CloudResourceManagerService(
               new CloudResourceManagerService.Initializer
               {
                   HttpClientInitializer = credential
               });
   
           var policy = service.Projects.GetIamPolicy(new GetIamPolicyRequest(),
               projectId).Execute();
           return policy;
       }
   }
   

   Java

   Untuk mengautentikasi ke Resource Manager, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Sebelum memulai.

   Untuk mempelajari cara menginstal dan menggunakan library klien untuk Resource Manager, lihat library klien Resource Manager.

   Contoh berikut menunjukkan cara mendapatkan kebijakan izinkan untuk project. Untuk mempelajari cara mendapatkan kebijakan izin folder atau organisasi, tinjau dokumentasi library klien Resource Manageruntuk bahasa pemrograman Anda.

   import com.google.cloud.resourcemanager.v3.ProjectsClient;
   import com.google.iam.admin.v1.ProjectName;
   import com.google.iam.v1.GetIamPolicyRequest;
   import com.google.iam.v1.Policy;
   import java.io.IOException;
   
   public class GetProjectPolicy {
     public static void main(String[] args) throws IOException {
       // TODO(developer): Replace the variables before running the sample.
       // TODO: Replace with your project ID.
       String projectId = "your-project-id";
   
       getProjectPolicy(projectId);
     }
   
     // Gets a project's policy.
     public static Policy getProjectPolicy(String projectId) throws IOException {
       // Initialize client that will be used to send requests.
       // This client only needs to be created once, and can be reused for multiple requests.
       try (ProjectsClient projectsClient = ProjectsClient.create()) {
         GetIamPolicyRequest request = GetIamPolicyRequest.newBuilder()
                 .setResource(ProjectName.of(projectId).toString())
                 .build();
         return projectsClient.getIamPolicy(request);
       }
     }
   }

   Python

   Untuk mengautentikasi ke Resource Manager, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Sebelum memulai.

   Untuk mempelajari cara menginstal dan menggunakan library klien untuk Resource Manager, lihat library klien Resource Manager.

   Contoh berikut menunjukkan cara mendapatkan kebijakan izinkan untuk project. Untuk mempelajari cara mendapatkan kebijakan izin folder atau organisasi, tinjau dokumentasi library klien Resource Manageruntuk bahasa pemrograman Anda.

   from google.cloud import resourcemanager_v3
   from google.iam.v1 import iam_policy_pb2, policy_pb2
   
   
   def get_project_policy(project_id: str) -> policy_pb2.Policy:
       """Get policy for project.
   
       project_id: ID or number of the Google Cloud project you want to use.
       """
   
       client = resourcemanager_v3.ProjectsClient()
       request = iam_policy_pb2.GetIamPolicyRequest()
       request.resource = f"projects/{project_id}"
   
       policy = client.get_iam_policy(request)
       print(f"Policy retrieved: {policy}")
   
       return policy

   REST

   Metode Resource Manager API get-iam-policy mendapatkan kebijakan izin project, folder, atau organisasi.

   Sebelum menggunakan salah satu dari data permintaan, lakukan penggantian berikut:

   • API_VERSION: Versi API yang akan digunakan. Untuk project dan organisasi, gunakan v1. Untuk folder, gunakan v2.
   • RESOURCE_TYPE: Jenis resource yang ingin Anda kelola kebijakannya. Gunakan nilai projects, folders, atau organizations.
   • RESOURCE_ID: ID Cloud de Confiance project, organisasi, atau folder Anda. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
   • POLICY_VERSION: Versi kebijakan yang akan ditampilkan. Permintaan harus menentukan versi kebijakan terbaru, yaitu kebijakan versi 3. Lihat Menentukan versi kebijakan saat mendapatkan kebijakan untuk detailnya.

   Metode HTTP dan URL:

   POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy

   Meminta isi JSON:

   {
     "options": {
       "requestedPolicyVersion": POLICY_VERSION
     }
   }
   

   Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

   curl (Linux, macOS, atau Cloud Shell)

   Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy"

   PowerShell (Windows)

   Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy" | Select-Object -Expand Content

   APIs Explorer (browser)

   Salin isi permintaan dan buka halaman referensi metode. Panel APIs Explorer terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Tempel isi permintaan di alat ini, lengkapi kolom wajib lainnya, lalu klik Jalankan.

   Responsnya berisi kebijakan izin resource. Contoh:

   {
     "version": 1,
     "etag": "BwWKmjvelug=",
     "bindings": [
       {
         "role": "roles/owner",
         "members": [
           "principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com"
         ]
       }
     ]
   }
   

   Simpan respons dalam file dengan jenis yang sesuai (json atau yaml).

3. Salin nilai etag dari kebijakan izin saat ini.

4. Ganti nilai etag dalam file output dengan nilai etag yang Anda salin dari kebijakan izin saat ini. etag dalam file output harus cocok dengan etag saat ini untuk memulai permintaan setIamPolicy baru. Pastikan bahwa jarak untuk etag tidak berubah dalam file output.

5. Tinjau file untuk memastikan file tersebut cocok dengan kebijakan izin kerja sebelumnya. Anda dapat mempertimbangkan untuk membuat project baru dan menerapkan kebijakan untuk memastikan kebijakan tersebut berfungsi sebagaimana mestinya.

6. Tetapkan kebijakan izin untuk menggantikan kebijakan izin saat ini dengan kebijakan izin di file output yang Anda buat.

   gcloud

   Perintah gcloud set-iam-policy menetapkan kebijakan dalam permintaan sebagai kebijakan izin baru untuk project, folder, atau organisasi.

   Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

   • RESOURCE_TYPE: Jenis resource yang ingin Anda tetapkan kebijakan izinya. Nilai yang valid adalah projects, resource-manager folders, atau organizations.

   • RESOURCE_ID: Project, folder, atau ID organisasi Cloud de Confiance Anda. Project ID berupa alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

   • PATH: Jalur ke file yang berisi kebijakan izinkan baru.

   Jalankan perintah berikut:

   Linux, macOS, atau Cloud Shell

   gcloud RESOURCE_TYPE set-iam-policy RESOURCE_ID PATH

   Windows (PowerShell)

   gcloud RESOURCE_TYPE set-iam-policy RESOURCE_ID PATH

   Windows (cmd.exe)

   gcloud RESOURCE_TYPE set-iam-policy RESOURCE_ID PATH

   Respons berisi kebijakan izin yang diperbarui.

   Misalnya, perintah berikut menetapkan kebijakan izinkan yang disimpan di policy.json sebagai kebijakan izinkan untuk project my-project:

   gcloud projects set-iam-policy my-project ~/policy.json

   C#

   
   using Google.Apis.Auth.OAuth2;
   using Google.Apis.CloudResourceManager.v1;
   using Google.Apis.CloudResourceManager.v1.Data;
   
   public partial class AccessManager
   {
       public static Policy SetPolicy(string projectId, Policy policy)
       {
           var credential = GoogleCredential.GetApplicationDefault()
               .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
           var service = new CloudResourceManagerService(
               new CloudResourceManagerService.Initializer
               {
                   HttpClientInitializer = credential
               });
   
           return service.Projects.SetIamPolicy(new SetIamPolicyRequest
           {
               Policy = policy
           }, projectId).Execute();
       }
   }
   

   Java

   Untuk mengautentikasi ke Resource Manager, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Sebelum memulai.

   Untuk mempelajari cara menginstal dan menggunakan library klien untuk Resource Manager, lihat library klien Resource Manager.

   Contoh berikut menunjukkan cara menetapkan kebijakan izinkan untuk project. Untuk mempelajari cara menetapkan kebijakan izinkan untuk folder atau organisasi, tinjau dokumentasi library klien Resource Manageruntuk bahasa pemrograman Anda.

   import com.google.cloud.resourcemanager.v3.ProjectsClient;
   import com.google.iam.admin.v1.ProjectName;
   import com.google.iam.v1.Policy;
   import com.google.iam.v1.SetIamPolicyRequest;
   import com.google.protobuf.FieldMask;
   import java.io.IOException;
   import java.util.Arrays;
   import java.util.List;
   
   public class SetProjectPolicy {
     public static void main(String[] args) throws IOException {
       // TODO(developer): Replace the variables before running the sample.
       // TODO: Replace with your project ID.
       String projectId = "your-project-id";
       // TODO: Replace with your policy, GetPolicy.getPolicy(projectId, serviceAccount).
       Policy policy = Policy.newBuilder().build();
   
       setProjectPolicy(policy, projectId);
     }
   
     // Sets a project's policy.
     public static Policy setProjectPolicy(Policy policy, String projectId)
             throws IOException {
   
       // Initialize client that will be used to send requests.
       // This client only needs to be created once, and can be reused for multiple requests.
       try (ProjectsClient projectsClient = ProjectsClient.create()) {
         List<String> paths = Arrays.asList("bindings", "etag");
         SetIamPolicyRequest request = SetIamPolicyRequest.newBuilder()
                 .setResource(ProjectName.of(projectId).toString())
                 .setPolicy(policy)
                 // A FieldMask specifying which fields of the policy to modify. Only
                 // the fields in the mask will be modified. If no mask is provided, the
                 // following default mask is used:
                 // `paths: "bindings, etag"`
                 .setUpdateMask(FieldMask.newBuilder().addAllPaths(paths).build())
                 .build();
   
         return projectsClient.setIamPolicy(request);
       }
     }
   }

   Python

   Untuk mengautentikasi ke Resource Manager, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Sebelum memulai.

   Untuk mempelajari cara menginstal dan menggunakan library klien untuk Resource Manager, lihat library klien Resource Manager.

   Contoh berikut menunjukkan cara menetapkan kebijakan izinkan untuk project. Untuk mempelajari cara menetapkan kebijakan izinkan untuk folder atau organisasi, tinjau dokumentasi library klien Resource Manageruntuk bahasa pemrograman Anda.

   from google.cloud import resourcemanager_v3
   from google.iam.v1 import iam_policy_pb2, policy_pb2
   
   
   def set_project_policy(
       project_id: str, policy: policy_pb2.Policy, merge: bool = True
   ) -> policy_pb2.Policy:
       """
       Set policy for project. Pay attention that previous state will be completely rewritten.
       If you want to update only part of the policy follow the approach read->modify->write.
       For more details about policies check out https://cloud.google.com/iam/docs/policies
   
       project_id: ID or number of the Google Cloud project you want to use.
       policy: Policy which has to be set.
       merge: The strategy to be used forming the request. CopyFrom is clearing both mutable and immutable fields,
       when MergeFrom is replacing only immutable fields and extending mutable.
       https://googleapis.dev/python/protobuf/latest/google/protobuf/message.html#google.protobuf.message.Message.CopyFrom
       """
       client = resourcemanager_v3.ProjectsClient()
   
       request = iam_policy_pb2.GetIamPolicyRequest()
       request.resource = f"projects/{project_id}"
       current_policy = client.get_iam_policy(request)
   
       # Etag should as fresh as possible to lower chance of collisions
       policy.ClearField("etag")
       if merge:
           current_policy.MergeFrom(policy)
       else:
           current_policy.CopyFrom(policy)
   
       request = iam_policy_pb2.SetIamPolicyRequest()
       request.resource = f"projects/{project_id}"
   
       # request.etag field also will be merged which means you are secured from collision,
       # but it means that request may fail and you need to leverage exponential retries approach
       # to be sure policy has been updated.
       request.policy.CopyFrom(current_policy)
   
       policy = client.set_iam_policy(request)
       return policy
   
   

   REST

   Metode Resource Manager API set-iam-policy menetapkan kebijakan dalam permintaan sebagai kebijakan izin baru untuk project, folder, atau organisasi.

   Sebelum menggunakan salah satu dari data permintaan, lakukan penggantian berikut:

   • API_VERSION: Versi API yang akan digunakan. Untuk project dan organisasi, gunakan v1. Untuk folder, gunakan v2.
   • RESOURCE_TYPE: Jenis resource yang ingin Anda kelola kebijakannya. Gunakan nilai projects, folders, atau organizations.
   • RESOURCE_ID: ID Cloud de Confiance project, organisasi, atau folder Anda. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

   • POLICY: Representasi JSON dari kebijakan yang ingin Anda tetapkan. Untuk informasi selengkapnya tentang format kebijakan, lihat referensi Kebijakan.

   Metode HTTP dan URL:

   POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy

   Meminta isi JSON:

   {
     "policy": POLICY
   }
   

   Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

   curl (Linux, macOS, atau Cloud Shell)

   Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy"

   PowerShell (Windows)

   Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy" | Select-Object -Expand Content

   APIs Explorer (browser)

   Salin isi permintaan dan buka halaman referensi metode. Panel APIs Explorer terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Tempelkan isi permintaan di alat ini, lengkapi kolom lainnya yang wajib diisi, lalu klik Jalankan.

   Respons berisi kebijakan izin yang telah diperbarui.