Verlauf der IAM-Zulassungsrichtlinien prüfen

Auf dieser Seite wird beschrieben, wie Sie den Änderungsverlauf Ihrer IAM-Zulassungsrichtlinien prüfen.

Sie können Änderungen an den „Zulassen“-Richtlinien Ihrer Ressource prüfen, indem Sie in Ihren Audit-Logs nach Einträgen mit der Methode SetIamPolicy suchen.

Änderungen an Zulassungsrichtlinien mit SetIamPolicy ansehen

Änderungen an „Zulassen“-Richtlinien finden Sie in Ihren Audit-Logs in Einträgen, die die Methode SetIamPolicy enthalten. Sie können Ihre Audit-Logs mit derTrusted Cloud Console oder der gcloud CLI überprüfen.

Console

  1. Rufen Sie in der Trusted Cloud Console die Seite Log-Explorer auf.

    Zum Log-Explorer

  2. Geben Sie im Abfrageeditor eine der folgenden Abfragen ein. Mit diesen Abfragen wird in Ihren Audit-Logs nach Einträgen gesucht, die im Feld methodName des protoPayload den Wert SetIamPolicy enthalten:

    • Mit der folgenden Abfrage rufen Sie die Logs aller Änderungen an den Zulassungsrichtlinien für eine Ressource ab:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy

    • Mit der folgenden Abfrage können Sie die Protokolle zu Änderungen an Zulassungsrichtlinien abrufen, die einen bestimmten Nutzer oder ein bestimmtes Dienstkonto betreffen:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"

      Geben Sie folgende Werte an:

      • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Audit-Logs auflisten möchten. Verwenden Sie einen der folgenden Werte: projects, folders oder organizations.
      • RESOURCE_ID: Die ID Ihres Trusted Cloud Projekts, Ordners oder Ihrer Organisation. Projekt-IDs sind alphanumerisch, z. B. my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
      • EMAIL_ADDRESS: die E-Mail-Adresse des Nutzers oder Dienstkontos. Beispiel: example-service-account@example-project.s3ns-system.iam.gserviceaccount.com

  3. Klicken Sie zum Ausführen der Abfrage auf Abfrage ausführen.

  4. Verwenden Sie die Auswahl Zeitachse, um den entsprechenden Zeitraum für die Abfrage anzugeben. Alternativ können Sie einen Zeitstempelausdruck direkt in den Abfrageeditor einfügen. Weitere Informationen finden Sie unter Logs nach Zeitraum ansehen.

gcloud

Mit dem Befehl gcloud logging read werden Logeinträge gelesen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Audit-Logs auflisten möchten. Verwenden Sie den Wert projects, folders oder organizations.
  • RESOURCE_ID: Die Trusted CloudProjekt-, Organisations- oder Ordner-ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • TIME_PERIOD: Der Zeitraum, für den Sie Audit-Logs auflisten möchten. Die zurückgegebenen Einträge sind nicht älter als dieser Wert. Wird keine Operation angegeben, wird standardmäßig immer 1d verwendet. Weitere Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.
  • RESOURCE_TYPE_SINGULAR: Der Ressourcentyp, für den Sie Audit-Logs auflisten möchten. Verwenden Sie den Wert project, folder oder organization.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (PowerShell)

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (cmd.exe)

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID