Revisar el historial de políticas de permiso de gestión de identidades y accesos

Consola

1. En la Trusted Cloud consola, ve a la página Explorador de registros.

   Ir a Explorador de registros

2. En el editor de consultas, introduce una de las siguientes consultas. Estas consultas buscan en tus registros de auditoría las entradas que tienen SetIamPolicy en el campo methodName de protoPayload:

   • Para obtener los registros de todos los cambios de la política de permisos realizados en un recurso, utiliza la siguiente consulta:

     logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
     protoPayload.methodName:SetIamPolicy
     

   • Para obtener los registros de los cambios en la política de autorización que impliquen a un usuario o una cuenta de servicio específicos, utiliza la siguiente consulta:

     logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
     protoPayload.methodName:SetIamPolicy
     protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"
     

     Proporciona los siguientes valores:

     • RESOURCE_TYPE: el tipo de recurso del que quieres obtener los registros de auditoría. Usa uno de estos valores: projects, folders o organizations.
     • RESOURCE_ID: el ID de tu Trusted Cloud proyecto, carpeta u organización. Los IDs de proyecto son alfanuméricos, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
     • EMAIL_ADDRESS: la dirección de correo del usuario o de la cuenta de servicio. Por ejemplo, example-service-account@example-project.s3ns-system.iam.gserviceaccount.com.

3. Para ejecutar la consulta, haz clic en Ejecutar consulta.

4. Usa el selector Cronología para especificar el intervalo de tiempo adecuado para la consulta. También puedes añadir una expresión de marca de tiempo directamente al editor de consultas. Para obtener más información, consulta el artículo sobre cómo ver registros por intervalo de tiempo.

gcloud

El comando gcloud logging read lee las entradas de registro.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

• RESOURCE_TYPE: el tipo de recurso del que quieres obtener los registros de auditoría. Usa el valor projects, folders o organizations.
• RESOURCE_ID: ID de tu Trusted Cloud proyecto, organización o carpeta. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
• TIME_PERIOD: el periodo del que quieres obtener los registros de auditoría. Las entradas devueltas no son anteriores a este valor. Si no se especifica ningún valor, se utiliza 1d de forma predeterminada. Para obtener información sobre los formatos de hora, consulta el tema de gcloud sobre fechas y horas.
• RESOURCE_TYPE_SINGULAR: el tipo de recurso del que quieres obtener los registros de auditoría. Usa el valor project, folder o organization.

Ejecuta el siguiente comando:

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID