Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS.

Cette page a été traduite par l'API Cloud Translation.

Examiner l'historique des stratégies d'autorisation IAM

Cette page explique comment consulter l'historique des modifications apportées à vos stratégies d'autorisation IAM.

Vous pouvez examiner les modifications apportées aux stratégies d'autorisation de votre ressource en recherchant dans vos journaux d'audit les entrées contenant la méthode SetIamPolicy.

Afficher les modifications des stratégies d'autorisation avec `SetIamPolicy`

Vous pouvez afficher les modifications apportées à la stratégie d'autorisation en examinant les entrées de vos journaux d'audit contenant la méthode SetIamPolicy. Vous pouvez consulter vos journaux d'audit à l'aide de la consoleTrusted Cloud ou de la CLI gcloud.

Console

Dans la Trusted Cloud console, accédez à la page Explorateur de journaux.

Accéder à l'explorateur de journaux
Dans l'éditeur de requête, saisissez l'une des requêtes suivantes. Ces requêtes recherchent dans vos journaux d'audit les entrées contenant SetIamPolicy dans le champ methodName de protoPayload:
- Pour obtenir les journaux de toutes les modifications apportées à une stratégie d'autorisation sur une ressource, utilisez la requête suivante:
```
logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
```
- Pour obtenir les journaux des modifications de stratégie d'autorisation impliquant un utilisateur ou un compte de service spécifique, utilisez la requête suivante:
```
logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"
```
  Indiquez les valeurs suivantes :
  - RESOURCE_TYPE : type de ressource pour lequel vous souhaitez répertorier les journaux d'audit. Utilisez l'une des valeurs suivantes : projects, folders ou organizations.
  - RESOURCE_ID: ID de votre Trusted Cloud projet, dossier ou organisation. Les ID de projets sont alphanumériques, par exemple my-project. Les ID de dossier et d'organisation sont numériques, tels que 123456789012.
  - EMAIL_ADDRESS: adresse e-mail de l'utilisateur ou du compte de service. Exemple : example-service-account@example-project.s3ns-system.iam.gserviceaccount.com.
Pour exécuter la requête, cliquez sur Exécuter la requête.
Utilisez le sélecteur Chronologie pour spécifier la période appropriée pour la requête. Vous pouvez également ajouter une expression de code temporel directement dans l'éditeur de requête. Pour en savoir plus, consultez Afficher les journaux par période.

gcloud

La commande gcloud logging read lit les entrées de journal.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE : type de ressource pour lequel vous souhaitez répertorier les journaux d'audit. Utilisez la valeur projects, folders ou organizations.
RESOURCE_ID: ID de votre Trusted CloudProjet, organisation ou dossier. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont numériques, tels que 123456789012.
TIME_PERIOD: période pour laquelle vous listez les journaux d'audit. Les entrées renvoyées ne datent pas de plus de cette valeur. Si elle n'est pas spécifiée, la valeur par défaut est 1d. Pour en savoir plus sur les formats de date et d'heure, consultez la section Date et heure gcloud.
RESOURCE_TYPE_SINGULAR : type de ressource pour lequel vous souhaitez répertorier les journaux d'audit. Utilisez la valeur project, folder ou organization.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (PowerShell)

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (cmd.exe)

Remarque : Si cette commande utilise ' pour citer un contenu, remplacez ces guillemets simples par des guillemets doubles. Si les guillemets sont imbriqués, utilisez \" pour échapper les guillemets internes.

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Examiner l'historique des stratégies d'autorisation IAM

Afficher les modifications des stratégies d'autorisation avec SetIamPolicy

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Afficher les modifications des stratégies d'autorisation avec `SetIamPolicy`