Meninjau histori kebijakan izin IAM

Halaman ini menjelaskan cara meninjau histori perubahan pada kebijakan izin IAM Anda.

Anda dapat meninjau perubahan pada kebijakan izin resource dengan menelusuri log audit untuk menemukan entri yang berisi metode SetIamPolicy.

Melihat perubahan kebijakan izinkan dengan SetIamPolicy

Anda dapat melihat perubahan kebijakan izin dengan meninjau log audit untuk menemukan entri yang berisi metode SetIamPolicy. Anda dapat meninjau log audit menggunakan konsolTrusted Cloud atau gcloud CLI.

Konsol

  1. Di Trusted Cloud console, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Di editor kueri, masukkan salah satu kueri berikut. Kueri ini akan menelusuri log audit Anda untuk menemukan entri yang memiliki SetIamPolicy di kolom methodName dari protoPayload:

    • Untuk mendapatkan log semua perubahan kebijakan izin yang dibuat pada resource, gunakan kueri berikut:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy

    • Untuk mendapatkan log perubahan kebijakan izin yang melibatkan pengguna atau akun layanan tertentu, gunakan kueri berikut:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"

      Berikan nilai berikut:

      • RESOURCE_TYPE: Jenis resource yang log auditnya ingin Anda cantumkan. Gunakan salah satu nilai berikut: projects, folders, atau organizations.
      • RESOURCE_ID: ID Trusted Cloud project, folder, atau organisasi Anda. Project ID berupa alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
      • EMAIL_ADDRESS: Alamat email pengguna atau akun layanan. Contoh, example-service-account@example-project.s3ns-system.iam.gserviceaccount.com.

  3. Untuk menjalankan kueri, klik Run query.

  4. Gunakan pemilih Linimasa untuk menentukan rentang waktu yang sesuai untuk kueri. Atau, Anda dapat menambahkan ekspresi stempel waktu langsung ke editor kueri. Untuk informasi selengkapnya, lihat Melihat log menurut rentang waktu.

gcloud

Perintah gcloud logging read membaca entri log.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource yang log auditnya ingin Anda cantumkan. Gunakan nilai projects, folders, atau organizations.
  • RESOURCE_ID: Project, organisasi, atau ID folder Trusted CloudAnda. Project ID berupa string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • TIME_PERIOD: Jangka waktu yang Anda gunakan untuk mencantumkan log audit. Entri yang ditampilkan tidak lebih lama dari nilai ini. Jika tidak ditentukan, nilai defaultnya adalah 1d. Untuk mengetahui informasi tentang format waktu, lihat tanggal dan waktu topik gcloud.
  • RESOURCE_TYPE_SINGULAR: Jenis resource yang log auditnya ingin Anda cantumkan. Gunakan nilai project, folder, atau organization.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (PowerShell)

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (cmd.exe)

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID