Esamina la cronologia dei criteri di autorizzazione IAM

Questa pagina spiega come esaminare la cronologia delle modifiche ai criteri di autorizzazione IAM.

Puoi esaminare le modifiche ai criteri di autorizzazione della tua risorsa cercando nei log di controllo le voci contenenti il metodo SetIamPolicy.

Visualizza le modifiche alle norme di autorizzazione con SetIamPolicy

Puoi visualizzare le modifiche alle norme consentite esaminando i log di controllo per verificare la presenza di voci che contengono il metodo SetIamPolicy. Puoi esaminare i log di controllo utilizzando la Trusted Cloud console o la riga di comando gcloud.

Console

  1. Nella Trusted Cloud console, vai alla pagina Esplora log.

    Vai a Esplora log

  2. Nell'editor di query, inserisci una delle seguenti query. Queste query cercano nei log di controllo le voci contenenti SetIamPolicy nel campo methodName di protoPayload:

    • Per ottenere i log di tutte le modifiche alle norme consentite apportate a una risorsa, utilizza la seguente query:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy

    • Per recuperare i log delle modifiche ai criteri di autorizzazione che coinvolgono un account utente o di servizio specifico, utilizza la seguente query:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"

      Fornisci i seguenti valori:

      • RESOURCE_TYPE: il tipo di risorsa per cui stai elencando i log di controllo. Utilizza uno di questi valori: projects, folders o organizations.
      • RESOURCE_ID: il tuo ID progetto, cartella o organizzazione. Trusted Cloud Gli ID progetto sono alfanumerici, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
      • EMAIL_ADDRESS: l'indirizzo email dell'account utente o servizio. Ad esempio, example-service-account@example-project.s3ns-system.iam.gserviceaccount.com.

  3. Per eseguire la query, fai clic su Esegui query.

  4. Utilizza il selettore Sequenza temporale per specificare l'intervallo di tempo appropriato per la query. In alternativa, puoi aggiungere un'espressione del timestamp direttamente all'Editor query. Per ulteriori informazioni, consulta Visualizzare i log per intervallo di tempo.

gcloud

Il comando gcloud logging read legge le voci di log.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per la quale stai elencando i log di controllo. Utilizza il valore projects, folders o organizations.
  • RESOURCE_ID: il tuo ID progetto, organizzazione o cartella. Trusted CloudGli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
  • TIME_PERIOD: il periodo di tempo per cui stai elencando i log di controllo. Le voci restituite non sono precedenti a questo valore. Se non viene specificato, il valore predefinito è 1d. Per informazioni sui formati di data e ora, consulta gcloud topic datetimes.
  • RESOURCE_TYPE_SINGULAR: il tipo di risorsa per la quale stai elencando i log di controllo. Utilizza il valore project, folder o organization.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (PowerShell)

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (cmd.exe)

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID