IAM 허용 정책 기록 검토

이 페이지에서는 IAM 허용 정책에서 변경사항 기록을 검토하는 방법을 설명합니다.

감사 로그에서 SetIamPolicy 메서드가 포함된 항목을 검색하여 리소스의 허용 정책에 대한 변경사항을 검토할 수 있습니다.

SetIamPolicy를 사용하여 허용 정책 변경사항 보기

감사 로그에서 SetIamPolicy 메서드가 포함된 항목을 검토하여 허용 정책 변경사항을 확인할 수 있습니다. Google Cloud 콘솔 또는 gcloud CLI를 사용하여 감사 로그를 검토할 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 로그 탐색기 페이지로 이동합니다.

    로그 탐색기로 이동

  2. 쿼리 편집기에서 다음 쿼리 중 하나를 입력합니다. 이러한 쿼리는 감사 로그에서 protoPayloadmethodName 필드에 SetIamPolicy가 있는 항목을 검색합니다.

    • 리소스에 수행된 모든 허용 정책 변경사항 로그를 가져오려면 다음 쿼리를 사용합니다.

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy

    • 특정 사용자 또는 서비스 계정과 관련된 허용 정책 변경사항 로그를 가져오려면 다음 쿼리를 사용합니다.

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"

      다음 값을 제공합니다.

      • RESOURCE_TYPE: 감사 로그를 나열하는 리소스 유형입니다. projects, folders, organizations 값 중 하나를 사용합니다.
      • RESOURCE_ID: Trusted Cloud 프로젝트, 폴더, 조직 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
      • EMAIL_ADDRESS: 사용자 또는 서비스 계정의 이메일 주소입니다. 예를 들면 example-service-account@example-project.s3ns-system.iam.gserviceaccount.com입니다.

  3. 쿼리를 실행하기 위해 쿼리 실행을 클릭합니다.

  4. 타임라인 선택기를 사용하여 쿼리의 적합한 시간 범위를 지정합니다. 또는 타임스탬프 표현식을 쿼리 편집기에 직접 추가할 수 있습니다. 자세한 내용은 시간 범위별 로그 보기를 참조하세요.

gcloud

gcloud logging read 명령어는 로그 항목을 읽습니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 감사 로그를 나열하는 리소스 유형입니다. projects, folders, organizations 값을 사용합니다.
  • RESOURCE_ID: Trusted Cloud프로젝트, 조직, 폴더 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
  • TIME_PERIOD: 감사 로그를 나열하는 기간입니다. 이 값보다 오래된 항목은 반환되지 않습니다. 지정하지 않을 경우 기본값은 1d입니다. 시간 형식에 대한 자세한 내용은 gcloud topic datetimes를 참조하세요.
  • RESOURCE_TYPE_SINGULAR: 감사 로그를 나열하는 리소스 유형입니다. project, folder, organization 값을 사용합니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows(PowerShell)

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows(cmd.exe)

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID