Reveja o histórico da política de autorização da IAM

Consola

1. Na Trusted Cloud consola, aceda à página Explorador de registos.

   Aceda ao Explorador de registos

2. No editor de consultas, introduza uma das seguintes consultas. Estas consultas pesquisam nos seus registos de auditoria entradas que tenham SetIamPolicy no campo methodName do protoPayload:

   • Para obter os registos de todas as alterações à política de autorização feitas num recurso, use a seguinte consulta:

     logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
     protoPayload.methodName:SetIamPolicy
     

   • Para obter os registos de alterações à política de autorização que envolvem um utilizador específico ou uma conta de serviço, use a seguinte consulta:

     logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
     protoPayload.methodName:SetIamPolicy
     protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"
     

     Indique os seguintes valores:

     • RESOURCE_TYPE: o tipo de recurso para o qual está a listar os registos de auditoria. Use um destes valores: projects, folders ou organizations.
     • RESOURCE_ID: o ID do Trusted Cloud projeto, da pasta ou da organização. Os IDs dos projetos são alfanuméricos, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
     • EMAIL_ADDRESS: o endereço de email do utilizador ou da conta de serviço. Por exemplo, example-service-account@example-project.s3ns-system.iam.gserviceaccount.com.

3. Para executar a consulta, clique em Executar consulta.

4. Use o seletor da Linha cronológica para especificar o intervalo de tempo adequado para a consulta. Em alternativa, pode adicionar uma expressão de indicação de tempo diretamente ao editor de consultas. Para mais informações, consulte o artigo Veja registos por intervalo de tempo.

gcloud

O comando gcloud logging read lê entradas do registo.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

• RESOURCE_TYPE: o tipo de recurso para o qual está a listar os registos de auditoria. Use o valor projects, folders ou organizations.
• RESOURCE_ID: o ID do Trusted Cloud projeto, da organização ou da pasta. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
• TIME_PERIOD: o período para o qual está a listar os registos de auditoria. As entradas devolvidas não são mais antigas do que este valor. Se não for especificado, o valor predefinido é 1d. Para informações sobre formatos de hora, consulte gcloud topic datetimes.
• RESOURCE_TYPE_SINGULAR: o tipo de recurso para o qual está a listar os registos de auditoria. Use o valor project, folder ou organization.

Execute o seguinte comando:

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID