Analisar o histórico da política de permissão do IAM

Esta página explica como analisar o histórico de alterações nas suas políticas de permissão do IAM.

Para analisar as mudanças nas políticas de permissão do recurso, pesquise nos registros de auditoria entradas que contêm o método SetIamPolicy.

Conferir mudanças na política de permissão com SetIamPolicy

Para conferir as alterações nas políticas de permissão, analise os registros de auditoria em busca de entradas que tenham o método SetIamPolicy. É possível analisar seus registros de auditoria usando o consoleTrusted Cloud ou a CLI gcloud.

Console

  1. No Trusted Cloud console, acesse a página Explorador de registros.

    Acessar o Explorador de registros

  2. No editor de consultas, insira uma das consultas a seguir. Estas consultas procuram entradas nos registros de auditoria que tenham SetIamPolicy no campo methodName do protoPayload:

    • Para conferir os registros de todas as alterações de política de permissão feitas em um recurso, use a seguinte consulta:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy

    • Para receber os registros de alterações de política de permissão que envolvem um usuário ou uma conta de serviço específica, use a seguinte consulta:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"

      Forneça os valores a seguir:

      • RESOURCE_TYPE: o tipo de recurso que está listando os registros de auditoria. Use um destes valores: projects, folders ou organizations.
      • RESOURCE_ID: o ID do Trusted Cloud projeto, da pasta ou da organização. Os IDs de projeto são alfanuméricos, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
      • EMAIL_ADDRESS: o endereço de e-mail do usuário ou da conta de serviço. Por exemplo, example-service-account@example-project.s3ns-system.iam.gserviceaccount.com.

  3. Para executar a consulta, clique em Executar consulta.

  4. Use o seletor Timeline para especificar o intervalo de tempo adequado para a consulta. Também é possível adicionar uma expressão de marcação de tempo diretamente ao editor de consultas. Para mais informações, consulte Conferir registros por período de tempo.

gcloud

O comando gcloud logging read lê as entradas de registro.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso que está listando os registros de auditoria. Use o valor projects, folders ou organizations.
  • RESOURCE_ID: o ID do projeto, da organização ou da pasta Trusted Cloud. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
  • TIME_PERIOD: o período em que você está listando os registros de auditoria. As entradas retornadas não são mais antigas que esse valor. Se o valor não for especificado, será usado o padrão 1d. Para informações sobre formatos de tempo, consulte Data e hora no gcloud.
  • RESOURCE_TYPE_SINGULAR: o tipo de recurso que está listando os registros de auditoria. Use o valor project, folder ou organization.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (PowerShell)

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (cmd.exe)

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID