本页面上的部分或全部信息可能不适用于 Trusted Cloud by S3NS。

查看 IAM 允许政策历史记录

本页面介绍了如何查看 IAM 允许政策的更改历史记录。

您可以搜索审核日志中包含 SetIamPolicy 方法的条目，以查看资源的允许政策的更改。

查看允许政策更改的“`SetIamPolicy`”

您可以查看审核日志中包含 SetIamPolicy 方法的条目，以查看允许政策的更改。您可以使用 Google Cloud 控制台或 gcloud CLI 查看审核日志。

控制台

在 Google Cloud 控制台中，转到 Logs Explorer 页面。

转到日志浏览器
在查询编辑器中，输入以下任一查询。这些查询会在您的审核日志中搜索 protoPayload 的 methodName 字段中包含 SetIamPolicy 的条目：
- 如需获取对资源所做的所有允许政策更改的日志，请使用以下查询：
```
logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
```
- 如需获取涉及特定用户或服务账号的允许政策更改日志，请使用以下查询：
```
logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"
```
  请提供以下值：
  - RESOURCE_TYPE：要为其列出审核日志的资源类型。请使用以下某个值：projects、folders 或 organizations。
  - RESOURCE_ID：您的 Trusted Cloud 项目、文件夹或组织 ID。项目 ID 为字母数字，例如 my-project。文件夹和组织 ID 是数字，例如 123456789012。
  - EMAIL_ADDRESS：用户或服务账号的电子邮件地址。例如 example-service-account@example-project.s3ns-system.iam.gserviceaccount.com。
如需运行查询，请点击运行查询。
使用时间轴选择器为查询指定适当的时间范围。或者，您也可以直接向查询编辑器添加时间戳表达式。如需了解详情，请参阅按时间范围查看日志。

gcloud

gcloud logging read 命令用于读取日志条目。

在使用下面的命令数据之前，请先进行以下替换：

RESOURCE_TYPE：要为其列出审核日志的资源类型。使用值 projects、folders 或 organizations。
RESOURCE_ID：您的 Trusted Cloud项目、组织或文件夹 ID。项目 ID 是字母数字字符串，例如 my-project。文件夹和组织 ID 是数字，例如 123456789012。
TIME_PERIOD：要为其列出审核日志的时间段。返回的条目不会早于此值。如果未指定，则默认值为 1d。如需了解时间格式，请参阅 gcloud topic datetimes。
RESOURCE_TYPE_SINGULAR：要为其列出审核日志的资源类型。使用值 project、folder 或 organization。

执行以下命令：

Linux、macOS 或 Cloud Shell

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (PowerShell)

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (cmd.exe)

注意：如果此命令使用 ' 引用内容，请用英文双引号替换这些单引号。如果引用嵌套，请使用 \" 对内部引号进行转义。

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

查看 IAM 允许政策历史记录

查看允许政策更改的“SetIamPolicy”

控制台

gcloud

Linux、macOS 或 Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

查看允许政策更改的“`SetIamPolicy`”