Audit-Richtlinien-Tags
In diesem Dokument wird beschrieben, wie Sie mit Cloud Logging Aktivitäten im Zusammenhang mit Richtlinien-Tags prüfen. Sie können beispielsweise Folgendes ermitteln:
Die E-Mail-Adresse des Hauptkontos, das Zugriff auf ein Richtlinien-Tag gewährt oder entzieht
Die E-Mail-Adresse, für die der Zugriff gewährt oder entzogen wurde
Das Richtlinien-Tag, dessen Zugriff geändert wurde
Auf Logs zugreifen
Informationen zur Berechtigung, die Sie zum Aufrufen von Logs benötigen, finden Sie in der Anleitung zur Zugriffssteuerung von Cloud Logging.
Logs für Richtlinien-Tag-Ereignisse ansehen
Rufen Sie in der Google Cloud Console den Log-Explorer auf.
Klicken Sie im Dropdown-Menü für Ressourcen auf Geprüfte Ressource, klicken Sie noch einmal auf Geprüfte Ressource und klicken Sie dann auf datacatalog.googleapis.com. Sie sehen die letzten Audit-Logeinträge von Data Catalog-Ressourcen.
Wählen Sie zum Aufrufen der Logeinträge die Data Catalog-Methode
SetIamPolicy
aus.Klicken Sie auf den Logeintrag, um Details zum Aufruf der Methode
SetIamPolicy
anzusehen.Klicken Sie auf die Felder des Logeintrags, um Details zum Eintrag
SetIamPolicy
anzusehen.Klicken Sie auf
protoPayload
und dann aufauthenticationInfo
, um dieprincipalEmail
für die Entität anzusehen, die die Cloud IAM-Richtlinie festgelegt hat.Klicken Sie nacheinander auf
protoPayload
,request
,policy
undbindings
, um die geänderten Bindungen einschließlich der Hauptkonten und Rollen anzusehen.
Nächste Schritte
Best Practices für Richtlinien-Tags kennenlernen