Audit-Richtlinien-Tags

In diesem Dokument wird beschrieben, wie Sie mit Cloud Logging Aktivitäten im Zusammenhang mit Richtlinien-Tags prüfen. Sie können beispielsweise Folgendes ermitteln:

  • Die E-Mail-Adresse des Hauptkontos, das Zugriff auf ein Richtlinien-Tag gewährt oder entzieht

  • Die E-Mail-Adresse, für die der Zugriff gewährt oder entzogen wurde

  • Das Richtlinien-Tag, dessen Zugriff geändert wurde

Auf Logs zugreifen

Informationen zur Berechtigung, die Sie zum Aufrufen von Logs benötigen, finden Sie in der Anleitung zur Zugriffssteuerung von Cloud Logging.

Logs für Richtlinien-Tag-Ereignisse ansehen

  1. Rufen Sie in der Google Cloud Console den Log-Explorer auf.

    Zum Log-Explorer

  2. Klicken Sie im Dropdown-Menü für Ressourcen auf Geprüfte Ressource, klicken Sie noch einmal auf Geprüfte Ressource und klicken Sie dann auf datacatalog.googleapis.com. Sie sehen die letzten Audit-Logeinträge von Data Catalog-Ressourcen.

  3. Wählen Sie zum Aufrufen der Logeinträge die Data Catalog-Methode SetIamPolicy aus.

  4. Klicken Sie auf den Logeintrag, um Details zum Aufruf der Methode SetIamPolicy anzusehen.

  5. Klicken Sie auf die Felder des Logeintrags, um Details zum Eintrag SetIamPolicy anzusehen.

    • Klicken Sie auf protoPayload und dann auf authenticationInfo, um die principalEmail für die Entität anzusehen, die die Cloud IAM-Richtlinie festgelegt hat.

    • Klicken Sie nacheinander auf protoPayload, request, policy und bindings, um die geänderten Bindungen einschließlich der Hauptkonten und Rollen anzusehen.

Nächste Schritte

Best Practices für Richtlinien-Tags kennenlernen