Audita etiquetas de política

En este documento, se describe cómo usar Cloud Logging para auditar las actividades relacionadas con las etiquetas de política. Por ejemplo, puedes determinar lo siguiente:

  • La dirección de correo electrónico de la cuenta principal, que otorga o quita el acceso a una etiqueta de política

  • La dirección de correo electrónico a la que se le otorgó o quitó el acceso

  • La etiqueta de política cuyo acceso se modificó

Las etiquetas de política son recursos de Data Catalog.

Acceso a los registros

Si deseas obtener información sobre los permisos que necesitas para ver los registros, consulta la sección sobre la guía de control de acceso de Cloud Logging.

Consulta los registros de los eventos de etiqueta de política

  1. Ve a la página Visor de registros en Cloud Console.

    Ir al visor de registros

  2. En la lista desplegable de recursos, haz clic en Audited Resource (Recurso auditado), vuelve a hacer clic en Audited Resources (Recursos auditados) y, luego, en datacatalog.googleapis.com. Verás las entradas de registro de auditoría recientes de los recursos de Data Catalog.

    Visor de registros de Cloud Datalog

  3. Para ver las entradas de registro, selecciona el método SetIamPolicy de Data Catalog.

    Visor de registros de SetIamPolicy

  4. Haz clic en la entrada de registro para ver los detalles de la llamada al método SetIamPolicy.

    Detalles del visor de registros de SetIamPolicy

  5. Haz clic en los campos de la entrada de registro para ver los detalles de la entrada SetIamPolicy.

    • Haz clic en protoPayload y, luego, en authenticationInfo para ver el principalEmail de la entidad que configuró la política de IAM.

      principalEmail

    • Haz clic en protoPayload, en request, en policy y, por último, en bindings para ver las vinculaciones, incluso los miembros y las funciones que se modificaron.

      Vinculaciones

¿Qué sigue?

Obtén más información sobre las prácticas recomendadas para las etiquetas de política.