Verlauf der IAM-Zulassungsrichtlinien prüfen

Auf dieser Seite wird beschrieben, wie Sie den Änderungsverlauf Ihrer IAM-Zulassungsrichtlinien prüfen.

Sie können Änderungen an den „Zulassen“-Richtlinien Ihrer Ressource prüfen, indem Sie in Ihren Audit-Logs nach Einträgen mit der Methode SetIamPolicy suchen.

Änderungen an Zulassungsrichtlinien können Sie auch mit Cloud Asset Inventory prüfen.

Änderungen an Zulassungsrichtlinien mit SetIamPolicy ansehen

Änderungen an „Zulassen“-Richtlinien finden Sie in Ihren Audit-Logs in Einträgen, die die Methode SetIamPolicy enthalten. Sie können Ihre Audit-Logs mit der Google Cloud Console oder der gcloud CLI aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.

    Zum Log-Explorer

  2. Geben Sie im Abfrageeditor eine der folgenden Abfragen ein. Mit diesen Abfragen wird in Ihren Audit-Logs nach Einträgen gesucht, die im Feld methodName des protoPayload den Wert SetIamPolicy enthalten:

    • Mit der folgenden Abfrage rufen Sie die Logs aller Änderungen an den Zulassungsrichtlinien für eine Ressource ab:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy

    • Mit der folgenden Abfrage können Sie die Protokolle zu Änderungen an Zulassungsrichtlinien abrufen, die einen bestimmten Nutzer oder ein bestimmtes Dienstkonto betreffen:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"

      Geben Sie folgende Werte an:

      • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Audit-Logs auflisten möchten. Verwenden Sie einen der folgenden Werte: projects, folders oder organizations.
      • RESOURCE_ID: Ihr Google Cloud-Projekt, Ihr Ordner oder Ihre Organisations-ID. Projekt-IDs sind alphanumerisch, z. B. my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
      • EMAIL_ADDRESS: die E-Mail-Adresse des Nutzers oder Dienstkontos. Beispiel: example-service-account@example-project.iam.gserviceaccount.com

  3. Klicken Sie zum Ausführen der Abfrage auf Abfrage ausführen.

  4. Verwenden Sie die Auswahl Zeitachse, um den entsprechenden Zeitraum für die Abfrage anzugeben. Alternativ können Sie einen Zeitstempelausdruck direkt in den Abfrageeditor einfügen. Weitere Informationen finden Sie unter Logs nach Zeitraum ansehen.

gcloud

Mit dem Befehl gcloud logging read werden Logeinträge gelesen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Audit-Logs auflisten möchten. Verwenden Sie den Wert projects, folders oder organizations.
  • RESOURCE_ID: Die ID Ihres Google Cloud-Projekts, Ihrer Organisation oder Ihres Ordners. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • TIME_PERIOD: Der Zeitraum, für den Sie Audit-Logs auflisten möchten. Die zurückgegebenen Einträge sind nicht älter als dieser Wert. Wird keine Operation angegeben, wird standardmäßig immer 1d verwendet. Weitere Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.
  • RESOURCE_TYPE_SINGULAR: Der Ressourcentyp, für den Sie Audit-Logs auflisten möchten. Verwenden Sie den Wert project, folder oder organization.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (PowerShell)

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (cmd.exe)

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Änderungen an Zulassungsrichtlinien mit Cloud Asset Inventory ansehen

Sie können Änderungen an Zulassungsrichtlinien auch mit dem Cloud Asset Inventory in der Google Cloud Console oder der gcloud CLI aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Asset Inventory auf.

    Zu Asset Inventory

  2. Klicken Sie auf den Tab IAM-Richtlinie.

  3. Führen Sie die folgende Abfrage im Feld Filter aus:

    Resource : RESOURCE_ID

    Ersetzen Sie RESOURCE_ID durch die ID Ihres Google Cloud-Projekts, -Ordners oder -Unternehmens. Projekt-IDs sind alphanumerisch, z. B. my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

  4. Wenn Sie den Änderungsverlauf der Zulassungsrichtlinie der Ressource aufrufen möchten, klicken Sie auf den Namen der Ressource und wählen Sie dann den Tab Änderungsverlauf aus.

  5. Wenn Sie Änderungen an der Zulassungsrichtlinie für die Ressource vergleichen möchten, wählen Sie im Menü Einen Eintrag zum Vergleichen auswählen zwei verschiedene Einträge mit Zeitstempeln aus.

gcloud

Mit dem Befehl gcloud asset get-history wird der aktualisierte Verlauf der Zulassungsrichtlinien für ein Asset abgerufen, das sich mit einem Zeitfenster überschneidet.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Audit-Logs auflisten möchten. Verwenden Sie den Wert project, folder oder organization.
  • RESOURCE_ID: Die ID Ihres Google Cloud-Projekts, Ihrer Organisation oder Ihres Ordners. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ASSET_NAME: Eine durch Kommas getrennte Liste von formatierten Ressourcennamen für die Ressourcen, deren Zulassungsrichtlinienverlauf Sie aufrufen möchten. Beispiel: //cloudresourcemanager.googleapis.com/projects/my-project. Diese Ressourcen können alle Ressourcentypen sein, die Zulassungsrichtlinien akzeptieren.
  • START_TIME: Der Beginn des Zeitraums. Maximal sollte der Zeitraum 7 Tage umfassen. Der Wert muss die aktuelle Zeit oder eine Zeit sein, die nicht länger als 35 Tage zurückliegt. Weitere Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.
  • END_TIME: Optional. Der Endpunkt des Zeitraums. Maximal sollte der Zeitraum 7 Tage umfassen. Der Wert muss die aktuelle Zeit oder eine Zeit sein, die nicht länger als 35 Tage zurückliegt. Wenn keine Endzeit angegeben ist, wird davon ausgegangen, dass die Endzeit die aktuelle Uhrzeit ist. Weitere Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud asset get-history \
    --RESOURCE_TYPE=RESOURCE_ID \
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... \
    --content-type=iam-policy \
    --start-time=START_TIME \
    --end-time=END_TIME

Windows (PowerShell)

gcloud asset get-history `
    --RESOURCE_TYPE=RESOURCE_ID `
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... `
    --content-type=iam-policy `
    --start-time=START_TIME `
    --end-time=END_TIME

Windows (cmd.exe)

gcloud asset get-history ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... ^
    --content-type=iam-policy ^
    --start-time=START_TIME ^
    --end-time=END_TIME