Revisar el historial de políticas de permiso de gestión de identidades y accesos

En esta página se explica cómo consultar el historial de cambios de tus políticas de permisos de IAM.

Para revisar los cambios en las políticas de permiso de tu recurso, busca en tus registros de auditoría las entradas que contengan el método SetIamPolicy.

También puedes revisar los cambios en las políticas de permisos con Inventario de recursos de Cloud.

Ver los cambios en la política de permitir con SetIamPolicy

Para ver los cambios en la política de permisos, consulta los registros de auditoría en los que se incluya el método SetIamPolicy. Puedes consultar tus registros de auditoría mediante laGoogle Cloud consola o gcloud CLI.

Consola

  1. En la Google Cloud consola, ve a la página Explorador de registros.

    Ir a Explorador de registros

  2. En el editor de consultas, introduce una de las siguientes consultas. Estas consultas buscan en tus registros de auditoría las entradas que tienen SetIamPolicy en el campo methodName de protoPayload:

    • Para obtener los registros de todos los cambios de la política de permisos realizados en un recurso, utiliza la siguiente consulta:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy

    • Para obtener los registros de los cambios en la política de autorización que impliquen a un usuario o una cuenta de servicio específicos, utiliza la siguiente consulta:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"

      Proporciona los siguientes valores:

      • RESOURCE_TYPE: el tipo de recurso del que quieres obtener los registros de auditoría. Usa uno de estos valores: projects, folders o organizations.
      • RESOURCE_ID: el ID de tu Google Cloud proyecto, carpeta u organización. Los IDs de proyecto son alfanuméricos, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
      • EMAIL_ADDRESS: la dirección de correo del usuario o de la cuenta de servicio. Por ejemplo, example-service-account@example-project.iam.gserviceaccount.com.

  3. Para ejecutar la consulta, haz clic en Ejecutar consulta.

  4. Usa el selector Cronología para especificar el intervalo de tiempo adecuado para la consulta. También puedes añadir una expresión de marca de tiempo directamente al editor de consultas. Para obtener más información, consulta el artículo sobre cómo ver registros por intervalo de tiempo.

gcloud

El comando gcloud logging read lee las entradas de registro.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • RESOURCE_TYPE: el tipo de recurso del que quieres obtener los registros de auditoría. Usa el valor projects, folders o organizations.
  • RESOURCE_ID: ID de tu Google Cloud proyecto, organización o carpeta. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
  • TIME_PERIOD: el periodo del que quieres obtener los registros de auditoría. Las entradas devueltas no son anteriores a este valor. Si no se especifica ningún valor, se utiliza 1d de forma predeterminada. Para obtener información sobre los formatos de hora, consulta el tema de gcloud sobre fechas y horas.
  • RESOURCE_TYPE_SINGULAR: el tipo de recurso del que quieres obtener los registros de auditoría. Usa el valor project, folder o organization.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (PowerShell)

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (cmd.exe)

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Ver los cambios en las políticas de permiso con Inventario de Recursos de Cloud

También puedes ver los cambios en las políticas de permiso mediante Cloud Asset Inventory en la consola Google Cloud o en la CLI de gcloud.

Consola

  1. En la Google Cloud consola, ve a la página Inventario de recursos.

    Ir a Inventario de recursos

  2. Haz clic en la pestaña Política de gestión de identidades y accesos.

  3. Ejecuta la siguiente consulta en el campo Filtro:

    Resource : RESOURCE_ID

    Sustituye RESOURCE_ID por el ID de tu Google Cloud proyecto, carpeta u organización. Los IDs de proyecto son alfanuméricos, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.

  4. Para ver el historial de cambios de la política de permiso del recurso, haz clic en el nombre del recurso y, a continuación, selecciona la pestaña Historial de cambios.

  5. Para comparar los cambios en la política de permiso del recurso, selecciona dos registros con marcas de tiempo diferentes en el menú Selecciona un registro para la comparación.

gcloud

El comando gcloud asset get-history obtiene el historial actualizado de las políticas de permiso de un recurso que se superpone a un periodo.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • RESOURCE_TYPE: el tipo de recurso del que quieres obtener los registros de auditoría. Usa el valor project, folder o organization.
  • RESOURCE_ID: ID de tu Google Cloud proyecto, organización o carpeta. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
  • ASSET_NAME: lista separada por comas de nombres de recursos con formato de los recursos cuyos historiales de políticas de permiso quieras ver. Por ejemplo, //cloudresourcemanager.googleapis.com/projects/my-project. Estos recursos pueden ser cualquiera de los tipos de recursos que acepten políticas de permiso.
  • START_TIME: el inicio del periodo. El intervalo de tiempo máximo es de 7 días. El valor debe ser la hora actual o una hora que no sea anterior a 35 días. Para obtener información sobre los formatos de hora, consulta el tema de gcloud sobre fechas y horas.
  • END_TIME: opcional. Punto final del intervalo de tiempo. El intervalo de tiempo máximo es de 7 días. El valor debe ser la hora actual o una hora que no sea anterior a 35 días. Si no se proporciona, se supone que la hora de finalización es la hora actual. Para obtener información sobre los formatos de hora, consulta el tema gcloud datetimes.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud asset get-history \
    --RESOURCE_TYPE=RESOURCE_ID \
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... \
    --content-type=iam-policy \
    --start-time=START_TIME \
    --end-time=END_TIME

Windows (PowerShell)

gcloud asset get-history `
    --RESOURCE_TYPE=RESOURCE_ID `
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... `
    --content-type=iam-policy `
    --start-time=START_TIME `
    --end-time=END_TIME

Windows (cmd.exe)

gcloud asset get-history ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... ^
    --content-type=iam-policy ^
    --start-time=START_TIME ^
    --end-time=END_TIME