Revisa el historial de la política de permisos de IAM

En esta página, se explica cómo revisar el historial de cambios en tus políticas de IAM.

Para revisar los cambios en las políticas de permisos de tu recurso, busca entradas que contengan el método SetIamPolicy en tus registros de auditoría.

También puedes revisar los cambios en la política de permisos con Cloud Asset Inventory.

Cómo ver los cambios en la política de permisos con SetIamPolicy

Para ver los cambios en la política de permisos, revisa los registros de auditoría en busca de entradas que contengan el método SetIamPolicy. Puedes revisar tus registros de auditoría con la console de Google Cloud o gcloud CLI.

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. En el editor de consultas, ingresa una de las siguientes consultas. Estas consultas buscan entradas en tus registros de auditoría que tengan SetIamPolicy en el campo methodName de protoPayload:

    • Para obtener los registros de todos los cambios de la política de permisos realizados en un recurso, usa la siguiente consulta:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy

    • Para obtener los registros de los cambios en la política de permisos que involucran a un usuario o una cuenta de servicio específicos, usa la siguiente consulta:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"

      Ingresa los siguientes valores:

      • RESOURCE_TYPE: El tipo de recurso para el que creas una lista de registros de auditoría. Usa uno de estos valores: projects, folders o organizations.
      • RESOURCE_ID: Tu ID de la organización, carpeta y proyecto de Google Cloud. Los ID de proyecto son alfanuméricos, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
      • EMAIL_ADDRESS: Es la dirección de correo electrónico del usuario o la cuenta de servicio. Por ejemplo, example-service-account@example-project.iam.gserviceaccount.com

  3. Para ejecutar la consulta, haz clic en Ejecutar consulta.

  4. Usa el selector Línea de tiempo para especificar el intervalo de tiempo adecuado para la consulta. Como alternativa, puedes agregar una expresión de marca de tiempo directamente al editor de consultas. Para obtener más información, consulta Cómo ver registros por período.

gcloud

El comando gcloud logging read lee las entradas de registro.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: El tipo de recurso para el que creas una lista de registros de auditoría. Usa el valor projects, folders o organizations.
  • RESOURCE_ID: Es el proyecto ID de la carpeta, la organización o el proyecto de Google Cloud. Los ID de proyecto son strings alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
  • TIME_PERIOD: Es el período para el que creas una lista de registros de auditoría. Las entradas que se muestran no son anteriores a este valor. Si no se especifica, el valor predeterminado es 1d. Para obtener información sobre los formatos de hora, consulta gcloud topic datetime.
  • RESOURCE_TYPE_SINGULAR: El tipo de recurso para el que creas una lista de registros de auditoría. Usa el valor project, folder o organization.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (PowerShell)

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (cmd.exe)

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Cómo ver los cambios en la política de permisos con Cloud Asset Inventory

También puedes ver los cambios en la política de permisos con Cloud Asset Inventory en la consola de Google Cloud o gcloud CLI.

Console

  1. En la consola de Google Cloud, ve a la página Asset Inventory.

    Ir a Asset Inventory

  2. Haz clic en la pestaña Política de IAM.

  3. Ejecuta la siguiente consulta en el campo Filtro:

    Resource : RESOURCE_ID

    Reemplaza RESOURCE_ID por el ID de tu proyecto, carpeta o organización de Google Cloud. Los ID de proyecto son alfanuméricos, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.

  4. Para ver el historial de cambios de la política de permisos del recurso, haz clic en su nombre y, luego, selecciona la pestaña Historial de cambios.

  5. Para comparar los cambios en la política de permisos del recurso, selecciona dos registros diferentes con marca de tiempo del menú Seleccionar un registro para comparar.

gcloud

El comando gcloud asset get-history obtiene el historial actualizado de las políticas de permisos en un activo que se superpone con un período.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: El tipo de recurso para el que creas una lista de registros de auditoría. Usa el valor project, folder o organization.
  • RESOURCE_ID: Es el proyecto ID de la carpeta, la organización o el proyecto de Google Cloud. Los ID de proyecto son strings alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
  • ASSET_NAME: Es una lista separada por comas de nombres de recursos con formato para los recursos cuyos registros de políticas de permisos deseas ver. Por ejemplo, //cloudresourcemanager.googleapis.com/projects/my-project. Estos recursos pueden ser cualquiera de los tipos de recursos que aceptan políticas de permisos.
  • START_TIME: Es el inicio del intervalo de tiempo. El intervalo máximo es de 7 días. El valor debe ser la hora actual o una hora que no supere los 35 días anteriores. Para obtener información sobre los formatos de hora, consulta gcloud topic datetime.
  • END_TIME: Opcional Es el punto final del intervalo de tiempo. El intervalo máximo es de 7 días. El valor debe ser la hora actual o una hora que no sea superior a 35 días en el pasado. Si no se proporciona, se supone que la hora de finalización es la hora actual. Para obtener información sobre los formatos de hora, consulta gcloud topic datetime.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud asset get-history \
    --RESOURCE_TYPE=RESOURCE_ID \
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... \
    --content-type=iam-policy \
    --start-time=START_TIME \
    --end-time=END_TIME

Windows (PowerShell)

gcloud asset get-history `
    --RESOURCE_TYPE=RESOURCE_ID `
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... `
    --content-type=iam-policy `
    --start-time=START_TIME `
    --end-time=END_TIME

Windows (cmd.exe)

gcloud asset get-history ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... ^
    --content-type=iam-policy ^
    --start-time=START_TIME ^
    --end-time=END_TIME