Meninjau histori kebijakan izin IAM

Konsol

1. Di Konsol Google Cloud, buka halaman Logs Explorer.

   Buka Logs Explorer

2. Di editor kueri, masukkan salah satu kueri berikut. Kueri ini akan menelusuri log audit Anda untuk menemukan entri yang memiliki SetIamPolicy di kolom methodName dari protoPayload:

   • Untuk mendapatkan log semua perubahan kebijakan izin yang dibuat pada resource, gunakan kueri berikut:

     logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
     protoPayload.methodName:SetIamPolicy
     

   • Untuk mendapatkan log perubahan kebijakan izin yang melibatkan pengguna atau akun layanan tertentu, gunakan kueri berikut:

     logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
     protoPayload.methodName:SetIamPolicy
     protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"
     

     Berikan nilai berikut:

     • RESOURCE_TYPE: Jenis resource yang log auditnya ingin Anda cantumkan. Gunakan salah satu nilai berikut: projects, folders, atau organizations.
     • RESOURCE_ID: Project, folder, atau ID organisasi Google Cloud Anda. Project ID berupa alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
     • EMAIL_ADDRESS: Alamat email pengguna atau akun layanan. Contoh, example-service-account@example-project.iam.gserviceaccount.com.

3. Untuk menjalankan kueri, klik Run query.

4. Gunakan pemilih Linimasa untuk menentukan rentang waktu yang sesuai untuk kueri. Atau, Anda dapat menambahkan ekspresi stempel waktu langsung ke editor kueri. Untuk informasi selengkapnya, lihat Melihat log menurut rentang waktu.

gcloud

Perintah gcloud logging read membaca entri log.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

• RESOURCE_TYPE: Jenis resource yang log auditnya ingin Anda cantumkan. Gunakan nilai projects, folders, atau organizations.
• RESOURCE_ID: Project Google Cloud organisasi, atau ID folder Anda. ID project berupa string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
• TIME_PERIOD: Jangka waktu yang Anda gunakan untuk mencantumkan log audit. Entri yang ditampilkan tidak lebih lama dari nilai ini. Jika tidak ditentukan, nilai defaultnya adalah 1d. Untuk mengetahui informasi tentang format waktu, lihat tanggal dan waktu topik gcloud.
• RESOURCE_TYPE_SINGULAR: Jenis resource yang log auditnya ingin Anda cantumkan. Gunakan nilai project, folder, atau organization.

Jalankan perintah berikut:

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Konsol

1. Di konsol Google Cloud, buka halaman Asset Inventory.

   Buka Inventaris Aset

2. Klik tab Kebijakan IAM.

3. Jalankan kueri berikut di kolom Filter:

   Resource : RESOURCE_ID

   Ganti RESOURCE_ID dengan project, folder, atau ID organisasi Google Cloud Anda. Project ID berupa alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

4. Untuk melihat histori perubahan kebijakan izin resource, klik nama resource, lalu pilih tab Histori Perubahan.

5. Untuk membandingkan perubahan pada kebijakan izin untuk resource, pilih dua data dengan stempel waktu yang berbeda dari menu Pilih data yang akan dibandingkan.

gcloud

Perintah gcloud asset get-history mendapatkan histori kebijakan izinkan yang diperbarui pada aset yang tumpang-tindih dengan periode waktu.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

• RESOURCE_TYPE: Jenis resource yang log auditnya ingin Anda cantumkan. Gunakan nilai project, folder, atau organization.
• RESOURCE_ID: Project Google Cloud organisasi, atau ID folder Anda. ID project berupa string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
• ASSET_NAME: Daftar yang dipisahkan koma dari nama resource berformat untuk resource yang histori kebijakan izinnya ingin Anda lihat. Contoh, //cloudresourcemanager.googleapis.com/projects/my-project. Resource ini dapat berupa jenis resource apa pun yang menerima kebijakan izin.
• START_TIME: Awal rentang waktu. Rentang waktu maksimumnya adalah 7 hari. Nilainya harus berupa waktu saat ini atau waktu yang tidak lebih dari 35 hari yang lalu. Untuk mengetahui informasi tentang format waktu, lihat tanggal dan waktu topik gcloud.
• END_TIME: Opsional. Titik akhir rentang waktu. Rentang waktu maksimumnya adalah 7 hari. Nilainya harus berupa waktu saat ini atau waktu yang tidak lebih dari 35 hari yang lalu. Jika tidak diberikan, waktu berakhir dianggap sebagai waktu saat ini. Untuk informasi tentang format waktu, lihat tanggal waktu topik gcloud.

Jalankan perintah berikut:

gcloud asset get-history \
    --RESOURCE_TYPE=RESOURCE_ID \
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... \
    --content-type=iam-policy \
    --start-time=START_TIME \
    --end-time=END_TIME

gcloud asset get-history `
    --RESOURCE_TYPE=RESOURCE_ID `
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... `
    --content-type=iam-policy `
    --start-time=START_TIME `
    --end-time=END_TIME

gcloud asset get-history ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... ^
    --content-type=iam-policy ^
    --start-time=START_TIME ^
    --end-time=END_TIME