Esamina la cronologia dei criteri di autorizzazione IAM

In questa pagina viene spiegato come rivedere la cronologia delle modifiche apportate al tuo di autorizzazione IAM.

Puoi rivedere le modifiche ai criteri di autorizzazione della risorsa eseguendo una ricerca nel tuo controllo log per le voci contenenti il metodo SetIamPolicy.

Puoi anche esaminare le modifiche ai criteri di autorizzazione con Cloud Asset Inventory.

Visualizza le modifiche ai criteri di autorizzazione con SetIamPolicy

Per visualizzare le modifiche ai criteri di autorizzazione, esamina gli audit log per trovare voci che contengono il metodo SetIamPolicy. Puoi rivedere i log di controllo utilizzando console Google Cloud o gcloud CLI.

Console

  1. Nella console Google Cloud, vai alla pagina Esplora log.

    Vai a Esplora log

  2. Nell'editor delle query, inserisci una delle seguenti query. Queste query cercano nei log di controllo le voci con SetIamPolicy nel campo methodName di protoPayload:

    • Per ottenere i log di tutte le modifiche ai criteri di autorizzazione apportate su una risorsa, utilizza seguente query:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy

    • Per ottenere i log delle modifiche ai criteri di autorizzazione che interessano un utente specifico o account di servizio, utilizza la query seguente:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"

      Fornisci i seguenti valori:

      • RESOURCE_TYPE: il tipo di risorsa che stai l'elenco dei log di controllo. Utilizza uno di questi valori: projects, folders o organizations.
      • RESOURCE_ID: il tuo progetto Google Cloud, cartella o ID organizzazione. Gli ID progetto sono alfanumerici, my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
      • EMAIL_ADDRESS: l'indirizzo email dell'utente o l'account di servizio. Ad esempio: utente-esempio@example.com.

  3. Per eseguire la query, fai clic su Esegui query.

  4. Utilizza il selettore Sequenza temporale per specificare l'intervallo di tempo appropriato per la query. In alternativa, puoi aggiungere un'espressione timestamp direttamente l'editor di query. Per ulteriori informazioni, consulta Visualizzare i log in base all'ora intervallo.

gcloud

La gcloud logging read legge le voci di log.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa che stai l'elenco dei log di controllo. Utilizza il valore projects, folders o organizations.
  • RESOURCE_ID: il tuo account Google Cloud un ID progetto, organizzazione o cartella. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
  • TIME_PERIOD: il periodo di tempo per cui stai elencando i log di controllo. Le voci restituite non sono antecedenti a questo valore. Se il valore non è specificato, il valore predefinito è 1d. Per informazioni sui formati di data e ora, consulta gcloud topic datetimes.
  • RESOURCE_TYPE_SINGULAR: il tipo di risorsa che stai l'elenco dei log di controllo. Utilizza il valore project, folder o organization.

Esegui la persone che seguo :

Linux, macOS o Cloud Shell

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (PowerShell)

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (cmd.exe)

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Visualizza le modifiche ai criteri di autorizzazione con Cloud Asset Inventory

Puoi anche visualizzare le modifiche ai criteri di autorizzazione utilizzando Cloud Asset Inventory nella console Google Cloud o con gcloud CLI.

Console

  1. Nella console Google Cloud, vai alla pagina Asset Inventory.

    Vai ad Asset Inventory

  2. Fai clic sulla scheda Criterio IAM.

  3. Esegui questa query nel campo Filtro:

    Resource : RESOURCE_ID

    Sostituisci RESOURCE_ID con il tuo Google Cloud un ID progetto, cartella o organizzazione. Gli ID progetto sono alfanumerici, my-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.

  4. Per visualizzare la cronologia delle modifiche al criterio di autorizzazione della risorsa, fai clic sull'icona della risorsa, seleziona la scheda Cronologia delle modifiche.

  5. Per confrontare le modifiche al criterio di autorizzazione per la risorsa, seleziona due diversi record con timestamp nel menu Seleziona un record da confrontare.

gcloud

La gcloud asset get-history ottiene la cronologia aggiornata delle norme di autorizzazione su un asset che si sovrappone a un finestra temporale.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa che stai l'elenco dei log di controllo. Utilizza il valore project, folder o organization.
  • RESOURCE_ID: il tuo account Google Cloud un ID progetto, organizzazione o cartella. Gli ID progetto sono stringhe alfanumeriche, my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
  • ASSET_NAME: un elenco separato da virgole di nomi di risorse formattati per le risorse di cui vuoi visualizzare le cronologie dei criteri di autorizzazione. Ad esempio: //cloudresourcemanager.googleapis.com/projects/my-project. Queste risorse possono essere qualsiasi tipo di risorsa che accetta .
  • START_TIME: l'inizio dell'intervallo di tempo. L'intervallo di tempo massimo è 7 giorni. Il valore deve corrispondere all'ora corrente o a un'ora che non superi i 35 giorni nel passato. Per informazioni sui formati di data e ora, consulta gcloud topic datetimes.
  • END_TIME: facoltativo. Il punto finale dell'intervallo di tempo. Il valore massimo è di 7 giorni. Il valore deve corrispondere all'ora corrente o a un'ora non superiore a 35 giorni nel in passato. Se non viene specificata, si presume che l'ora di fine sia quella corrente. Per informazioni sull'orario formati, consulta gcloud data/ora degli argomenti.

Esegui la persone che seguo :

Linux, macOS o Cloud Shell

gcloud asset get-history \
    --RESOURCE_TYPE=RESOURCE_ID \
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... \
    --content-type=iam-policy \
    --start-time=START_TIME \
    --end-time=END_TIME

Windows (PowerShell)

gcloud asset get-history `
    --RESOURCE_TYPE=RESOURCE_ID `
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... `
    --content-type=iam-policy `
    --start-time=START_TIME `
    --end-time=END_TIME

Windows (cmd.exe)

gcloud asset get-history ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... ^
    --content-type=iam-policy ^
    --start-time=START_TIME ^
    --end-time=END_TIME