IAM 허용 정책 기록 검토

콘솔

1. Google Cloud 콘솔에서 로그 탐색기 페이지로 이동합니다.

   로그 탐색기로 이동

2. 쿼리 편집기에서 다음 쿼리 중 하나를 입력합니다. 이러한 쿼리는 감사 로그에서 protoPayload의 methodName 필드에 SetIamPolicy가 있는 항목을 검색합니다.

   • 리소스에 수행된 모든 허용 정책 변경사항 로그를 가져오려면 다음 쿼리를 사용합니다.

     logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
     protoPayload.methodName:SetIamPolicy
     

   • 특정 사용자 또는 서비스 계정과 관련된 허용 정책 변경사항 로그를 가져오려면 다음 쿼리를 사용합니다.

     logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
     protoPayload.methodName:SetIamPolicy
     protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"
     

     다음 값을 제공합니다.

     • RESOURCE_TYPE: 감사 로그를 나열하는 리소스 유형입니다. projects, folders, organizations 값 중 하나를 사용합니다.
     • RESOURCE_ID: Google Cloud 프로젝트, 폴더 또는 조직 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
     • EMAIL_ADDRESS: 사용자 또는 서비스 계정의 이메일 주소입니다. 예를 들면 example-service-account@example-project.iam.gserviceaccount.com입니다.

3. 쿼리를 실행하기 위해 쿼리 실행을 클릭합니다.

4. 타임라인 선택기를 사용하여 쿼리의 적합한 시간 범위를 지정합니다. 또는 타임스탬프 표현식을 쿼리 편집기에 직접 추가할 수 있습니다. 자세한 내용은 시간 범위별 로그 보기를 참조하세요.

gcloud

gcloud logging read 명령어는 로그 항목을 읽습니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

• RESOURCE_TYPE: 감사 로그를 나열하는 리소스 유형입니다. projects, folders, organizations 값을 사용합니다.
• RESOURCE_ID: Google Cloud 프로젝트, 조직, 폴더 ID입니다. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
• TIME_PERIOD: 감사 로그를 나열하는 기간입니다. 이 값보다 오래된 항목은 반환되지 않습니다. 지정하지 않을 경우 기본값은 1d입니다. 시간 형식에 대한 자세한 내용은 gcloud topic datetimes를 참조하세요.
• RESOURCE_TYPE_SINGULAR: 감사 로그를 나열하는 리소스 유형입니다. project, folder, organization 값을 사용합니다.

다음 명령어를 실행합니다.

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

콘솔

1. Google Cloud 콘솔에서 애셋 인벤토리 페이지로 이동합니다.

   애셋 인벤토리로 이동

2. IAM 정책 탭을 클릭합니다.

3. 필터 필드에서 다음 쿼리를 실행합니다.

   Resource : RESOURCE_ID

   RESOURCE_ID를 Google Cloud 프로젝트, 폴더, 조직 ID로 바꿉니다. 프로젝트 ID는 my-project와 같은 영숫자입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.

4. 리소스 허용 정책의 변경 기록을 보려면 리소스 이름을 클릭한 후 변경 기록 탭을 선택합니다.

5. 리소스의 허용 정책에 대한 변경사항을 비교하려면 비교할 레코드 선택 메뉴에서 두 가지 서로 다른 타임스탬프 레코드를 선택합니다.

gcloud

gcloud asset get-history 명령어는 어느 한 애셋에서 특정 기간과 겹치는 허용 정책의 업데이트된 기록을 가져옵니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

• RESOURCE_TYPE: 감사 로그를 나열하는 리소스 유형입니다. project, folder, organization 값을 사용합니다.
• RESOURCE_ID: Google Cloud 프로젝트, 조직, 폴더 ID입니다. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
• ASSET_NAME: 허용 정책 기록을 확인하려는 리소스에 대해 쉼표로 구분된 형식 지정된 리소스 이름 목록입니다. 예를 들면 //cloudresourcemanager.googleapis.com/projects/my-project입니다. 이러한 리소스는 허용 정책을 수락하는 모든 리소스 유형일 수 있습니다.
• START_TIME: 기간의 시작 지점입니다. 최대 기간은 7일입니다. 값은 현재 시간 또는 35일 이내의 과거 시간이어야 합니다. 시간 형식에 대한 자세한 내용은 gcloud topic datetimes를 참조하세요.
• END_TIME: 선택사항. 기간의 종료 지점입니다. 최대 기간은 7일입니다. 값은 현재 시간 또는 35일 이내의 과거 시간이어야 합니다. 제공하지 않으면 종료 시간이 현재 시간으로 간주됩니다. 시간 형식에 대한 자세한 내용은 gcloud topic datetimes를 참조하세요.

다음 명령어를 실행합니다.

gcloud asset get-history \
    --RESOURCE_TYPE=RESOURCE_ID \
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... \
    --content-type=iam-policy \
    --start-time=START_TIME \
    --end-time=END_TIME

gcloud asset get-history `
    --RESOURCE_TYPE=RESOURCE_ID `
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... `
    --content-type=iam-policy `
    --start-time=START_TIME `
    --end-time=END_TIME

gcloud asset get-history ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... ^
    --content-type=iam-policy ^
    --start-time=START_TIME ^
    --end-time=END_TIME