Reveja o histórico da política de autorização da IAM

Esta página explica como rever o histórico de alterações às suas políticas de autorização do IAM.

Pode rever as alterações às políticas de autorização do seu recurso pesquisando nos registos de auditoria entradas que contenham o método SetIamPolicy.

Também pode rever as alterações à política de autorização com o Cloud Asset Inventory.

Veja alterações à política de permissão com SetIamPolicy

Pode ver as alterações à política de autorização revendo os registos de auditoria para entradas que contenham o método SetIamPolicy. Pode rever os seus registos de auditoria através da Google Cloud consola ou da CLI gcloud.

Consola

  1. Na Google Cloud consola, aceda à página Explorador de registos.

    Aceda ao Explorador de registos

  2. No editor de consultas, introduza uma das seguintes consultas. Estas consultas pesquisam nos seus registos de auditoria entradas que tenham SetIamPolicy no campo methodName do protoPayload:

    • Para obter os registos de todas as alterações à política de autorização feitas num recurso, use a seguinte consulta:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy

    • Para obter os registos de alterações à política de autorização que envolvem um utilizador específico ou uma conta de serviço, use a seguinte consulta:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"

      Indique os seguintes valores:

      • RESOURCE_TYPE: o tipo de recurso para o qual está a listar os registos de auditoria. Use um destes valores: projects, folders ou organizations.
      • RESOURCE_ID: o ID do Google Cloud projeto, da pasta ou da organização. Os IDs dos projetos são alfanuméricos, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
      • EMAIL_ADDRESS: o endereço de email do utilizador ou da conta de serviço. Por exemplo, example-service-account@example-project.iam.gserviceaccount.com.

  3. Para executar a consulta, clique em Executar consulta.

  4. Use o seletor da Linha cronológica para especificar o intervalo de tempo adequado para a consulta. Em alternativa, pode adicionar uma expressão de indicação de tempo diretamente ao editor de consultas. Para mais informações, consulte o artigo Veja registos por intervalo de tempo.

gcloud

O comando gcloud logging read lê entradas do registo.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • RESOURCE_TYPE: o tipo de recurso para o qual está a listar os registos de auditoria. Use o valor projects, folders ou organizations.
  • RESOURCE_ID: o ID do Google Cloud projeto, da organização ou da pasta. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
  • TIME_PERIOD: o período para o qual está a listar os registos de auditoria. As entradas devolvidas não são mais antigas do que este valor. Se não for especificado, o valor predefinido é 1d. Para informações sobre formatos de hora, consulte gcloud topic datetimes.
  • RESOURCE_TYPE_SINGULAR: o tipo de recurso para o qual está a listar os registos de auditoria. Use o valor project, folder ou organization.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (PowerShell)

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (cmd.exe)

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Veja as alterações à política de permissão com o Cloud Asset Inventory

Também pode ver as alterações à política de autorização através do Cloud Asset Inventory na Google Cloud consola ou na CLI gcloud.

Consola

  1. Na Google Cloud consola, aceda à página Inventário de recursos.

    Aceda ao inventário de recursos

  2. Clique no separador Política de IAM.

  3. Execute a seguinte consulta no campo Filtro:

    Resource : RESOURCE_ID

    Substitua RESOURCE_ID pelo ID do Google Cloud projeto, da pasta ou da organização. Os IDs dos projetos são alfanuméricos, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

  4. Para ver o histórico de alterações da política de autorização do recurso, clique no nome do recurso e, de seguida, selecione o separador Histórico de alterações.

  5. Para comparar as alterações à política de autorização do recurso, selecione dois registos com indicação de data/hora diferentes no menu Selecionar um registo para comparar.

gcloud

O comando gcloud asset get-history obtém o histórico atualizado das políticas de autorização num recurso que se sobrepõe a um intervalo de tempo.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • RESOURCE_TYPE: o tipo de recurso para o qual está a listar os registos de auditoria. Use o valor project, folder ou organization.
  • RESOURCE_ID: o ID do Google Cloud projeto, da organização ou da pasta. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
  • ASSET_NAME: uma lista separada por vírgulas de nomes de recursos formatados para os recursos cujos históricos de políticas de permissão quer ver. Por exemplo, //cloudresourcemanager.googleapis.com/projects/my-project. Estes recursos podem ser qualquer um dos tipos de recursos que aceitam políticas de permissão.
  • START_TIME: o início do intervalo de tempo. O intervalo de tempo máximo é de 7 dias. O valor tem de ser a hora atual ou uma hora que não seja superior a 35 dias no passado. Para informações sobre formatos de hora, consulte gcloud topic datetimes.
  • END_TIME: opcional. O ponto final do intervalo de tempo. O intervalo de tempo máximo é de 7 dias. O valor tem de ser a hora atual ou uma hora que não seja superior a 35 dias no passado. Quando não é fornecida, a hora de fim é considerada a hora atual. Para informações sobre formatos de hora, consulte o artigo gcloud topic datetimes.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset get-history \
    --RESOURCE_TYPE=RESOURCE_ID \
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... \
    --content-type=iam-policy \
    --start-time=START_TIME \
    --end-time=END_TIME

Windows (PowerShell)

gcloud asset get-history `
    --RESOURCE_TYPE=RESOURCE_ID `
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... `
    --content-type=iam-policy `
    --start-time=START_TIME `
    --end-time=END_TIME

Windows (cmd.exe)

gcloud asset get-history ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... ^
    --content-type=iam-policy ^
    --start-time=START_TIME ^
    --end-time=END_TIME