Datenzugriffslogs konfigurieren

In dieser Anleitung wird erläutert, wie Sie in Ihrem Projekt oder Ihrer Organisation Aspekte von Audit-Logs für den Datenzugriff aktivieren und konfigurieren können. Allgemeine Informationen zu Audit-Logs finden Sie im Abschnitt zum Cloud-Audit-Logging.

Audit-Logs zur Administratoraktivität sind für alle Google Cloud-Dienste aktiviert und können nicht konfiguriert werden.

Konfigurationsübersicht

Audit-Logs für den Datenzugriff sind – außer für BigQuery – standardmäßig deaktiviert. Sie können bestimmte Aspekte von Audit-Logs für den Datenzugriff aktivieren und konfigurieren.

Organisationen: Sie können Audit-Logs für den Datenzugriff in einer Organisation aktivieren und konfigurieren. Dies gilt für alle vorhandenen und neuen Projekte und Ordner in der Organisation.
Ordner: Sie können Audit-Logs für den Datenzugriff in einem Ordner aktivieren und konfigurieren. Dies gilt für alle vorhandenen und neuen Projekte in dem Ordner. Ein Audit-Log für den Datenzugriff, das in der Organisation des Projekts aktiviert wurde, kann jedoch nicht deaktiviert werden.
Projekte: Sie können Audit-Logs für den Datenzugriff für ein einzelnes Projekt konfigurieren. Ein Audit-Log für den Datenzugriff, das in der Organisation oder dem Ordner des Projekts aktiviert wurde, kann jedoch nicht deaktiviert werden.
Standardkonfigurationen: Sie können eine Standardkonfiguration für den Datenzugriffs-Audit-Log in einer Organisation, einem Ordner oder Projekt festlegen, die für zukünftige Google Cloud-Dienste gilt, die Datenzugriffs-Audit-Logs erstellen.
Dienste: Sie können angeben, für welche Dienste Sie Audit-Logs erhalten möchten. Sie möchten beispielsweise Audit-Logs von Compute Engine, aber nicht von Cloud SQL erhalten. Eine Liste der Google Cloud-Dienste, die Audit-Logs generieren können, finden Sie unter Google-Dienste mit Audit-Logs.
Informationsarten: Sie können steuern, welche Arten von Informationen die Audit-Logs enthalten. Für den Datenzugriff stehen Ihnen drei Arten von Audit-Loginformationen zur Verfügung:
- ADMIN_READ: Zeichnet Vorgänge auf, die Metadaten oder Konfigurationsinformationen lesen.
  
  In Audit-Logs für Administratoraktivitäten werden Schreibvorgänge für Metadaten und Konfigurationsinformationen aufgezeichnet. Sie können nicht deaktiviert werden.
- DATA_READ: Zeichnet Vorgänge auf, die von Nutzern bereitgestellte Daten lesen.
- DATA_WRITE: Zeichnet Vorgänge auf, die von Nutzern bereitgestellte Daten schreiben.
Sie können beispielsweise nur Logs für Vorgänge zum Schreiben von Daten (DATA_WRITE) erstellen, während aus Cloud DNS Logs für alle drei Arten von Informationen generiert werden.
Ausgenommene Nutzer: Sie können festlegen, dass die Datenzugriffe bestimmter Nutzer oder Gruppen nicht aufgezeichnet werden. Beispielsweise haben Sie die Möglichkeit, die Aufzeichnung der Cloud Debugger-Vorgänge für Ihre internen Testkonten auszuschließen.

Sie können Audit-Logs für den Datenzugriff mit der Logging-Konsole oder der API konfigurieren. Diese Methoden werden in den folgenden Abschnitten erläutert.

Dienstspezifische Konfigurationen

Wenn sowohl eine Google Cloud-Dienst-weite Konfiguration (allServices) als auch eine Konfiguration für einen bestimmten Google Cloud-Dienst vorhanden ist, ist die resultierende Konfiguration für den Dienst die Vereinigung der beiden Konfigurationen. Dies bedeutet:

Sie können Datenzugriffs-Audit-Logs für bestimmte Google Cloud-Dienste aktivieren, aber nicht Datenzugriffs-Audit-Logs für Google Cloud-Dienste deaktivieren, die in der allgemeineren Konfiguration aktiviert sind.
Sie können dem Datenzugriffs-Audit-Log des Google Cloud-Dienstes zusätzliche Informationen hinzufügen. Sie können jedoch keine Informationen entfernen, die in der allgemeinen Konfiguration angegeben sind.
Sie können Nutzer zu Ausnahmelisten hinzufügen, aber Sie können keine Nutzer aus den Ausnahmelisten der umfassenderen Konfiguration entfernen.

Konfigurationen für Organisationen, Ordner und Projekte

Sie haben die Möglichkeit, Audit-Logs für den Datenzugriff für Organisationen, Ordner und Projekte zu konfigurieren. Wenn eine Konfiguration für einen Google Cloud-Dienst in der Hierarchie vorhanden ist, ist die resultierende Konfiguration die Vereinigung der Konfigurationen. Das bedeutet auf Projektebene:

Sie können Logs für einen Google Cloud-Dienst aktivieren, aber Sie können Logs für einen Google Cloud-Dienst, der im Ordner oder in der Organisation aktiviert ist, nicht deaktivieren.
Sie können Informationsarten aktivieren, aber keine in der Organisation oder im Ordner aktivierten Informationsarten deaktivieren.
Sie können Nutzer zu Ausnahmelisten hinzufügen, aber keine Nutzer entfernen, die in den Ausnahmelisten der Organisation oder des Ordners enthalten sind.
Auf Organisations- oder Ordnerebene können Sie Audit-Logs für den Datenzugriff für ein Projekt in dieser Organisation oder diesem Ordner aktivieren, selbst wenn in dem Projekt keine Audit-Logs für den Datenzugriff konfiguriert wurden.

Zugriffsteuerung

Zum Konfigurieren von Audit-Logs für den Datenzugriff benötigen Sie die folgenden IAM-Rollen: roles/resourcemanager.organizationAdmin bei Konfiguration auf Organisationsebene, roles/resourcemanager.folderAdmin bei Konfiguration auf Ordnerebene und roles/owner bei Konfiguration auf Projektebene.

Datenzugriffslogs mit der Cloud Console konfigurieren

In diesem Abschnitt wird erläutert, wie Sie Datenzugriffs-Audit-Logs mithilfe der Cloud Console konfigurieren.

Mit der API oder Cloud SDK können Sie diese Aufgaben auch programmgesteuert ausführen. Details hierzu finden Sie im Abschnitt Datenzugriffslogs mit der API konfigurieren.

So rufen Sie die Konfigurationsoptionen für Audit-Logs in der Cloud Console auf:

Wählen Sie in der Cloud Console IAM & Admin > Audit-Logs aus dem oberen linken Dreipunkt-Menü aus.

Zur Seite "Audit-Logs"
Wählen Sie oben auf der Seite ein Google Cloud-Projekt, einen Ordner oder eine Organisation aus.

Audit-Logs aktivieren

Die folgenden Schritte zeigen, wie Sie Datenzugriffslogs aktivieren können:

Wählen Sie in der Haupttabelle auf der Seite Audit-Logs einen oder mehrere Google Cloud-Dienste aus. Klicken Sie dazu in der Spalte Titel auf das Feld links neben einem Dienstnamen.
Wählen Sie auf dem Tab Logtyp im Informationsfenster rechts neben der Tabelle die Kästchen für die Audit-Logtypen für die Datenzugriffslogs aus, die Sie aktivieren möchten, und klicken Sie dann auf Speichern.
Wenn die Audit-Logs aktiviert wurden, enthält die Tabelle ein Häkchen. Im folgenden Beispiel sehen Sie, dass für den Dienst Cloud Composer API die Audit-Logs Admin Read (Administratorlesevorgang) und Data Read (Daten lesen) aktiviert sind:

Sie können auch Audit-Logs für alle Google Cloud-Dienste aktivieren, die Datenzugriffs-Audit-Logs erstellen. Wählen Sie in der Haupttabelle auf der Seite Audit-Logs alle Google Cloud-Dienste aus. Klicken Sie hierfür auf das Kästchen links neben Titel.

Diese "Bulk"-Konfigurationsmethode gilt nur für die Google Cloud-Dienste, die derzeit verfügbar sind. Wenn ein neuer Google Cloud-Dienst hinzugefügt wird, übernimmt dieser die Audit-Standardkonfiguration.

Audit-Logs deaktivieren

Die folgenden Schritte zeigen, wie Sie Datenzugriffslogs deaktivieren können:

Wählen Sie in der Haupttabelle auf der Seite Audit-Logs einen oder mehrere Google Cloud-Dienste aus. Klicken Sie dazu in der Spalte Titel auf das Feld links neben einem Dienstnamen.
Wählen Sie auf dem Tab Logtyp im Informationsfenster rechts neben der Tabelle die Kästchen für die Audit-Logtypen für die Datenzugriffslogs aus, die Sie deaktivieren möchten, und klicken Sie dann auf Speichern.
Wenn die Audit-Logs deaktiviert wurden, wird dies in der Tabelle durch einen grauen Strich angezeigt. Alle aktivierten Audit-Logs sind mit einem grünen Häkchen gekennzeichnet.

Nutzerausnahmen festlegen

Mit Ausnahmen können Sie steuern, welche Nutzer Audit-Logs erstellen können. Wenn Sie einen ausgenommenen Nutzer hinzufügen, werden für diesen Nutzer keine Audit-Logs für die ausgewählten Logtypen erstellt. Beachten Sie, dass Logs für Administratoraktivitäten unabhängig vom Ausnahmestatus immer generiert werden.

Mit den folgenden Schritten können Sie Ausnahmen festlegen:

Wählen Sie in der Haupttabelle auf der Konfigurationsseite Audit-Logs einen oder mehrere Google Cloud-Dienste aus. Klicken Sie dazu in der Spalte Titel auf das Feld links neben einem Dienstnamen.
Wählen Sie im Informationsfenster rechts neben der Tabelle den Tab Ausgenommene Nutzer aus. Geben Sie unter Ausgenommenen Nutzer hinzufügen die E-Mail-Adresse des Nutzers ein, den Sie auf die Ausnahmeliste der ausgewählten Dienste setzen möchten. Über die Schaltfläche Ausgenommenen Nutzer hinzufügen können Sie beliebig viele Nutzer hinzufügen.
Wählen Sie unter der E-Mail-Adresse die Kästchen neben den Audit-Logtypen für den Datenzugriff aus, die für den Nutzer deaktiviert werden sollen, und klicken Sie dann auf Speichern.
In der Tabelle wird in der Spalte Ausnahmen die Anzahl der ausgenommenen Nutzer angezeigt.

So entfernen Sie einen Nutzer aus der Ausnahmeliste:

Wählen Sie im Informationsfenster den Tab Ausgenommene Nutzer aus.
Bewegen Sie den Mauszeiger auf einen Nutzernamen und wählen Sie das angezeigte Papierkorbsymbol aus.
Wenn der Name des Nutzers durchgestrichen angezeigt wird, klicken Sie auf Speichern.

So bearbeiten Sie die Informationen für einen ausgenommenen Nutzer:

Wählen Sie im Informationsfenster den Tab Ausgenommene Nutzer aus.
Klicken Sie auf den Erweiterungspfeil rechts neben dem Nutzernamen.
Aktivieren bzw. deaktivieren Sie die gewünschten Audit-Logtypen für den Nutzer und klicken Sie dann auf Speichern.

Standardkonfiguration festlegen

Sie können eine Konfiguration festlegen, die alle neuen und vorhandenen Google Cloud-Dienste in Ihrem Projekt, Ordner oder Ihrer Organisation übernehmen. Die Festlegung dieser Standardkonfiguration gilt, wenn ein neuer Google Cloud-Dienst verfügbar wird, den Nutzer in Ihrer Organisation verwenden: Der Dienst übernimmt die Audit-Logging-Richtlinie, die Sie bereits für andere Google Cloud-Dienste festgelegt haben und sorgt dafür, dass Datenzugriffs-Audit-Logs beinhaltet sind.

Klicken Sie oben auf der Seite auf Standardkonfiguration festlegen.
Wählen Sie im Tab Logtyp die Kästchen für die Audit-Logtypen für Datenzugriffe aus, die Sie aktivieren oder deaktivieren möchten, und klicken Sie dann auf Speichern.
Geben Sie im Tab Ausgenommene Nutzer die E-Mail-Adressen der Nutzer ein, die Sie auf die Ausnahmeliste setzen möchten, und klicken Sie dann auf Speichern. Folgen Sie den Schritten im obigen Abschnitt Nutzerausnahmen festlegen.

Datenzugriffslogs mit der API konfigurieren

In diesem Abschnitt wird erläutert, wie Sie Audit-Logs für den Datenzugriff mit der API und der Befehlszeile des Cloud SDK programmgesteuert konfigurieren können.

Viele dieser Aufgaben können auch mithilfe der Cloud Console ausgeführt werden. Weitere Informationen dazu finden Sie unter Datenzugriffslogs mit der Cloud Console konfigurieren.

IAM-Richtlinienobjekte

Damit Sie mit der API Audit-Logs für den Datenzugriff konfigurieren können, müssen Sie die Ihrem Projekt, Ordner oder Ihrer Organisation zugeordnete IAM-Richtlinie bearbeiten. Die Konfiguration des Audit-Logs befindet sich im Abschnitt auditConfigs der Richtlinie:

"auditConfigs": [
  {
    object(AuditConfig)
  }
]

Weitere Informationen finden Sie unter IAM-Richtlinientyp.

In den folgenden Abschnitten wird das AuditConfig-Objekt genauer beschrieben. Die API- und Cloud SDK-Befehle zum Ändern der Konfiguration finden Sie im Abschnitt getIamPolicy und setIamPolicy.

AuditConfig-Objekte

Die Audit-Logkonfiguration besteht aus einer Liste mit AuditConfig-Objekten. Mit jedem Objekt werden die Logs für einen Dienst konfiguriert. Sie können mit einem Objekt aber auch eine umfassendere Konfiguration für alle Dienste festlegen. Die Objekte sehen wie folgt aus:

{
  "service": [SERVICE],
  "auditLogConfigs": [
    {
      "logType": "ADMIN_READ"
      "exemptedMembers": [ [MEMBER],]
    },
    {
      "logType": "DATA_READ"
      "exemptedMembers": [ [MEMBER],]
    },
    {
      "logType": "DATA_WRITE"
      "exemptedMembers": [ [MEMBER],]
    },
  ]
},

[SERVICE] ist ein Dienstname (zum Beispiel "appengine.googleapis.com") oder der spezielle Wert "allServices". Wenn ein bestimmter Dienst in einer Konfiguration nicht angegeben ist, wird für diesen Dienst die umfassendere Konfiguration verwendet. Falls keine Konfiguration vorhanden ist, werden für den betreffenden Dienst keine Datenzugriffslogs aktiviert. Eine Liste der Dienstnamen finden Sie unter Logdienste.

Der auditLogConfigs-Abschnitt des AuditConfig-Objekts ist eine Liste von 0 bis 3 Objekten, von denen jedes eine Art von Audit-Loginformationen konfiguriert. Wenn Sie eine der Arten in der Liste weglassen, wird diese Art von Informationen nicht für den Dienst aktiviert.

[MEMBER] ist ein Nutzer, für dessen Datenzugriffe keine Audit-Logs erfasst werden. Sie können einzelne Nutzer, Gruppen oder Dienstkonten angeben. Der Bindungstyp beschreibt verschiedene Arten von Mitgliedern, die jedoch nicht alle zum Konfigurieren von Audit-Logs für Datenzugriffe verwendet werden können.

Das folgende Beispiel zeigt eine Audit-Logkonfiguration im JSON- und im YAML-Format. Für Cloud SDK-Befehle wird standardmäßig das YAML-Format verwendet.

JSON

"auditConfigs": [
  {
    "auditLogConfigs": [
      {
        "logType": "ADMIN_READ"
      },
      {
        "logType": "DATA_WRITE"
      },
      {
        "logType": "DATA_READ"
      }
    ],
    "service": "allServices"
  },
  {
    "auditLogConfigs": [
      {
        "exemptedMembers": [
          "499862534253-compute@developer.gserviceaccount.com"
        ],
        "logType": "ADMIN_READ"
      }
    ],
    "service": "cloudsql.googleapis.com"
  }
],

YAML

auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices
- auditLogConfigs:
  - exemptedMembers:
    - 499862534253-compute@developer.gserviceaccount.com
    logType: ADMIN_READ
  service: cloudsql.googleapis.com

Häufig verwendete Konfigurationen

Nachfolgend werden verschiedene allgemeine Audit-Logkonfigurationen für Projekte gezeigt.

Diese Konfigurationen berücksichtigen keine Audit-Logkonfiguration in der Organisation oder im Ordner des Projekts. Weitere Informationen finden Sie im Abschnitt zu Organisations- und Projektkonfigurationen.

Alle Zugriffslogs aktivieren

Mit dem folgenden Abschnitt auditConfigs aktivieren Sie Datenzugriffslogs für alle Dienste und Nutzer:

JSON

"auditConfigs": [
      {
        "service": "allServices",
        "auditLogConfigs": [
          { "logType": "ADMIN_READ" },
          { "logType": "DATA_READ"  },
          { "logType": "DATA_WRITE" },
        ]
      },
    ]

YAML

auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices

Einen Dienst und eine Informationsart aktivieren

Mit der folgenden Konfiguration werden Audit-Logs für den Datenzugriff für Cloud SQL aktiviert. In den Logs werden nur die Schreibvorgänge für benutzerdefinierte Daten aufgezeichnet:

JSON

"auditConfigs": [
  {
    "service": "cloudsql.googleapis.com",
    "auditLogConfigs": [
      { "logType": "DATA_WRITE" },
    ]
  },
]

YAML

auditConfigs:
- auditLogConfigs:
  - logType: DATA_WRITE
  service: cloudsql.googleapis.com

Alle Logs deaktivieren

Wenn Sie innerhalb eines Projekts alle Audit-Logs für den Datenzugriff – außer für BigQuery – deaktivieren möchten, fügen Sie in die neue IAM-Richtlinie einen leeren Abschnitt auditConfigs: ein:

JSON

"auditConfigs": [],

YAML

auditConfigs:

Wenn Sie den Abschnitt auditConfigs vollständig aus der neuen Richtlinie entfernen, wird die vorhandene Konfiguration der Audit-Logs für den Datenzugriff von setIamPolicy nicht geändert. Weitere Informationen finden Sie im Abschnitt Aktualisierungsmaske "setIamPolicy".

Für BigQuery können Audit-Logs für den Datenzugriff nicht deaktiviert werden.

getIamPolicy und setIamPolicy

Verwenden Sie zum Lesen und Schreiben der IAM-Richtlinie die Cloud Resource Manager-Methoden getIamPolicy und setIamPolicy. Sie können aus mehreren Methoden wählen:

Die Cloud Resource Manager API bietet folgende Methoden:

projects.getIamPolicy
projects.setIamPolicy
organizations.getIamPolicy
organizations.setIamPolicy

Das Cloud SDK bietet folgende Cloud Resource Manager-Befehle:

gcloud projects get-iam-policy
gcloud projects set-iam-policy
gcloud organizations get-iam-policy
gcloud organizations set-iam-policy

Führen Sie ungeachtet Ihrer Wahl die folgenden drei Schritte aus:

Lesen Sie die aktuelle Richtlinie mit einer getIamPolicy-Methode. Speichern Sie die Richtlinie in einer temporären Datei.
Bearbeiten Sie die Richtlinie in der temporären Datei. Ändern Sie nur den Abschnitt auditConfigs bzw. fügen Sie diesen hinzu.
Schreiben Sie die bearbeitete Richtlinie mit einer setIamPolicy-Methode in die temporäre Datei.

Wenn von Cloud Resource Manager festgestellt wird, dass die Richtlinie von einem anderen Nutzer geändert wurde, nachdem Sie sie im ersten Schritt gelesen haben, schlägt setIamPolicy fehl. Wiederholen Sie in diesem Fall die drei Schritte.

Beispiele

Die folgenden Beispiele zeigen, wie Sie die Datenzugriffs-Audit-Logs Ihres Projekts mit dem Befehl gcloud und der Cloud Resource Manager API konfigurieren.

Damit Sie Audit-Logs für den Datenzugriff für die Organisation konfigurieren können, ersetzen Sie die Projektversion der Befehle und API-Methoden durch die Organisationsversion.

Cloud SDK

So konfigurieren Sie mit dem Befehl gcloud projects Audit-Logs für den Datenzugriff:

Lesen Sie die IAM-Richtlinie des Projekts und speichern Sie sie in einer Datei:

gcloud projects get-iam-policy [PROJECT_ID] > /tmp/policy.yaml

Unten sehen Sie die zurückgegebene Richtlinie. Diese Richtlinie enthält noch nicht den Abschnitt auditConfigs:

bindings:
- members:
  - user:colleague@example.com
  role: roles/editor
- members:
  - user:myself@example.com
  role: roles/owner
etag: BwVM-FDzeYM=
version: 1

Bearbeiten Sie die Richtlinie in /tmp/policy.yaml wobei Sie nur die Konfiguration der Audit-Logs für den Datenzugriff hinzufügen oder ändern.

Achtung: Sie müssen die Abschnitte bindings: und etag: unverändert beibehalten. Andernfalls kann das Projekt möglicherweise nicht mehr verwendet werden. Weitere Informationen finden Sie weiter unten im Abschnitt Aktualisierungsmaske "setIamPolicy".

Nachstehend sehen Sie ein Beispiel für die bearbeitete Richtlinie, mit der Audit-Logs für Schreibvorgänge bei Datenzugriffen in Cloud SQL aktiviert werden. Am Anfang wurden vier Zeilen hinzugefügt:
```
auditConfigs:
- auditLogConfigs:
  - logType: DATA_WRITE
  service: cloudsql.googleapis.com
bindings:
- members:
  - user:colleague@example.com
  role: roles/editor
- members:
  - user:myself@example.com
  role: roles/owner
etag: BwVM-FDzeYM=
version: 1
```
Schreiben Sie die neue IAM-Richtlinie:
```
gcloud projects set-iam-policy [PROJECT_ID] /tmp/policy.yaml
```
Wenn durch den vorangegangenen Befehl ein Konflikt mit einer anderen Änderung gemeldet wird, wiederholen Sie diese Schritte ab Punkt 1.

JSON

Um mit Ihrer IAM-Richtlinie im JSON-Format anstelle von YAML zu arbeiten, ersetzen Sie die folgenden gcloud-Befehle im Beispiel:

gcloud projects get-iam-policy [PROJECT_ID] --format=json >/tmp/policy.json
gcloud projects set-iam-policy [PROJECT_ID] /tmp/policy.json

API

So konfigurieren Sie Audit-Logs für den Datenzugriff mit der Cloud Resource Manager API:

Lesen Sie die IAM-Richtlinie des Projekts und legen Sie für die API-Methode "getIamPolicy" die folgenden Parameter fest:
- Ressource: projects/[PROJECT_ID]
- Anfragetext: leer
Die Methode gibt wie unten dargestellt das aktuelle Richtlinienobjekt zurück. Die Richtlinie für dieses Projekt hat noch keinen Abschnitt auditConfigs:
```
{
  "bindings": [
  {
    "members": [
      "user:colleague@example.com"
    ],
    "role": "roles/editor"
  },
  {
    "members": [
      "user:myself@example.com"
    ],
    "role": "roles/owner"
  }
],
"etag": "BwUsv2gimRs=",
"version": 1
```
}
Bearbeiten Sie die aktuelle Richtlinie:
- Ändern oder fügen Sie den Abschnitt auditConfigs hinzu.
  
  Wenn Sie die Datenzugriffs-Audit-Logs deaktivieren möchten, fügen Sie einen leeren Wert für den Abschnitt auditConfigs:[] ein.
- Behalten Sie den Wert von etag bei.
Wenn Sie möchten, können Sie alle anderen Informationen aus dem neuen Richtlinienobjekt entfernen, solange Sie im nächsten Schritt updateMask festlegen. Nachstehend sehen Sie die bearbeitete Richtlinie, mit der Audit-Logs für Schreibvorgänge bei Datenzugriffen in Cloud SQL aktiviert werden:
```
{
  "auditConfigs": [
    {
      "auditLogConfigs": [
        {
          "logType": "DATA_WRITE"
        }
      ],
      "service": "cloudsql.googleapis.com"
    }
  ],
  "etag": "BwVM-FDzeYM="
}
```
Schreiben Sie die neue Richtlinie mit der API-Methode "setIamPolicy". Geben Sie dabei die folgenden Parameter an:
- Ressource: projects/[PROJECT_ID]
- Anfragetext:
  - Aktualisierungsmaske: "auditConfigs,etag"
  - Richtlinie: das bearbeitete Richtlinienobjekt

Aktualisierungsmaske "setIamPolicy"

In diesem Abschnitt wird erläutert, wie wichtig der updateMask-Parameter in der setIamPolicy-Methode ist, und warum Sie vorsichtig mit dem set-iam-policy-Befehl des SDK sein müssen, damit Ihr Projekt oder Ihre Organisation nicht versehentlich beschädigt wird.

Bei der API-Methode "setIamPolicy" legt der Parameter updateMask fest, welche Richtlinienfelder aktualisiert werden. Wenn die Maske beispielsweise nicht bindings enthält, können Sie diesen Richtlinienabschnitt nicht versehentlich ändern. Enthält die Maske jedoch einen Wert für bindings, so wird dieser Abschnitt immer aktualisiert. Wenn Sie keinen aktualisierten Wert für bindings angeben, wird dieser Abschnitt vollständig aus der Richtlinie entfernt.

Sie können mit dem Befehl gcloud projects set-iam-policy, der zum Aufrufen von setIamPolicy dient, den Parameter updateMask nicht festlegen. Stattdessen wird mit dem Befehl ein Wert für updateMask folgendermaßen berechnet:

updateMask enthält immer die Felder bindings und etag.
Wenn das in set-iam-policy angegebene Richtlinienobjekt andere Felder der obersten Ebene wie auditConfigs enthält, werden diese Felder zu updateMask hinzugefügt.

Der Befehl set-iam-policy verhält sich aufgrund dieser Regeln so:

Wenn Sie den Abschnitt auditConfigs in der neuen Richtlinie weglassen, bleibt der vorherige Wert des Abschnitts auditConfigs (falls vorhanden) erhalten, da dieser Abschnitt nicht Teil der Aktualisierungsmaske ist. Dies hat keine Auswirkung, kann aber verwirrend sein.
Wenn Sie bindings im neuen Richtlinienobjekt weglassen, wird der Abschnitt bindings aus der Richtlinie entfernt, da dieser Abschnitt in der Aktualisierungsmaske enthalten ist. Dies ist sehr schädlich und führt dazu, dass alle Nutzer den Zugriff auf Ihr Projekt verlieren.
Wenn Sie etag im neuen Richtlinienobjekt weglassen, wird die Richtlinie nicht mehr auf gleichzeitig vorgenommene Änderungen überprüft und Ihre Änderungen überschreiben möglicherweise die Änderungen eines anderen Nutzers.