Configurazione degli audit log di accesso ai dati

Questa guida spiega come abilitare o disabilitare alcuni o tutti i log di controllo dell'accesso ai dati nei tuoi progetti Cloud, negli account di fatturazione, nelle cartelle e nelle organizzazioni utilizzando Google Cloud Console o l'API.

Prima di iniziare

Prima di procedere con la configurazione dei log di controllo di accesso ai dati, è necessario comprendere le seguenti informazioni:

  • Gli audit log di accesso ai dati, tranne BigQuery, sono disabilitati per impostazione predefinita. Se vuoi che gli audit log di accesso ai dati vengano scritti per i servizi Google Cloud diversi da BigQuery, devi abilitarli esplicitamente.

  • I log di controllo dell'accesso ai dati consentono all'assistenza Google di risolvere i problemi con il tuo account. Pertanto, ti consigliamo di abilitare gli audit log di accesso ai dati quando possibile.

Panoramica della configurazione

Puoi abilitare e configurare determinati aspetti dei log di controllo di accesso ai dati per le tue risorse e i tuoi servizi Google Cloud:

  • Organizzazioni: puoi abilitare e configurare gli audit log di accesso ai dati in un'organizzazione, che si applica a tutti i progetti e le cartelle Cloud nuovi ed esistenti nell'organizzazione.

  • Cartelle: puoi abilitare e configurare gli audit log di accesso ai dati in una cartella, che si applica a tutti i progetti Cloud nuovi ed esistenti nella cartella. Non puoi disabilitare un log di controllo dell'accesso ai dati abilitato nell'organizzazione principale del progetto.

  • Progetti: puoi configurare gli audit log di accesso ai dati per un singolo progetto Cloud. Non puoi disabilitare un log di controllo degli accessi ai dati abilitato in un'organizzazione o una cartella padre.

  • Account di fatturazione: per configurare i log di controllo di accesso ai dati per gli account di fatturazione, utilizza l'interfaccia a riga di comando di Google Cloud. Per ulteriori informazioni sull'utilizzo dell'interfaccia a riga di comando gcloud con i log di controllo di accesso ai dati e gli account di fatturazione, consulta la documentazione di riferimento per gcloud beta billing accounts set-iam-policy.

  • Configurazioni predefinite: puoi specificare una configurazione predefinita degli audit log di accesso ai dati in un'organizzazione, una cartella o un progetto Cloud che si applichi ai servizi Google Cloud futuri che iniziano a produrre audit log di accesso ai dati. Per le istruzioni, consulta Impostare la configurazione predefinita.

  • Servizi: puoi specificare i servizi di cui vuoi ricevere i log di controllo. Ad esempio, potresti volere audit log di Compute Engine ma non di Cloud SQL. Per un elenco dei servizi Google Cloud che possono generare log di controllo, vedi Servizi Google con log di controllo.

  • Tipi di log: puoi configurare i tipi di operazioni registrati nei log di controllo di Data Access. Esistono tre tipi di log di controllo dell'accesso ai dati:

    • ADMIN_READ: registra le operazioni che leggono metadati o informazioni sulla configurazione.

    • DATA_READ: registra le operazioni che leggono i dati forniti dagli utenti.

    • DATA_WRITE: registra le operazioni che scrivono i dati forniti dall'utente.

    Ad esempio, Cloud DNS scrive tutti e tre i tipi di log di accesso ai dati, ma puoi configurare i log di controllo di accesso ai dati per registrare solo le operazioni DATA_WRITE.

  • Entità esenti: puoi escludere entità specifiche dal fare registrare i loro accessi ai dati. Ad esempio, puoi escludere gli account di test interni dalla registrazione delle relative operazioni di Cloud Debugger. Per un elenco delle entità valide, inclusi utenti e gruppi, consulta il riferimento per tipo di Binding.

Puoi configurare i log di controllo di accesso ai dati tramite la console dei log di controllo IAM o l'API. Questi metodi sono spiegati nelle sezioni di seguito.

Configurazioni specifiche del servizio

Se esiste sia una configurazione a livello di servizio (allServices) di Google Cloud sia una configurazione per un servizio Google Cloud specifico, la configurazione risultante per il servizio è l'unione delle due configurazioni. In altre parole,

  • Puoi abilitare gli audit log di accesso ai dati per servizi Google Cloud specifici, ma non puoi disabilitare gli audit log di accesso ai dati per i servizi Google Cloud abilitati nella configurazione più ampia.

  • Puoi aggiungere ulteriori tipi di informazioni a un log di controllo di accesso ai dati di Google Cloud, ma non puoi rimuovere i tipi di informazioni specificati nella configurazione più ampia.

  • Puoi aggiungere entità alle liste di esenzione, ma non puoi rimuoverle dagli elenchi di esenzione nella configurazione più ampia.

  • Per BigQuery Data Transfer Service, la configurazione dell'audit log di accesso ai dati è ereditata dalla configurazione predefinita dell'audit log.

Configurazioni delle risorse di Google Cloud

Puoi configurare gli audit log di accesso ai dati per progetti Cloud, account di fatturazione, cartelle e organizzazioni. Se esiste una configurazione per un servizio Google Cloud nella gerarchia, la configurazione risultante è l'unione delle configurazioni. In altre parole, a livello di progetto Cloud:

  • Puoi abilitare i log per un servizio Google Cloud, ma non puoi disabilitarli per un servizio Google Cloud abilitato in un'organizzazione o cartella principale.

  • Puoi abilitare i tipi di informazioni, ma non puoi disattivare i tipi di informazioni che sono abilitati in un'organizzazione o in una cartella principale.

  • Puoi aggiungere entità agli elenchi di esenzione, ma non puoi rimuoverle dagli elenchi di esenzione in un'organizzazione o una cartella principale.

  • A livello di organizzazione o cartella padre, puoi abilitare i log di controllo degli accessi ai dati per un progetto Cloud all'interno di tale organizzazione o cartella, anche se i log di controllo di accesso ai dati non sono stati configurati nel progetto Cloud.

Controllo dell'accesso

I ruoli e le autorizzazioni di Gestione di identità e accessi regolano l'accesso ai dati di Logging, tra cui la visualizzazione e la gestione dei criteri IAM sottostanti le configurazioni di logging dell'accesso ai dati.

Per visualizzare o impostare i criteri associati alla configurazione dell'accesso ai dati, devi disporre di un ruolo con le autorizzazioni al livello di risorsa appropriato. Per istruzioni su come concedere questi ruoli a livello di risorsa, consulta Gestire l'accesso ai progetti, alle cartelle e alle organizzazioni Cloud.

  • Per impostare i criteri IAM, devi avere un ruolo con l'autorizzazione resourcemanager.RESOURCE_TYPE.setIamPolicy.

  • Per visualizzare i criteri IAM, devi avere un ruolo con l'autorizzazione resourcemanager.RESOURCE_TYPE.getIamPolicy.

Per l'elenco delle autorizzazioni e dei ruoli necessari per visualizzare i log di controllo di accesso ai dati, vedi Controllo dell'accesso con IAM.

Configura gli audit log di accesso ai dati con la console

Questa sezione spiega come utilizzare la console per configurare gli audit log di accesso ai dati.

Puoi anche utilizzare l'API o l'interfaccia a riga di comando di Google Cloud per eseguire queste attività in modo programmatico; per informazioni dettagliate, consulta l'articolo Configurare i log di controllo di accesso ai dati con l'API.

Per accedere alle opzioni di configurazione del log di controllo nella console, procedi nel seguente modo:

  1. Dalla console, seleziona IAM e amministrazione; audit log:

    Vai agli audit log

  2. Seleziona un progetto, una cartella o un'organizzazione Cloud esistente.

Abilita audit log

Per attivare i log di controllo di accesso ai dati, procedi nel seguente modo:

  1. Nella tabella Configurazione degli audit log di accesso ai dati, seleziona uno o più servizi Google Cloud dalla colonna Service.

  2. Nella scheda Tipi di log, seleziona i tipi di log di controllo di Accesso ai dati da attivare per i servizi selezionati.

  3. Fai clic su Salva.

Se hai abilitato i log di controllo, la tabella include un segno di spunta .

Nell'esempio seguente si vede che per il servizio Access Approval è abilitato il tipo di log di controllo Data Read:

Configurazione audit log

Puoi anche abilitare gli audit log per tutti i servizi Google Cloud che producono gli audit log di accesso ai dati. Nella tabella Configurazione dei log di controllo degli accessi ai dati, seleziona tutti i servizi Google Cloud.

Tieni presente che questo metodo di configurazione collettiva si applica solo ai servizi Google Cloud attualmente disponibili per la tua risorsa. Se aggiungi un nuovo servizio Google Cloud, questo eredita la tua configurazione di controllo predefinita.

Disattiva audit log di accesso ai dati

Per disabilitare gli audit log di accesso ai dati:

  1. Nella tabella Log di controllo di accesso dei dati, seleziona uno o più servizi Google Cloud.

  2. Nella scheda Tipi di log nel riquadro delle informazioni, seleziona i tipi di log di controllo dell'accesso ai dati da disattivare per i servizi selezionati.

  3. Fai clic su Salva.

Se hai disattivato correttamente gli audit log di accesso ai dati, la tabella indicherà l'applicazione di un trattino. Gli audit log di accesso ai dati abilitati sono indicati con un segno di spunta .

Imposta esenzioni

Puoi impostare esenzioni per stabilire quali entità generano gli audit log di accesso ai dati per determinati servizi. Quando aggiungi un'entità esente, gli audit log non vengono creati per questi tipi di log.

Per impostare le esenzioni, procedi nel seguente modo:

  1. Nella tabella Log di controllo di accesso ai dati, seleziona un servizio Google Cloud dalla colonna Servizio.

  2. Seleziona la scheda Entità esenti nel riquadro delle informazioni.

  3. In Aggiungi entità esente, inserisci l'entità che vuoi escludere dalla generazione dei log di controllo di accesso ai dati per il servizio selezionato.

    Puoi aggiungere più entità facendo clic sul pulsante Aggiungi entità esente, tutte le volte che è necessario.

    Per un elenco delle entità valide, inclusi utenti e gruppi, consulta il tipo di riferimento Binding.

  4. In Tipi di log disattivati, seleziona i tipi di log di controllo dell'accesso ai dati da disattivare.

  5. Fai clic su Salva.

Se hai aggiunto correttamente entità esenti a un servizio, la tabella Configurazione dei log di controllo di accesso ai dati indica questa cifra con un numero nella colonna Entità esenti.

Per rimuovere un'entità dall'elenco delle esenzioni, procedi come segue:

  1. Nella tabella Log di controllo di accesso ai dati, seleziona un servizio Google Cloud dalla colonna Servizio.

  2. Seleziona la scheda Entità esenti nel riquadro delle informazioni.

  3. Passa il mouse sopra il nome di un'entità e seleziona l'icona Elimina che viene visualizzata.

  4. Dopo aver mostrato il nome dell'entità con il testo barrato, fai clic su Salva.

Per modificare le informazioni relative a un'entità esente:

  1. Nella tabella Log di controllo di accesso ai dati, seleziona un servizio Google Cloud dalla colonna Servizio.

  2. Seleziona la scheda Entità esenti nel riquadro delle informazioni.

  3. Espandi il nome principale.

  4. Seleziona o deseleziona i tipi di log di controllo dell'accesso ai dati in base ai requisiti.

  5. Fai clic su Salva.

Impostare la configurazione predefinita

Puoi impostare una configurazione che tutti i servizi Google Cloud nuovi ed esistenti nel tuo progetto, cartella o organizzazione Cloud ereditano. L'impostazione di questa configurazione predefinita si applica se un nuovo servizio Google Cloud diventa disponibile e le entità nella tua organizzazione iniziano a utilizzarlo: il servizio eredita il criterio di audit logging che hai già impostato per altri servizi Google Cloud, assicurandoti che vengano acquisiti gli audit log di accesso ai dati.

Per impostare o modificare la configurazione predefinita, procedi nel seguente modo:

  1. Fai clic su Set Default Configuration (Imposta configurazione predefinita).

  2. Nella scheda Tipi di log nel riquadro informazioni, seleziona i tipi di log di controllo dell'accesso ai dati da attivare o disattivare.

  3. Fai clic su Salva.

  4. Seleziona la scheda Entità esenti nel riquadro delle informazioni.

  5. In Aggiungi entità esente, inserisci l'entità che vuoi escludere dalla generazione dei log di controllo di accesso ai dati per il servizio selezionato.

    Puoi aggiungere più entità facendo clic sul pulsante Aggiungi entità esente, tutte le volte che è necessario.

    Per un elenco delle entità valide, inclusi utenti e gruppi, consulta il tipo di riferimento Binding.

  6. In Tipi di log disattivati, seleziona i tipi di log di controllo dell'accesso ai dati da disattivare.

  7. Fai clic su Salva.

Configurare gli audit log di accesso ai dati con l'API

Questa sezione spiega come utilizzare l'API e l'interfaccia a riga di comando gcloud per configurare i log di controllo di accesso ai dati in modo programmatico.

È possibile eseguire molte di queste attività anche utilizzando la console; per le istruzioni, vedi Configurare i log di controllo di accesso ai dati con la console in questa pagina.

Oggetti criterio IAM

Per configurare gli audit log di accesso ai dati tramite l'API, è necessario modificare il criterio IAM associato al progetto Cloud, la cartella o l'organizzazione. La configurazione del log di controllo si trova nella sezione auditConfigs del criterio:

"auditConfigs": [
  {
    object(AuditConfig)
  }
]

Per maggiori dettagli, consulta il tipo Policy di IAM.

Le seguenti sezioni descrivono in modo più dettagliato l'oggetto AuditConfig. Per i comandi dell'interfaccia a riga di comando API e gcloud utilizzati per modificare la configurazione, consulta la sezione getIamPolicy e setIamPolicy

AuditConfig oggetti

La configurazione del log di controllo è costituita da un elenco di oggetti AuditConfig. Ogni oggetto configura i log per un servizio o stabilisce una configurazione più generica per tutti i servizi. Ogni oggetto ha il seguente aspetto:

{
  "service": SERVICE,
  "auditLogConfigs": [
    {
      "logType": "ADMIN_READ"
      "exemptedMembers": [ PRINCIPAL,]
    },
    {
      "logType": "DATA_READ"
      "exemptedMembers": [ PRINCIPAL,]
    },
    {
      "logType": "DATA_WRITE"
      "exemptedMembers": [ PRINCIPAL,]
    },
  ]
},

SERVICE è il nome del servizio, ad esempio "appengine.googleapis.com", o è il valore speciale, "allServices". Se una configurazione non menziona un servizio specifico, per quel servizio viene utilizzata la configurazione più ampia. Se non è presente alcuna configurazione, i log di controllo di accesso ai dati non sono abilitati per tale servizio. Per un elenco dei nomi dei servizi, vedi Servizi di log.

La sezione auditLogConfigs dell'oggetto AuditConfig è un elenco di 0-3 oggetti, ognuno dei quali configura un tipo di informazioni di log di controllo. Se ometti uno dei tipi dall'elenco, significa che il tipo di informazioni non è abilitato per il servizio.

PRINCIPAL è un utente per il quale non vengono raccolti i log di controllo dell'accesso ai dati. Il tipo Binding descrive i diversi tipi di entità, tra cui utenti e gruppi, ma non tutte possono essere utilizzate per configurare i log di controllo dell'accesso ai dati.

Di seguito è riportato un esempio di configurazione di controllo in formato JSON e YAML. Il formato YAML è l'impostazione predefinita quando si utilizza l'interfaccia a riga di comando di Google Cloud.

JSON

"auditConfigs": [
  {
    "auditLogConfigs": [
      {
        "logType": "ADMIN_READ"
      },
      {
        "logType": "DATA_WRITE"
      },
      {
        "logType": "DATA_READ"
      }
    ],
    "service": "allServices"
  },
  {
    "auditLogConfigs": [
      {
        "exemptedMembers": [
          "499862534253-compute@developer.gserviceaccount.com"
        ],
        "logType": "ADMIN_READ"
      }
    ],
    "service": "cloudsql.googleapis.com"
  }
],

YAML

auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices
- auditLogConfigs:
  - exemptedMembers:
    - 499862534253-compute@developer.gserviceaccount.com
    logType: ADMIN_READ
  service: cloudsql.googleapis.com

Configurazioni comuni

Di seguito sono riportate alcune configurazioni comuni degli audit log per i progetti Cloud.

Abilita tutti gli audit log di accesso ai dati

La seguente sezione auditConfigs abilita gli audit log di accesso ai dati per tutti i servizi e le entità:

JSON

"auditConfigs": [
      {
        "service": "allServices",
        "auditLogConfigs": [
          { "logType": "ADMIN_READ" },
          { "logType": "DATA_READ"  },
          { "logType": "DATA_WRITE" },
        ]
      },
    ]

YAML

auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices

Attiva un tipo di servizio e informazioni

La seguente configurazione abilita gli audit log di DATA_WRITE accesso ai dati per Cloud SQL:

JSON

"auditConfigs": [
  {
    "service": "cloudsql.googleapis.com",
    "auditLogConfigs": [
      { "logType": "DATA_WRITE" },
    ]
  },
]

YAML

auditConfigs:
- auditLogConfigs:
  - logType: DATA_WRITE
  service: cloudsql.googleapis.com

Disattiva tutti gli audit log di accesso ai dati

Per disabilitare tutti gli audit log di accesso ai dati (tranne BigQuery) in un progetto Cloud, includi una sezione auditConfigs: vuota nel nuovo criterio IAM:

JSON

"auditConfigs": [],

YAML

auditConfigs:

Se rimuovi completamente la sezione auditConfigs dal nuovo criterio, setIamPolicy non modificherà la configurazione degli audit log di accesso ai dati esistente. Per ulteriori informazioni, consulta la sezione Maschera di aggiornamento setIamPolicy.

Gli audit log di BigQuery Data Access non possono essere disabilitati.

getIamPolicy e setIamPolicy

Per leggere e scrivere i tuoi criteri IAM, utilizza i metodi getIamPolicy e setIamPolicy dell'API Resource Manager. Esistono diversi metodi per utilizzare i metodi specifici:

  • L'API Resource Manager prevede i seguenti metodi:

    projects.getIamPolicy
    projects.setIamPolicy
    organizations.getIamPolicy
    organizations.setIamPolicy
    
  • L'interfaccia a riga di comando di Google Cloud include i seguenti comandi di Resource Manager:

    gcloud projects get-iam-policy
    gcloud projects set-iam-policy
    gcloud resource-manager folders get-iam-policy
    gcloud resource-manager folders set-iam-policy
    gcloud organizations get-iam-policy
    gcloud organizations set-iam-policy
    gcloud beta billing accounts get-iam-policy
    gcloud beta billing accounts set-iam-policy
    

Indipendentemente dalla tua scelta, segui questi tre passaggi:

  1. Leggi il criterio corrente utilizzando uno dei metodi getIamPolicy. Salva il criterio in un file temporaneo.
  2. Modifica il criterio nel file temporaneo. Modifica (o aggiungi) solo la sezione auditConfigs.
  3. Scrivi il criterio modificato nel file temporaneo, utilizzando uno dei metodi setIamPolicy.

setIamPolicy non riesce se Resource Manager rileva che un altro utente ha modificato il criterio dopo averlo letto nel primo passaggio. In questo caso, ripeti i tre passaggi.

Esempi

Gli esempi seguenti illustrano come configurare gli audit log di accesso ai dati del progetto utilizzando il comando gcloud e l'API Resource Manager.

Per configurare gli audit log di accesso ai dati dell'organizzazione, sostituisci la versione "projects" dei comandi e dei metodi API con la versione "organizations".

gcloud

Per configurare gli audit log di accesso ai dati utilizzando il comando gcloud projects:

  1. Leggi il criterio IAM del progetto e archivialo in un file:

    gcloud projects get-iam-policy PROJECT_ID > /tmp/policy.yaml
    

    Le norme restituite sono mostrate di seguito. Questo criterio non presenta ancora una sezione auditConfigs:

    bindings:
    - members:
      - user:colleague@example.com
      role: roles/editor
    - members:
      - user:myself@example.com
      role: roles/owner
    etag: BwVM-FDzeYM=
    version: 1
    
  2. Modifica il tuo criterio in /tmp/policy.yaml, aggiungendo o modificando solo la configurazione dei log di controllo dell'accesso ai dati.

    Di seguito è riportato un esempio del criterio modificato che abilita i log di controllo di accesso ai dati in scrittura ai dati Cloud SQL. All'inizio sono state aggiunte quattro righe:

    auditConfigs:
    - auditLogConfigs:
      - logType: DATA_WRITE
      service: cloudsql.googleapis.com
    bindings:
    - members:
      - user:colleague@example.com
      role: roles/editor
    - members:
      - user:myself@example.com
      role: roles/owner
    etag: BwVM-FDzeYM=
    version: 1
    
  3. Scrivi il nuovo criterio IAM:

    gcloud projects set-iam-policy PROJECT_ID /tmp/policy.yaml
    

    Se il comando precedente segnala un conflitto con un'altra modifica, ripeti questi passaggi, iniziando con il primo passaggio.

JSON

Per utilizzare il criterio IAM in formato JSON anziché YAML, sostituisci i seguenti comandi gcloud nell'esempio:

gcloud projects get-iam-policy PROJECT_ID --format=json >/tmp/policy.json
gcloud projects set-iam-policy PROJECT_ID /tmp/policy.json

Server

Per configurare gli audit log di accesso ai dati tramite l'API Resource Manager:

  1. Leggi il criterio IAM del progetto, specificando i seguenti parametri con il metodo API GetIamPolicy:

    • risorsa: projects/PROJECT_ID
    • Corpo della richiesta: vuoto

    Il metodo restituisce l'oggetto del criterio corrente, mostrato di seguito. Il criterio di questo progetto non ha ancora una sezione auditConfigs:

    {
      "bindings": [
      {
        "members": [
          "user:colleague@example.com"
        ],
        "role": "roles/editor"
      },
      {
        "members": [
          "user:myself@example.com"
        ],
        "role": "roles/owner"
      }
    ],
    "etag": "BwUsv2gimRs=",
    "version": 1
    

    }

  2. Modifica il criterio corrente:

    • Modifica o aggiungi la sezione auditConfigs.

      Per disabilitare i log di controllo dell'accesso ai dati, includi un valore vuoto per la sezione auditConfigs:[].

    • Conserva il valore di etag.

    Puoi anche rimuovere tutte le altre informazioni dal nuovo oggetto della norma, a condizione che tu scelga di impostare updateMask nel passaggio successivo. Di seguito è mostrato il criterio modificato, che abilita i log di controllo della scrittura dei dati di Cloud SQL:

    {
      "auditConfigs": [
        {
          "auditLogConfigs": [
            {
              "logType": "DATA_WRITE"
            }
          ],
          "service": "cloudsql.googleapis.com"
        }
      ],
      "etag": "BwVM-FDzeYM="
    }
    
  3. Scrivi il nuovo criterio utilizzando il metodo setIamPolicy dell'API, specificando i seguenti parametri:

    • risorsa: projects/PROJECT_ID
    • Corpo della richiesta:
      • updateMask: "auditConfigs,etag"
      • policy: l'oggetto del criterio modificato

La maschera di aggiornamento setIamPolicy

Questa sezione spiega l'importanza del parametro updateMask nel metodo setIamPolicy e spiega perché devi prestare attenzione al comando gcloud CLI set-iam-policy per non causare danni accidentali al progetto Cloud o all'organizzazione.

setIamPolicy API method utilizza un parametro updateMask per controllare i campi dei criteri che vengono aggiornati. Ad esempio, se la maschera non contiene bindings, non puoi modificare accidentalmente quella sezione dei criteri. D'altra parte, se la maschera contiene bindings, la sezione viene aggiornata sempre. Se non includi un valore aggiornato per bindings, la sezione verrà rimossa completamente dal criterio.

Il comando gcloud projects set-iam-policy, che chiama setIamPolicy, non consente di specificare il parametro updateMask. Il comando calcola invece un valore per updateMask nel seguente modo:

  • updateMask contiene sempre i campi bindings e etag.
  • Se l'oggetto del criterio fornito in set-iam-policy contiene altri campi di primo livello, ad esempio auditConfigs, tali campi vengono aggiunti a updateMask.

In base a queste regole, il comando set-iam-policy ha i seguenti comportamenti:

  • Se ometti la sezione auditConfigs nel nuovo criterio, il valore precedente della sezione auditConfigs (se presente) non è cambiato perché la sezione non è aggiornata nella maschera di aggiornamento. È un'operazione innocua, ma potrebbe creare confusione.

  • Se ometti bindings nel nuovo oggetto del criterio, la sezione bindings viene rimossa dal criterio, poiché viene visualizzata nella maschera di aggiornamento. Questa operazione è molto dannosa e tutte le entità perderanno l'accesso al progetto Cloud.

  • Se ometti etag nel nuovo oggetto del criterio, viene disattivato il controllo delle modifiche simultanee al criterio e potrebbe comportare la sovrascrittura accidentale delle modifiche di qualcun altro.