Verlauf der IAM-Zulassungsrichtlinien prüfen

Auf dieser Seite wird erläutert, wie Sie den Verlauf der Änderungen an Ihren IAM-Zulassungsrichtlinien prüfen.

Sie können Änderungen an den Zulassungsrichtlinien Ihrer Ressource prüfen, indem Sie in Ihren Audit-Logs nach Einträgen mit der Methode SetIamPolicy suchen.

Sie können Änderungen an Zulassungsrichtlinien auch mit Cloud Asset Inventory prüfen.

Änderungen an Zulassungsrichtlinien mit SetIamPolicy ansehen

Sie können Änderungen an Zulassungsrichtlinien ansehen, indem Sie in Ihren Audit-Logs nach Einträgen mit der Methode SetIamPolicy suchen. Sie können Ihre Audit-Logs über die Google Cloud Console oder die gcloud CLI prüfen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf:

    Zum Log-Explorer

  2. Geben Sie im Abfrageeditor eine der folgenden Abfragen ein: Mit diesen Abfragen werden Ihre Audit-Logs nach Einträgen durchsucht, die SetIamPolicy im Feld methodName von protoPayload enthalten:

    • Verwenden Sie die folgende Abfrage, um die Logs aller Änderungen an Zulassungsrichtlinien für eine Ressource abzurufen:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy

    • Verwenden Sie die folgende Abfrage, um die Logs von Änderungen an Zulassungsrichtlinien abzurufen, die einen bestimmten Nutzer oder ein bestimmtes Dienstkonto betreffen:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"

      Ersetzen Sie Folgendes:

      • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Audit-Logs auflisten möchten. Gültige Werte sind projects, folders oder organizations.
      • RESOURCE_ID: Ihre Google Cloud Projekt-, Ordner- oder Organisations-ID. Projekt-IDs sind alphanumerisch, z. B. my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
      • EMAIL_ADDRESS: Die E-Mail-Adresse des Nutzers oder Dienstkontos, z. B. example-service-account@example-project.iam.gserviceaccount.com.

  3. Klicken Sie zum Ausführen der Abfrage auf Abfrage ausführen.

  4. Geben Sie mit der Auswahl Zeitachse den entsprechenden Zeitraum für die Abfrage an. Alternativ können Sie dem Abfrageeditor direkt einen Zeitstempelausdruck hinzufügen. Weitere Informationen finden Sie unter Logs nach Zeitraum ansehen.

gcloud

Mit dem gcloud logging read Befehl werden Logeinträge gelesen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Audit-Logs auflisten möchten. Verwenden Sie den Wert projects, folders, oder organizations.
  • RESOURCE_ID: Ihre Google Cloud Projekt-, Organisations- oder Ordner-ID. Projekt-IDs sind alphanumerische Strings, z. B. my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • TIME_PERIOD: Der Zeitraum, für den Sie Audit-Logs auflisten möchten. Die zurückgegebenen Einträge sind nicht älter als dieser Wert. Wenn nicht angegeben, ist der Standardwert 1d. Weitere Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.
  • RESOURCE_TYPE_SINGULAR: Der Ressourcentyp, für den Sie Audit-Logs auflisten möchten. Verwenden Sie den Wert project, folder oder organization.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (PowerShell)

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (cmd.exe)

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Änderungen an Zulassungsrichtlinien mit Cloud Asset Inventory ansehen

Sie können Änderungen an Zulassungsrichtlinien auch mit Cloud Asset Inventory in der Google Cloud Console oder der gcloud CLI ansehen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Asset Inventory auf.

    Zu Asset Inventory

  2. Klicken Sie auf den Tab IAM-Richtlinie.

  3. Führen Sie im Feld Filter die folgende Abfrage aus:

    Resource : RESOURCE_ID

    Ersetzen Sie RESOURCE_ID durch Ihre Google Cloud Projekt-, Ordner- oder Organisations-ID. Projekt-IDs sind alphanumerisch, z. B. my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

  4. Wenn Sie den Änderungsverlauf der Zulassungsrichtlinie der Ressource ansehen möchten, klicken Sie auf den Namen der Ressource und wählen Sie dann den Tab Änderungsverlauf aus.

  5. Wenn Sie Änderungen an der Zulassungsrichtlinie für die Ressource vergleichen möchten, wählen Sie im Menü Datensatz zum Vergleichen auswählen zwei verschiedene Datensätze mit Zeitstempel aus.

gcloud

Mit dem gcloud asset get-history Befehl wird der aktualisierte Verlauf der Zulassungsrichtlinien für ein Asset abgerufen, das sich in einem bestimmten Zeitraum befindet.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Audit-Logs auflisten möchten. Verwenden Sie den Wert project, folder, oder organization.
  • RESOURCE_ID: Ihre Google Cloud Projekt-, Organisations- oder Ordner-ID. Projekt-IDs sind alphanumerische Strings, z. B. my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ASSET_NAME: Eine durch Kommas getrennte Liste formatierter Ressourcennamen für die Ressourcen deren Verlauf der Zulassungsrichtlinien Sie ansehen möchten. Beispiel: //cloudresourcemanager.googleapis.com/projects/my-project. Diese Ressourcen können alle Ressourcentypen sein, die Zulassungsrichtlinien akzeptieren.
  • START_TIME: Der Beginn des Zeitraums. Maximal sollte der Zeitraum 7 Tage umfassen. Der Wert muss die aktuelle Zeit oder eine Zeit sein, die nicht mehr als 35 Tage in der Vergangenheit liegt. Weitere Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.
  • END_TIME: Optional. Das Ende des Zeitraums. Maximal sollte der Zeitraum 7 Tage umfassen. Der Wert muss die aktuelle Zeit oder eine Zeit sein, die nicht mehr als 35 Tage in der Vergangenheit liegt. Wenn nicht angegeben, wird die aktuelle Zeit als Ende angenommen. Weitere Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud asset get-history \
    --RESOURCE_TYPE=RESOURCE_ID \
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... \
    --content-type=iam-policy \
    --start-time=START_TIME \
    --end-time=END_TIME

Windows (PowerShell)

gcloud asset get-history `
    --RESOURCE_TYPE=RESOURCE_ID `
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... `
    --content-type=iam-policy `
    --start-time=START_TIME `
    --end-time=END_TIME

Windows (cmd.exe)

gcloud asset get-history ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... ^
    --content-type=iam-policy ^
    --start-time=START_TIME ^
    --end-time=END_TIME

Die Antwort enthält den aktualisierten Verlauf der Zulassungsrichtlinien.