Revisa el historial de la política de permisos de IAM

En esta página, se explica cómo revisar el historial de cambios en tus políticas de permiso de IAM.

Puedes revisar los cambios en las políticas de permisos de tu recurso buscando en tus registros de auditoría las entradas que contengan el método SetIamPolicy.

También puedes revisar los cambios en la política de permisos con Cloud Asset Inventory.

Consulta los cambios en la política de permisos con SetIamPolicy

Puedes revisar los cambios en las políticas de permisos consultando tus registros de auditoría para ver las entradas que contienen el método SetIamPolicy. Puedes revisar tus registros de auditoría con la consola deGoogle Cloud o gcloud CLI.

Console

  1. En la consola de Google Cloud , accede a la página Explorador de registros.

    Ve al Explorador de registros

  2. En el editor de consultas, ingresa una de las siguientes consultas. Estas búsquedas buscan en tus registros de auditoría las entradas que tienen SetIamPolicy en el campo methodName del protoPayload:

    • Para obtener los registros de todos los cambios en la política de permisos realizados en un recurso, usa la siguiente consulta:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy

    • Para obtener los registros de los cambios en la política de permisos que involucran a un usuario o una cuenta de servicio específicos, usa la siguiente consulta:

      logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:SetIamPolicy
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"

      Reemplaza lo siguiente:

      • RESOURCE_TYPE: Es el tipo de recurso para el que creas una lista de registros de auditoría. Los valores válidos son projects, folders o organizations.
      • RESOURCE_ID: Tu Google Cloud ID de proyecto, carpeta o organización. Los IDs de proyecto son alfanuméricos, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
      • EMAIL_ADDRESS: Es la dirección de correo electrónico del usuario o la cuenta de servicio (por ejemplo, example-service-account@example-project.iam.gserviceaccount.com).

  3. Para ejecutar la consulta, haz clic en Ejecutar consulta.

  4. Usa el selector Línea de tiempo para especificar el intervalo de tiempo adecuado para la consulta. También puedes agregar una expresión de marca de tiempo directamente al editor de consultas. Para obtener más información, consulta Visualiza registros por período.

gcloud

El comando gcloud logging read lee las entradas de registro.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: El tipo de recurso para el que creas una lista de registros de auditoría. Usa el valor projects, folders o organizations.
  • RESOURCE_ID: Tu ID de proyecto, organización o carpeta de Google Cloud. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
  • TIME_PERIOD: Es el período para el que creas una lista de registros de auditoría. Las entradas que se devuelven no son anteriores a este valor. Si no se especifica, el valor predeterminado es 1d. Para obtener información sobre los formatos de hora, consulta gcloud topic datetime.
  • RESOURCE_TYPE_SINGULAR: El tipo de recurso para el que creas una lista de registros de auditoría. Usa el valor project, folder o organization.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (PowerShell)

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Windows (cmd.exe)

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Visualiza los cambios en la política de permisos con Cloud Asset Inventory

También puedes ver los cambios en la política de permisos con Cloud Asset Inventory en la consola de Google Cloud o gcloud CLI.

Console

  1. En la consola de Google Cloud , ve a la página Inventario de activos.

    Ir a Asset Inventory

  2. Haz clic en la pestaña Política de IAM.

  3. Ejecuta la siguiente consulta en el campo Filtro:

    Resource : RESOURCE_ID

    Reemplaza RESOURCE_ID por el ID de tu proyecto, carpeta o organización Google Cloud. Los IDs de proyecto son alfanuméricos, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.

  4. Para ver el historial de cambios de la política de permisos del recurso, haz clic en el nombre del recurso y, luego, selecciona la pestaña Historial de cambios.

  5. Para comparar los cambios en la política de permisos del recurso, selecciona dos registros con marcas de fecha y hora diferentes en el menú Selecciona un registro para comparar.

gcloud

El comando gcloud asset get-history obtiene el historial actualizado de las políticas de permisos en un activo que se superpone con un período.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: El tipo de recurso para el que creas una lista de registros de auditoría. Usa el valor project, folder o organization.
  • RESOURCE_ID: Tu ID de proyecto, organización o carpeta de Google Cloud. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
  • ASSET_NAME: Es una lista separada por comas de nombres de recursos con formato para los recursos cuyos historiales de políticas de permisos deseas ver. Por ejemplo, //cloudresourcemanager.googleapis.com/projects/my-project. Estos recursos pueden ser cualquiera de los tipos de recursos que aceptan políticas de permisos.
  • START_TIME: Es el comienzo del intervalo de tiempo. El intervalo máximo es de 7 días. El valor debe ser la hora actual o una hora que no sea más de 35 días anterior. Para obtener información sobre los formatos de hora, consulta gcloud topic datetime.
  • END_TIME: Opcional Es el punto final del intervalo de tiempo. El intervalo máximo es de 7 días. El valor debe ser la hora actual o una hora que no supere los 35 días en el pasado. Cuando no se proporciona, se supone que la hora de finalización es la hora actual. Para obtener información sobre los formatos de hora, consulta gcloud topic datetime.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud asset get-history \
    --RESOURCE_TYPE=RESOURCE_ID \
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... \
    --content-type=iam-policy \
    --start-time=START_TIME \
    --end-time=END_TIME

Windows (PowerShell)

gcloud asset get-history `
    --RESOURCE_TYPE=RESOURCE_ID `
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... `
    --content-type=iam-policy `
    --start-time=START_TIME `
    --end-time=END_TIME

Windows (cmd.exe)

gcloud asset get-history ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... ^
    --content-type=iam-policy ^
    --start-time=START_TIME ^
    --end-time=END_TIME

La respuesta contiene el historial actualizado de las políticas de permisos.