בדף הזה מוסבר איך בודקים את היסטוריית השינויים בכללי מדיניות ההרשאות של IAM.
כדי לבדוק את השינויים בכללי מדיניות ההרשאה של המשאב, אפשר לחפש ביומני הביקורת רשומות שמכילות את method SetIamPolicy.
הצגת שינויים במדיניות ההרשאות באמצעות SetIamPolicy
כדי לראות את השינויים בכללי מדיניות ההרשאה, אפשר לבדוק את יומני הביקורת ולחפש רשומות שמכילות את השיטה SetIamPolicy. אתם יכולים לעיין ביומני הביקורת באמצעות מסוףGoogle Cloud או ה-CLI של gcloud.
המסוף
נכנסים לדף Logs Explorer במסוף Google Cloud .
מזינים אחת מהשאילתות הבאות בעורך השאילתות. השאילתות האלה מחפשות ביומני הביקורת רשומות שכוללות את הערך
SetIamPolicyבשדהmethodNameשלprotoPayload:כדי לקבל את היומנים של כל השינויים במדיניות ההרשאות שבוצעו במשאב, משתמשים בשאילתה הבאה:
logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.methodName:SetIamPolicy
כדי לקבל את היומנים של שינויים במדיניות ההרשאות שקשורים למשתמש או לחשבון שירות ספציפיים, משתמשים בשאילתה הבאה:
logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.methodName:SetIamPolicy protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"
מספקים את הערכים הבאים:
-
RESOURCE_TYPE: סוג המשאב שלגביו רוצים להציג את יומני הביקורת. משתמשים באחד מהערכים הבאים:projects,foldersאוorganizations. -
RESOURCE_ID: מזהה הפרויקט, התיקייה או הארגון ב- Google Cloud . מזהי פרויקטים מכילים אותיות וספרות, למשלmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012. EMAIL_ADDRESS: כתובת האימייל של המשתמש או של חשבון השירות. לדוגמה,example-service-account@example-project.iam.gserviceaccount.com.
-
כדי להריץ את השאילתה, לוחצים על הפעלת השאילתה.
משתמשים בבורר ציר הזמן כדי לציין את טווח הזמן המתאים לשאילתה. אפשר גם להוסיף ביטוי של חותמת זמן ישירות לעורך השאילתות. מידע נוסף זמין במאמר בנושא הצגת יומנים לפי טווח זמן.
gcloud
הפקודה
gcloud logging read
קוראת רשומות ביומן.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שלגביו רוצים להציג את יומני הביקורת. אפשר להשתמש בערךprojects,foldersאוorganizations. -
RESOURCE_ID: מזהה הפרויקט, הארגון או התיקייה ב- Google Cloud. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012. -
TIME_PERIOD: תקופת הזמן של יומני הביקורת שרוצים להציג. הערכים שמוחזרים לא ישנים יותר מהערך הזה. אם לא מציינים ערך, ערך ברירת המחדל הוא1d. מידע על פורמטים של שעות זמין במאמר gcloud topic datetimes. -
RESOURCE_TYPE_SINGULAR: סוג המשאב שלגביו רוצים להציג את יומני הביקורת. אפשר להשתמש בערךproject,folderאוorganization.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud logging read \ 'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity AND protoPayload.methodName=SetIamPolicy' \ --freshness=TIME_PERIOD \ --RESOURCE_TYPE_SINGULAR=RESOURCE_ID
Windows (PowerShell)
gcloud logging read ` 'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity AND protoPayload.methodName=SetIamPolicy' ` --freshness=TIME_PERIOD ` --RESOURCE_TYPE_SINGULAR=RESOURCE_ID
Windows (cmd.exe)
gcloud logging read ^ 'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity AND protoPayload.methodName=SetIamPolicy' ^ --freshness=TIME_PERIOD ^ --RESOURCE_TYPE_SINGULAR=RESOURCE_ID
הצגת שינויים במדיניות ההרשאות באמצעות מאגר משאבי הענן
אפשר גם לראות שינויים במדיניות ההרשאות באמצעות מאגר משאבי ענן במסוף Google Cloud או ב-CLI של gcloud.
המסוף
נכנסים לדף Asset Inventory במסוף Google Cloud .
לוחצים על הכרטיסייה IAM Policy (מדיניות IAM).
מריצים את השאילתה הבאה בשדה Filter:
Resource :
RESOURCE_IDמחליפים את
RESOURCE_IDבמזהה של הפרויקט, התיקייה או הארגון ב- Google Cloud. מזהי פרויקטים מכילים אותיות וספרות, למשלmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012.כדי לראות את היסטוריית השינויים של מדיניות ההרשאות של המשאב, לוחצים על שם המשאב ואז בוחרים בכרטיסייה היסטוריית שינויים.
כדי להשוות בין שינויים במדיניות ההרשאה של המשאב, בוחרים שני רשומות שונות עם חותמת זמן מהתפריט בחירת רשומה להשוואה.
gcloud
הפקודה
gcloud asset get-history
מקבלת את ההיסטוריה המעודכנת של מדיניות ההרשאה בנכס שחופף לחלון זמן.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שלגביו רוצים להציג את יומני הביקורת. אפשר להשתמש בערךproject,folderאוorganization. -
RESOURCE_ID: מזהה הפרויקט, הארגון או התיקייה ב- Google Cloud. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012. -
ASSET_NAME: רשימה מופרדת בפסיקים של שמות משאבים בפורמט של המשאבים שרוצים לראות את היסטוריית מדיניות ההרשאות שלהם. לדוגמה,//cloudresourcemanager.googleapis.com/projects/my-project. המשאבים האלה יכולים להיות כל אחד מסוגי המשאבים שתומכים במדיניות הרשאות. -
START_TIME: תחילת טווח הזמן. הטווח המקסימלי הוא 7 ימים. הערך חייב להיות השעה הנוכחית או שעה שחלה לפני 35 ימים לכל היותר. מידע על פורמטים של שעות זמין במאמר gcloud topic datetimes. -
END_TIME: אופציונלי. נקודת הסיום של טווח הזמן. הטווח המקסימלי הוא 7 ימים. הערך חייב להיות השעה הנוכחית או שעה שחלה לפני לא יותר מ-35 ימים. אם לא מציינים שעת סיום, המערכת מניחה שהשעה היא השעה הנוכחית. מידע על פורמטים של שעות זמין במאמר בנושא תאריכים ושעות ב-gcloud.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud asset get-history \ --RESOURCE_TYPE=RESOURCE_ID \ --asset-names=ASSET_NAME_1,ASSET_NAME_2,... \ --content-type=iam-policy \ --start-time=START_TIME \ --end-time=END_TIME
Windows (PowerShell)
gcloud asset get-history ` --RESOURCE_TYPE=RESOURCE_ID ` --asset-names=ASSET_NAME_1,ASSET_NAME_2,... ` --content-type=iam-policy ` --start-time=START_TIME ` --end-time=END_TIME
Windows (cmd.exe)
gcloud asset get-history ^ --RESOURCE_TYPE=RESOURCE_ID ^ --asset-names=ASSET_NAME_1,ASSET_NAME_2,... ^ --content-type=iam-policy ^ --start-time=START_TIME ^ --end-time=END_TIME