Meninjau histori kebijakan izin IAM

Konsol

1. Di konsol Google Cloud , buka halaman Logs Explorer.

   Buka Logs Explorer

2. Di editor kueri, masukkan salah satu kueri berikut. Kueri ini menelusuri log audit untuk entri yang memiliki SetIamPolicy di kolom methodName dari protoPayload:

   • Untuk mendapatkan log semua perubahan kebijakan izinkan yang dilakukan pada resource, gunakan kueri berikut:

     logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
     protoPayload.methodName:SetIamPolicy
     

   • Untuk mendapatkan log perubahan kebijakan izinkan yang melibatkan pengguna atau akun layanan tertentu, gunakan kueri berikut:

     logName="RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity"
     protoPayload.methodName:SetIamPolicy
     protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ADDRESS"
     

     Ganti kode berikut:

     • RESOURCE_TYPE: Jenis resource yang log auditnya Anda cantumkan. Nilai yang valid adalah projects, folders, atau organizations.
     • RESOURCE_ID: ID project, folder, atau organisasi Anda. Google Cloud ID project bersifat alfanumerik, seperti my-project. ID folder dan organisasi bersifat numerik, seperti 123456789012.
     • EMAIL_ADDRESS: Alamat email pengguna atau akun layanan—misalnya, example-service-account@example-project.iam.gserviceaccount.com.

3. Untuk menjalankan kueri, klik Run query.

4. Gunakan pemilih Timeline untuk menentukan rentang waktu yang sesuai untuk kueri. Atau, Anda dapat menambahkan ekspresi stempel waktu langsung ke editor kueri. Untuk mengetahui informasi selengkapnya, lihat Melihat log menurut rentang waktu.

gcloud

Perintah gcloud logging read membaca entri log.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

• RESOURCE_TYPE: Jenis resource yang log auditnya Anda cantumkan. Gunakan nilai projects, folders, atau organizations.
• RESOURCE_ID: ID project, organisasi, atau folder Anda. Google Cloud ID project adalah string alfanumerik, seperti my-project. ID folder dan organisasi bersifat numerik, seperti 123456789012.
• TIME_PERIOD: Jangka waktu yang log auditnya Anda cantumkan. Entri yang ditampilkan tidak lebih lama dari nilai ini. Jika tidak ditentukan, nilai defaultnya adalah 1d. Untuk mengetahui informasi tentang format waktu, lihat tanggal dan waktu topik gcloud.
• RESOURCE_TYPE_SINGULAR: Jenis resource yang log auditnya Anda cantumkan. Gunakan nilai project, folder, atau organization.

Jalankan perintah berikut:

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

Konsol

1. Di Google Cloud konsol, buka halaman Asset Inventory.

   Buka Inventaris Aset

2. Klik tab IAM Policy.

3. Jalankan kueri berikut di kolom Filter:

   Resource : RESOURCE_ID

   Ganti RESOURCE_ID dengan ID project, folder, atau organisasi Anda Google Cloud. ID project bersifat alfanumerik, seperti my-project. ID folder dan organisasi bersifat numerik, seperti 123456789012.

4. Untuk melihat histori perubahan kebijakan izinkan resource, klik nama resource, lalu pilih tab Change History.

5. Untuk membandingkan perubahan apa pun pada kebijakan izinkan untuk resource, pilih dua catatan dengan stempel waktu yang berbeda dari menu Select a record to compare.

gcloud

Perintah gcloud asset get-history mendapatkan histori kebijakan izinkan yang diperbarui pada aset yang tumpang-tindih dengan jangka waktu.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

• RESOURCE_TYPE: Jenis resource yang log auditnya Anda cantumkan. Gunakan nilai project, folder, atau organization.
• RESOURCE_ID: ID project, organisasi, atau folder Anda. Google Cloud ID project adalah string alfanumerik, seperti my-project. ID folder dan organisasi bersifat numerik, seperti 123456789012.
• ASSET_NAME: Daftar yang dipisahkan koma dari nama resource yang diformat untuk resource yang histori kebijakan izinkannya ingin Anda lihat. Misalnya, //cloudresourcemanager.googleapis.com/projects/my-project. Resource ini dapat berupa salah satu jenis resource yang menerima kebijakan izinkan.
• START_TIME: Awal rentang waktu. Rentang waktu maksimum adalah 7 hari. Nilai harus berupa waktu saat ini atau waktu tidak lebih dari 35 hari yang lalu. Untuk mengetahui informasi tentang format waktu, lihat tanggal dan waktu topik gcloud.
• END_TIME: Opsional. Titik akhir rentang waktu. Rentang waktu maksimum adalah 7 hari. Nilai harus berupa waktu saat ini atau waktu tidak lebih dari 35 hari yang lalu. Jika tidak diberikan, waktu berakhir diasumsikan sebagai waktu saat ini. Untuk mengetahui informasi tentang format waktu, lihat tanggal dan waktu topik gcloud.

Jalankan perintah berikut:

gcloud asset get-history \
    --RESOURCE_TYPE=RESOURCE_ID \
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... \
    --content-type=iam-policy \
    --start-time=START_TIME \
    --end-time=END_TIME

gcloud asset get-history `
    --RESOURCE_TYPE=RESOURCE_ID `
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... `
    --content-type=iam-policy `
    --start-time=START_TIME `
    --end-time=END_TIME

gcloud asset get-history ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... ^
    --content-type=iam-policy ^
    --start-time=START_TIME ^
    --end-time=END_TIME

Respons berisi histori kebijakan izinkan yang diperbarui.