无法找到删除bigquery表权限的审核日志。我在云日志中只能找到bigquery集Iam策略日志,但在审核日志中没有删除Iam策略。关于删除bigquery表的用户权限的审核,有什么帮助吗?
setIamPolicy
是用于所有IAM策略更改的方法,包括删除用户绑定的方法。
如果用户A删除了用户B的绑定,他们只是发布了一个排除用户B的新策略文档;日志将只显示新策略,不会有关于差异的信息。
旧政策
bindings:
- members:
- user:user-a@acme.com
- user:user-b@acme.com
role: roles/roles/bigquery.dataOwner
新政策
bindings:
- members:
- user:user-a@acme.com
role: roles/roles/bigquery.dataOwner
要查看IAM删除事件,您必须查询setIamPolicy
并评估所有策略更改。如果您想跟踪从策略中完全删除特定用户主体的事件,可以使用AND NOT
查询来识别策略排除特定用户的更改:
protoPayload.methodName="google.iam.v1.IAMPolicy.SetIamPolicy"
protoPayload.serviceName="bigquery.googleapis.com"
AND NOT protoPayload.serviceData.setIamPolicyRequest.policy.bindings.members="user:<USER TO AUDIT POLICY REMOVALS>"
这种方法需要注意的一点是:该过滤器不会处理用户从策略中部分删除的情况(例如,只删除了一个角色(。