我目前的情况是用户被赋予了具有过多权限的默认角色。我想减少角色,只允许访问用户在过去3个月内实际访问过的资源。此时,我只需要知道他们访问了什么资源,而不必知道他们在使用资源时做了什么。
如何做到这一点?(最好通过gcloud cli)
在AWS中,我可以通过Cloud Trail做到这一点->历史事件
可以通过Data Access审计日志获取用户访问资源的日志。默认情况下,Data Access审计日志(BigQuery Data Access审计日志除外)是禁用的,因为审计日志可能相当大,您必须显式启用它们。
Policy Analyzer允许您根据您的IAM允许策略找出哪些主体(例如,用户、服务帐户、组和域)对哪些Google Cloud资源具有哪些访问权限。要使用Policy Analyzer,您需要创建一个分析查询,为分析指定一个范围,然后运行该查询。
您可以使用可在组织策略中使用的域限制约束来限制基于域的资源共享。此约束允许您限制允许在身份和访问管理策略中使用的身份集。
请注意,域限制约束不具有追溯性。一旦设置了域限制,此限制将适用于从此以后所做的IAM策略更改,而不适用于以前的任何更改。
您可以查看Cloud Logging下的审计日志:
https://cloud.google.com/logging/docs/audit
虽然不是GCP上的所有服务都支持审计日志。支持的服务列表:https://cloud.google.com/logging/docs/audit/services