如果任何其他所有者授予所有者访问 GCP 中某些其他帐户的权限,我会收到通知吗?
Posted
技术标签:
【中文标题】如果任何其他所有者授予所有者访问 GCP 中某些其他帐户的权限,我会收到通知吗?【英文标题】:Will I get notified if any other owner give owner access to some other accounts in GCP? 【发布时间】:2021-06-22 04:08:16 【问题描述】:我在 GCP(Google Cloud Platform)中创建了一个项目,并且我拥有该项目的所有者访问权限。与我一起,该项目还有另外 2 位业主。如果两个所有者中的任何一个添加任何第三个用户并授予他们所有者访问权限,我会收到通知吗?
【问题讨论】:
【参考方案1】:您不会收到任何项目所有者添加另一个项目所有者的通知。 但有一种解决方法。
您可以通过选择资源projects/your_project_Name/logs/cloudaudit.googleapis.com%2Factivity 在logs explorer 中查看此类操作;
请参阅Cloud Audit Logs documentation 了解更多信息。
然后您可以为此 create a custom metric 和 create alerting policy 基于它将预定义的消息发送到电子邮件、发布/订阅或存储桶。
您也可以create a sink for such logs 并将它们存储在存储桶或 BigQuery 中。
这样您就可以跟踪 IAM 权限的任何更改,并在添加(或删除)任何其他所有者时收到通知。
【讨论】:
【参考方案2】:默认情况下不是。但是您可以构建一些要通知的东西。实际上,当您执行管理操作时,这些操作会记录在审核日志中。
您可以使用 Cloud Logging 过滤这些日志并将它们接收到 PubSub。
然后你可以消费 PubSub 消息并发送通知。
此外,通过 SCC(安全命令中心),您还可以在向服务帐户授予原始角色(即所有者、编辑者、查看者)时拥有 realtime notification。同样,通知是一条 PubSub 消息并根据需要使用它。
你可以去the documentation看看
【讨论】:
以上是关于如果任何其他所有者授予所有者访问 GCP 中某些其他帐户的权限,我会收到通知吗?的主要内容,如果未能解决你的问题,请参考以下文章
Github 添加其他人的 SSH 密钥将授予对所有存储库的访问权限?