我正在尝试识别在 BigQuery 中创建表的用户。 是否有任何命令行或 API 可以提供此信息。我知道审计日志确实提供了这些信息,但我一直在寻找一个可以完成这项工作的命令行,以便我可以将它包装在一个 shell 脚本中并一次针对所有表运行它们。谷歌存储桶也是如此。我试过了
gsutil iam get gs://my-bkt 并寻找“role”:“roles/storage.admin”角色,但我没有找到所有存储桶的管理员角色。有什么帮助吗?
【问题讨论】:
标签: google-cloud-platform google-bigquery google-cloud-storage
这是一个审计日志的用例。 BigQuery 表不会报告有关原始资源创建者的元数据,因此通过 tables.list 进行扫描或检查 ACL 并不会真正公开谁创建了资源,而只会公开当前有权访问的人。
用例是什么?您当然可以将审核日志导出回 BigQuery 并查询未来的表创建事件,但这并不完全相同。
【讨论】:
您可以使用Audit Logs 找到它。您可以通过 Console/Log Explorer 或使用 CLI 中的 gcloud 工具访问它们。
您感兴趣的日志过滤器是这个:
resource.type = ("bigquery_project" OR "bigquery_dataset")
logName="projects/YOUR_PROJECT/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName = "google.cloud.bigquery.v2.TableService.InsertTable"
protoPayload.resourceName = "projects/YOUR_PROJECT/datasets/curb_tracking/tables/YOUR_TABLE"
如果你想从命令行运行它,你可以这样做:
gcloud logging read \
'
resource.type = ("bigquery_project" OR "bigquery_dataset")
logName="projects/YOUR_PROJECT/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName = "google.cloud.bigquery.v2.TableService.InsertTable"
protoPayload.resourceName = "projects/YOUR_PROJECT/datasets/curb_tracking/tables/YOUR_TABLE"
'\
--limit 10
然后,您可以对输出进行后处理以找出创建表的人。查找principalEmail 字段。
【讨论】: