Herramientas de Policy Intelligence

A menudo, las organizaciones grandes tienen políticas complicadas de Identity and Access Management (IAM). Las herramientas de Policy Intelligence te ayudan a comprender y administrar tus políticas para mejorar de forma proactiva la configuración de seguridad.

En las siguientes secciones, se explica lo que puedes hacer con las herramientas de Policy Intelligence.

Aplica el privilegio mínimo

Las recomendaciones de funciones te ayudan a aplicar el principio de privilegio mínimo, ya que garantizan que los miembros solo tengan los permisos que en verdad necesitan. Cada recomendación de función sugiere que quites o reemplaces una función que les otorga permisos adicionales a tus miembros.

El recomendador identifica los permisos no usados mediante las estadísticas de políticas. Las estadísticas de políticas son resultados basados en el AA sobre el uso de permisos en el proyecto, la carpeta o la organización.

Para obtener más información sobre las recomendaciones de función, incluida la forma en que se generan, consulta Aplica el privilegio mínimo con recomendaciones de función.

Simula cambios en la política

El simulador de política te permite ver cómo un cambio en la política de IAM puede afectar el acceso de un miembro antes de que realices la modificación. Puedes usar el simulador de política para asegurarte de que los cambios que realices no ocasionarán que un miembro pierda el acceso que necesita.

Para averiguar cómo un cambio de política de IAM puede afectar el acceso de un miembro, el simulador de política determina qué intentos de acceso de los últimos 90 días tienen resultados diferentes con la política propuesta y la política actual. Luego, informa estos resultados como una lista de cambios de acceso.

Para obtener más información sobre el simulador de política, consulta Información sobre el simulador de políticas.

Información sobre tus políticas de IAM

Existen varias herramientas de Policy Intelligence que te ayudan a comprender qué accesos otorgan tus políticas de IAM.

Analiza el acceso

Cloud Asset Inventory proporciona el Analizador de políticas, que te ayuda a averiguar qué miembros tienen acceso a qué recursos de Google Cloud.

Las típicas preguntas que el Analizador de políticas puede ayudarte a responder son: “¿Quién puede acceder a esta cuenta de servicio de IAM?”. y “¿Quién puede leer datos en este conjunto de datos de BigQuery que contiene información de identificación personal (PII)?”

El Analizador de políticas te permite realizar la administración de acceso, proporciona la visibilidad del acceso y también se puede usar para tareas relacionadas con la auditoría y el cumplimiento.

Para obtener información sobre cómo usar el Analizador de políticas, consulta Analiza las políticas de IAM.

Soluciona problemas de acceso

El solucionador de problemas de políticas te ayuda a comprender por qué un usuario tiene acceso a un recurso o no tiene permiso para llamar a una API. Con un correo electrónico, un recurso y un permiso, el solucionador de problemas de políticas examina todas las políticas de IAM que se aplican al recurso. Luego, revelará si las funciones del miembro incluyen el permiso sobre ese recurso y, si es así, qué políticas vinculan al miembro con esas funciones.

Para obtener información sobre cómo usar el solucionador de problemas de políticas, consulta Solucióna problemas de acceso.

Comparación del Analizador de políticas y el solucionador de problemas de políticas

Tanto el Analizador de políticas como el solucionador de problemas de políticas te ayudan a responder preguntas sobre tus políticas de IAM. Sin embargo, los tipos de preguntas que ayudan a responder son diferentes.

El Analizador de políticas te ayuda a responder preguntas sobre "quién", "qué" y "cuál", como las siguientes:

  • "¿Quién tiene acceso a esta cuenta de servicio de IAM?"
  • “¿Qué funciones y permisos tiene el usuario en este conjunto de datos de BigQuery?”
  • "¿En qué conjuntos de datos de BigQuery el usuario tiene permiso para leer?"

Por el contrario, el solucionador de problemas de políticas te ayuda a responder preguntas de tipo "por qué", como se muestra a continuación:

  • ¿Por qué el usuario tiene el permiso bigquery.datasets.create en este conjunto de datos de BigQuery?
  • "¿Por qué el usuario no puede ver la política de IAM de este conjunto de datos de BigQuery?"

¿Qué sigue?