Outils Policy Intelligence

Les grandes organisations ont souvent des stratégies IAM (Identity and Access Management) complexes. Les outils Policy Intelligence vous aident à comprendre et à gérer vos stratégies pour améliorer votre configuration de sécurité de manière proactive.

Les sections suivantes expliquent ce que vous pouvez faire avec les outils Policy Intelligence.

Appliquer le principe du moindre privilège

Les recommandations de rôle vous aident à appliquer le principe du moindre privilège en vous assurant que les comptes principaux disposent uniquement des autorisations dont ils ont réellement besoin. Chaque recommandation de rôle vous suggère de supprimer ou de remplacer un rôle accordant des autorisations en excès à vos comptes principaux.

L'outil de recommandation identifie les autorisations en excès à l'aide d'insights sur les stratégies. Les insights sur les stratégies sont des données basées sur le ML concernant l'utilisation des autorisations dans votre projet, votre dossier ou votre organisation.

Certaines recommandations sont également associées à des insights sur les mouvements latéraux. Ces insights identifient les rôles permettant aux comptes de service d'un projet d'emprunter l'identité des comptes de service d'un autre projet.

Pour en savoir plus sur les recommandations de rôle, y compris sur la façon dont elles sont générées, consultez la section Appliquer le principe du moindre privilège avec les recommandations de rôle.

Simuler des modifications de stratégies

Policy Simulator vous permet de voir comment une modification de stratégie IAM peut affecter l'accès d'un compte principal avant de procéder à la modification. Vous pouvez utiliser Policy Simulator pour vous assurer que les modifications que vous apportez n'empêchent pas un compte principal d'accéder aux ressources dont il a besoin.

Pour savoir comment une modification de stratégie IAM peut affecter l'accès d'un compte principal, Policy Simulator détermine quelles tentatives d'accès des 90 derniers jours produisent des résultats différents dans la stratégie proposée et la stratégie actuelle. Il renvoie ensuite ces résultats sous la forme d'une liste de modifications d'accès.

Pour en savoir plus sur Policy Simulator, consultez la page Comprendre Policy Simulator.

Comprendre vos stratégies IAM

Plusieurs outils Policy Intelligence vous aident à comprendre les accès accordés par vos stratégies IAM.

Analyser les accès

Cloud Asset Inventory fournit Policy Analyzer, qui vous aide à savoir quels comptes principaux ont accès à quelles ressources Google Cloud.

En règle générale, Policy Analyzer peut vous aider à déterminer qui peut accéder à un compte de service IAM et qui peut lire les données dans un ensemble de données BigQuery contenant des informations personnelles.

L'API Policy Analyzer vous permet d'administrer les accès, offre de la visibilité sur les accès, et peut également être utilisée pour les tâches d'audit et de conformité.

Pour apprendre à utiliser Policy Analyzer, consultez la page Analyser des stratégies IAM.

Résoudre les problèmes d'accès

Policy Troubleshooter permet de comprendre plus facilement pourquoi un utilisateur a accès à une ressource ou ne dispose pas de l'autorisation d'appeler une API. À l'aide d'un e-mail, d'une ressource et d'une autorisation, Policy Troubleshooter examine toutes les stratégies IAM qui s'appliquent à la ressource. Il indique ensuite si le compte principal dispose de l'autorisation adéquate sur cette ressource et, le cas échéant, les stratégies qui s'y appliquent.

Pour apprendre à utiliser Policy Troubleshooter, consultez la section Dépannage sur les accès.

Comparaison de Policy Analyzer de Policy Troubleshooter

Policy Analyzer et Policy Troubleshooter vous aident à répondre aux questions sur vos stratégies IAM. Cependant, les types de questions auxquelles ils vous permettent de répondre diffèrent.

Policy Analyzer vous aide à répondre aux questions de type "qui", "quoi" ou "lesquels", telles que :

  • "Qui a accès à ce compte de service IAM ?"
  • "Quels rôles et autorisations sont attribués à cet utilisateur sur cet ensemble de données BigQuery ?"
  • "Quels ensembles de données BigQuery cet utilisateur a-t-il l'autorisation de lire ?"

En revanche, Policy Troubleshooter vous aide à répondre à des questions de type "pourquoi" :

  • "Pourquoi cet utilisateur dispose-t-il de l'autorisation bigquery.datasets.create sur cet ensemble de données BigQuery ?"
  • "Pourquoi cet utilisateur ne peut-il pas afficher la stratégie IAM de cet ensemble de données BigQuery ?"

Étapes suivantes