Ferramentas de inteligência de política

As organizações de grande porte geralmente têm políticas de gerenciamento de identidade e acesso (IAM, na sigla em inglês) complicadas. As ferramentas de inteligência de política ajudam você a entender e gerenciar suas políticas para melhorar a configuração de segurança de maneira proativa.

As seções a seguir explicam o que é possível fazer com as ferramentas de inteligência de política.

Aplicar o menor privilégio

As recomendações de papel ajudam a aplicar o princípio do menor privilégio, garantindo que os membros tenham apenas as permissões de que realmente precisam. Cada recomendação de papel sugere que você remova ou substitua um papel que conceda aos membros permissões em excesso.

O recomendador identifica permissões em excesso usando insights de política. Os insights de política são informações baseadas em ML sobre o uso de permissões no seu projeto, pasta ou organização.

Algumas recomendações também são associadas a insights de movimento lateral. Esses insights identificam papéis que permitem que contas de serviço em um projeto personifiquem contas de serviço em outro projeto.

Para saber mais sobre recomendações de papéis, incluindo como são gerados, consulte Aplicar o menor privilégio às recomendações de papéis.

Simular alterações de políticas

O simulador de política permite que você veja como uma alteração na política do IAM pode afetar o acesso de um membro antes de se comprometer a fazer a mudança. É possível usar o simulador de política para garantir que as alterações feitas não causem uma perda de acesso.

Para descobrir como uma alteração na política do IAM pode afetar o acesso de um membro, o Simulador de políticas determina quais tentativas de acesso dos últimos 90 dias têm resultados diferentes na política proposta e na política atual. Depois, ele lista esses resultados como uma lista de alterações de acesso.

Para saber mais, consulte Noções básicas sobre o simulador de políticas.

Entender suas políticas de IAM

Há várias ferramentas de inteligência de política que ajudam a entender qual acesso é concedido pelas políticas de IAM.

Analisar acesso

O Inventário de recursos do Cloud fornece o analisador de políticas, que ajuda a descobrir quais membros têm acesso a quais recursos do Google Cloud.

As perguntas comuns que o Policy Analyzer pode ajudar a responder: "Quem pode acessar esta conta de serviço do IAM?" e "Quem pode ler dados neste conjunto de dados do BigQuery que contém informações de identificação pessoal (PII)?"

O Policy Analyzer permite realizar administração de acesso, dar visibilidade de acesso e também pode ser usada para tarefas de auditoria e conformidade.

Para saber como usar o Policy Analyzer, consulte Como analisar políticas do IAM.

Resolver problemas no acesso

O solucionador de problemas de políticas facilita a compreensão do motivo pelo qual um usuário tem acesso a um recurso ou não tem permissão para chamar uma API. Com um e-mail, um recurso e uma permissão, o solucionador de problemas de políticas examina todas as políticas de IAM que se aplicam ao recurso. Em seguida, ele revelará se os papéis do membro incluem a permissão nesse recurso e, em caso afirmativo, quais políticas vinculam o membro a esses papéis.

Para saber como usar o solucionador de problemas de políticas, consulte Como solucionar problemas de acesso.

Comparação entre o Analisador de políticas e o Solucionador de problemas de políticas

O Analisador de políticas e o Solucionador de problemas de políticas ajudam você a responder perguntas sobre suas políticas de IAM. No entanto, os tipos de perguntas que ajudam a responder são diferentes.

O Analisador de políticas ajuda a responder perguntas como "quem", "o quê" e "quais", como:

  • "Quem tem acesso a esta conta de serviço do IAM?"
  • "Quais papéis e permissões esse usuário tem neste conjunto de dados do BigQuery?"
  • "Quais conjuntos de dados do BigQuery esse usuário tem permissão para ler?"

Já o Solucionador de problemas de políticas ajuda a responder perguntas "por que", como as seguintes:

  • "Por que este usuário tem a permissão bigquery.datasets.create neste conjunto de dados do BigQuery?"
  • "Por que este usuário não consegue visualizar a política do IAM deste conjunto de dados do BigQuery?"

A seguir