Ferramentas de inteligência de política

As organizações de grande porte geralmente têm políticas de gerenciamento de identidade e acesso (IAM, na sigla em inglês) complicadas. As ferramentas de inteligência de política ajudam você a entender e gerenciar suas políticas para melhorar a configuração de segurança de maneira proativa.

As seções a seguir explicam o que é possível fazer com as ferramentas de inteligência de política.

Aplicar o menor privilégio

O recomendador do IAM ajuda a aplicar o princípio de privilégio mínimo, garantindo que os membros tenham apenas as permissões de que realmente precisam.

Especificamente, o recomendador do IAM compara as concessões de papel com as permissões que cada membro usou durante os últimos 90 dias. Se você conceder um papel a um membro e o membro não usar todas as permissões desse papel, o recomendador do IAM provavelmente recomendará a revogação do papel. Se necessário, o recomendador do IAM também recomendará papéis menos permissivos como substitutos. Esse substituto recomendado pode ser um papel personalizado novo, existente ou um ou mais papéis predefinidos. Exceto no caso de recomendações para contas de serviço gerenciadas pelo Google, o recomendador do IAM nunca sugere uma alteração que aumenta o nível de acesso de um membro.

Para saber mais sobre o recomendador do IAM, consulte Aplicar o menor privilégio às recomendações.

Simular alterações de políticas

O simulador de política permite que você veja como uma alteração na política do IAM pode afetar o acesso de um membro antes de se comprometer a fazer a mudança. É possível usar o simulador de política para garantir que as alterações feitas não causem uma perda de acesso.

Para descobrir como uma alteração na política do IAM pode afetar o acesso de um membro, o Simulador de políticas determina quais tentativas de acesso dos últimos 90 dias têm resultados diferentes na política proposta e na política atual. Depois, ele lista esses resultados como uma lista de alterações de acesso.

Para saber mais, consulte Noções básicas sobre o simulador de políticas.

Entender suas políticas de IAM

Há várias ferramentas de inteligência de política que ajudam a entender qual acesso é concedido pelas políticas de IAM.

Analisar acesso

O Inventário de recursos do Cloud fornece o analisador de políticas, que ajuda a descobrir quais membros têm acesso a quais recursos do Google Cloud.

As perguntas comuns que o Policy Analyzer pode ajudar a responder: "Quem pode acessar esta conta de serviço do IAM?" e "Quem pode ler dados neste conjunto de dados do BigQuery que contém informações de identificação pessoal (PII)?"

O Policy Analyzer permite realizar administração de acesso, dar visibilidade de acesso e também pode ser usada para tarefas de auditoria e conformidade.

Para saber como usar o Policy Analyzer, consulte Como analisar políticas do IAM.

Resolver problemas no acesso

O solucionador de problemas de políticas facilita a compreensão do motivo pelo qual um usuário tem acesso a um recurso ou não tem permissão para chamar uma API. Com um e-mail, um recurso e uma permissão, o solucionador de problemas de políticas examina todas as políticas de IAM que se aplicam ao recurso. Em seguida, ele revelará se os papéis do membro incluem a permissão nesse recurso e, em caso afirmativo, quais políticas vinculam o membro a esses papéis.

Para saber como usar o solucionador de problemas de políticas, consulte Como solucionar problemas de acesso.

Comparação entre o Analisador de políticas e o Solucionador de problemas de políticas

O Analisador de políticas e o Solucionador de problemas de políticas ajudam você a responder perguntas sobre suas políticas de IAM. No entanto, os tipos de perguntas que ajudam a responder são diferentes.

O Analisador de políticas ajuda a responder perguntas como "quem", "o quê" e "quais", como:

  • "Quem tem acesso a esta conta de serviço do IAM?"
  • "Quais papéis e permissões esse usuário tem neste conjunto de dados do BigQuery?"
  • "Quais conjuntos de dados do BigQuery esse usuário tem permissão para ler?"

Já o Solucionador de problemas de políticas ajuda a responder perguntas "por que", como as seguintes:

  • "Por que este usuário tem a permissão bigquery.datasets.create neste conjunto de dados do BigQuery?"
  • "Por que este usuário não consegue visualizar a política do IAM deste conjunto de dados do BigQuery?"

A seguir