Policy Intelligence 工具

大型组织通常拥有复杂的 Identity and Access Management (IAM) 政策。Policy Intelligence 工具可帮助您了解并管理您的政策,以主动改进您的安全配置。

以下部分介绍您可以使用 Policy Intelligence 工具执行的操作。

强制执行最小权限

角色建议可确保成员仅拥有其实际需要的权限,从而帮助您强制执行最小权限原则。每个角色建议都会针对授予多余成员权限的角色提出移除或替换建议。

Recommender 使用政策数据分析来识别多余的权限。政策数据分析是基于机器学习的有关项目、文件夹或组织中权限使用情况的发现结果。

一些建议还与横向移动数据分析相关。这些数据分析可确定允许一个项目中的服务帐号模拟另一个项目中的服务帐号的角色。

如需详细了解角色建议(包括其生成方式),请参阅使用角色建议强制执行最小权限

模拟政策更改

通过政策模拟器,您可以先了解 IAM 政策变更对成员的访问权限可能有何影响,然后再决定是否进行更改。您可以使用政策模拟器来确保所做的更改不会导致成员失去所需的访问权限。

如需了解 IAM 政策更改可能如何影响成员的访问权限,政策模拟器会确定过去 90 天内哪些访问尝试与建议的政策和当前政策具有不同的结果。然后,它会将这些结果作为访问权限更改列表进行报告。

如需详细了解政策模拟器,请参阅了解政策模拟器

了解 IAM 政策

您可以借助一些 Policy Intelligence 工具了解 IAM 政策授予的访问权限。

分析访问权限

Cloud Asset Inventory 提供 Policy Analyzer,可帮助您了解哪些成员有权访问哪些 Google Cloud 资源。

Policy Analyzer 可以帮助您回答的典型问题包括“谁可以访问此 IAM 服务帐号?”和“谁可以读取此包含个人身份信息 (PII) 的 BigQuery 数据集中的数据?”

政策分析器允许您执行访问权限管理,可提供访问权限可见性,并且可用于审核和合规性相关任务。

如需了解如何使用 Policy Analyzer,请参阅分析 IAM 政策

排查权限问题

Policy Troubleshooter 可以帮您更轻松地理解用户为何能够访问资源或无权调用 API。给定电子邮件、资源和权限后,政策问题排查工具会检查适用于该资源的所有 IAM 政策。然后,它会显示该成员的角色是否包含该资源的权限,如果是,则显示该成员通过哪些政策绑定到这些角色。

如需了解如何使用政策问题排查工具,请参阅排查访问权限

Policy Analyzer 与 Policy Troubleshooter 的对比

Policy Analyzer 和 Policy Troubleshooter 可帮助您回答有关 IAM 政策的问题。不过,他们帮助解答的问题类型也有所不同。

Policy Analyzer 可以帮助您回答“谁”、“什么”和“哪些用户”问题,例如:

  • “谁有权访问此 IAM 服务帐号?”
  • “此用户对此 BigQuery 数据集有哪些角色和权限?”
  • “此用户有权读取哪些 BigQuery 数据集?”

相比之下,政策问题排查工具可以帮助您回答“为什么”问题,例如:

  • “为什么该用户对此 BigQuery 数据集具有 bigquery.datasets.create 权限?”
  • “为什么此用户无法查看此 BigQuery 数据集的 IAM 政策?”

后续步骤