Policy Intelligence 工具

大型组织通常拥有复杂的 Identity and Access Management (IAM) 政策。Policy Intelligence 工具可帮助您了解并管理您的政策,以主动改进您的安全配置。

以下部分介绍您可以使用 Policy Intelligence 工具执行的操作。

强制执行最小权限

通过确保成员只能有他们实际需要的权限,IAM Recommender 可以帮助您实施最低权限的原则。

具体来说,IAM Recommender 会将角色授予与每个成员在过去 90 天内使用的权限进行比较。如果您向成员授予了角色,而该成员没有使用该角色的所有权限,那么 IAM Recommender 可能会建议您撤消该角色。如有必要,IAM Recommender 还会建议改为授予权限较少的角色。建议的此替换角色可能是新的自定义角色、现有的自定义角色,或者一个或多个预定义角色。除了 Google 管理的服务帐号的建议外,IAM Recommender 绝不会建议提高成员的访问权限级别。

如需详细了解 IAM Recommender,请参阅使用建议强制执行最小权限

模拟政策更改

通过政策模拟器,您可以先了解 IAM 政策变更对成员的访问权限可能有何影响,然后再决定是否进行更改。您可以使用政策模拟器来确保所做的更改不会导致成员失去所需的访问权限。

如需了解 IAM 政策更改可能如何影响成员的访问权限,政策模拟器会确定过去 90 天内哪些访问尝试与建议的政策和当前政策具有不同的结果。然后,它会将这些结果作为访问权限更改列表进行报告。

如需详细了解政策模拟器,请参阅了解政策模拟器

了解 IAM 政策

您可以借助一些 Policy Intelligence 工具了解 IAM 政策授予的访问权限。

分析访问权限

Cloud Asset Inventory 提供 Policy Analyzer,可帮助您了解哪些成员有权访问哪些 Google Cloud 资源。

Policy Analyzer 可以帮助您回答的典型问题包括“谁可以访问此 IAM 服务帐号?”和“谁可以读取此包含个人身份信息 (PII) 的 BigQuery 数据集中的数据?”

政策分析器允许您执行访问权限管理,可提供访问权限可见性,并且可用于审核和合规性相关任务。

如需了解如何使用 Policy Analyzer,请参阅分析 IAM 政策

排查权限问题

Policy Troubleshooter 可以帮您更轻松地理解用户为何能够访问资源或无权调用 API。给定电子邮件、资源和权限后,政策问题排查工具会检查适用于该资源的所有 IAM 政策。然后,它会显示该成员的角色是否包含该资源的权限,如果是,则显示该成员通过哪些政策绑定到这些角色。

如需了解如何使用政策问题排查工具,请参阅排查访问权限

Policy Analyzer 与 Policy Troubleshooter 的对比

Policy Analyzer 和 Policy Troubleshooter 可帮助您回答有关 IAM 政策的问题。不过,他们帮助解答的问题类型也有所不同。

Policy Analyzer 可以帮助您回答“谁”、“什么”和“哪些用户”问题,例如:

  • “谁有权访问此 IAM 服务帐号?”
  • “此用户对此 BigQuery 数据集有哪些角色和权限?”
  • “此用户有权读取哪些 BigQuery 数据集?”

相比之下,政策问题排查工具可以帮助您回答“为什么”问题,例如:

  • “为什么该用户对此 BigQuery 数据集具有 bigquery.datasets.create 权限?”
  • “为什么此用户无法查看此 BigQuery 数据集的 IAM 政策?”

后续步骤