Große Organisationen haben oft umfangreiche Google Cloud-Richtlinien, Ressourcen zu kontrollieren und den Zugriff zu verwalten. Policy Intelligence-Tools Ihre Richtlinien zu verstehen und zu verwalten, um die Sicherheitskonfiguration.
In den folgenden Abschnitten wird erläutert, was Sie mit Policy Intelligence-Tools
Richtlinien und Nutzung verstehen
Es gibt mehrere Policy Intelligence-Tools, die Ihnen helfen, zu verstehen, welchen Zugriff Ihre Richtlinien zulassen und wie sie verwendet werden.
Zugriff analysieren
Cloud Asset Inventory bietet Policy Analyzer für IAM-Zulassungen Richtlinien, mit denen Sie herausfinden können, auf welche Hauptkonten Google Cloud-Ressourcen basierend auf Ihrem IAM-Zulassungsrichtlinien:
Policy Analyzer hilft Ihnen bei der Beantwortung folgender Fragen:
- „Wer hat Zugriff auf dieses IAM-Dienstkonto?“
- „Welche Rollen und Berechtigungen hat dieser Nutzer BigQuery-Dataset verwenden?“
- „Welche BigQuery-Datasets darf dieser Nutzer lesen?“
Mit dem Richtlinien-Analyzer können Sie diese Fragen beantworten und so den Zugriff effektiv verwalten. Sie können den Richtlinien-Analyzer auch für Audit- und Compliance-Aufgaben verwenden.
Weitere Informationen zu Policy Analyzer für Zulassungsrichtlinien finden Sie unter Policy Analyzer – Übersicht
Informationen zur Verwendung des Richtlinien-Analysetools für Zulassungsrichtlinien finden Sie unter IAM-Richtlinien analysieren.
Organisationsrichtlinien analysieren
Policy Intelligence bietet Policy Analyzer für Organisationsrichtlinie, mit der Sie eine Analyseabfrage erstellen können, um Informationen zu benutzerdefinierten und vordefinierten Organisationsrichtlinien.
Mit der Richtlinienanalyse können Sie eine Liste von Organisationsrichtlinien mit einer bestimmten Einschränkung und den Ressourcen zurückgeben, an die diese Richtlinien angehängt sind.
Informationen zur Verwendung des Richtlinien-Analysetools für Organisationsrichtlinien finden Sie unter Vorhandene Organisationsrichtlinien analysieren.
Fehler beim Zugriff beheben
Damit Sie Zugriffsprobleme verstehen und beheben können, Policy Intelligence bietet die folgenden Fehlerbehebungen:
- Richtlinien-Problembehandlung für Identity and Access Management
- Fehlerbehebung für VPC Service Controls
- Policy Troubleshooter für Chrome Enterprise Premium
Mit den Fehlerbehebungen lässt sich herausfinden, warum. Fragen wie die folgenden:
- „Warum hat dieser Nutzer die Berechtigung
bigquery.datasets.createfür dieses BigQuery-Dataset?“ - „Warum kann dieser Nutzer die Zulassungsrichtlinie dieses Cloud Storage-Buckets nicht aufrufen?“
Weitere Informationen zu diesen Problembehandlungen finden Sie unter Zugriffsbezogene Problembehandlungen.
Informationen zur Verwendung und Berechtigungen von Dienstkonten
Dienstkonten sind ein besonderer Hauptkontotyp, den Sie zum Authentifizieren von Anwendungen in Google Cloud.
Policy Intelligence bietet die folgenden Funktionen, mit denen Sie die Nutzung von Dienstkonten besser nachvollziehen können:
Activity Analyzer: Mithilfe dieses Tools können Sie sehen, Konten und Schlüssel wurden zuletzt zum Aufrufen einer Google API verwendet. Informationen zur Verwendung der Aktivitätsanalyse finden Sie unter Aktuelle Nutzung von Dienstkonten und Schlüsseln ansehen.
Dienstkontostatistiken: Dienstkontostatistiken sind eine Art Erkenntnisse, die ermitteln, welche Dienstkonten in Ihrem Projekt in den letzten 90 Tagen nicht verwendet wurden. Weitere Informationen zum Verwalten Informationen zu Dienstkonten finden Sie unter Nicht verwendete Dienstkonten suchen.
Policy Intelligence bietet Statistiken zu lateralen Bewegungen, mit denen Sie die Berechtigungen von Dienstkonten besser nachvollziehen können. Statistiken zum „Lateral Movement“ sind eine Art von Statistik, mit denen Rollen identifiziert werden, mit denen ein Dienstkonto in einem Projekt die Identität eines Dienstkontos in einem anderen Projekt übernehmen kann. Weitere Informationen zur seitlichen Bewegung finden Sie unter Wie Daten zur seitlichen Bewegung werden generiert. Informationen zum Verwalten von Statistiken für „Lateral Movement“ finden Sie unter Dienstkonten mit Berechtigungen für „Lateral Movement“ identifizieren.
Informationen zu Lateralbewegungen werden manchmal mit Rolle Empfehlungen. Rollenempfehlungen schlagen Maßnahmen vor, um die Probleme zu beheben, die durch die Erkenntnisse aus der seitlichen Bewegung erkannt werden.
Richtlinien verbessern
Mithilfe von Rollenempfehlungen können Sie Ihre IAM-Zulassungsrichtlinien optimieren. Mit Rollenempfehlungen können Sie das Prinzip der geringsten Berechtigung erzwingen und Hauptkonten nur die Berechtigungen erteilen, die sie tatsächlich benötigen. Bei jeder Rollenempfehlung wird empfohlen, eine IAM-Rolle zu entfernen oder zu ersetzen, die Ihren Hauptkonten unnötige Berechtigungen gewährt.
Weitere Informationen zu Rollenempfehlungen, einschließlich ihrer Generierung, finden Sie unter Geringste Berechtigung mit Rollenempfehlungen erzwingen.
Informationen zum Verwalten von Rollenempfehlungen finden Sie in den folgenden Leitfäden:
- Rollenempfehlungen für Projekte, Ordner und Apps prüfen und anwenden Organisationen
- Rollenempfehlungen für Cloud Storage prüfen und anwenden Buckets
- Rollenempfehlungen für BigQuery-Datasets prüfen und anwenden
Fehlkonfigurationen in Richtlinien vermeiden
Es gibt mehrere Policy Intelligence-Tools, mit denen Sie sehen können, wie sich Änderungen an Richtlinien auf Ihre Organisation auswirken. Wenn Sie die können Sie entscheiden, ob Sie sie vornehmen möchten oder nicht.
Änderungen der IAM-Zulassungsrichtlinie testen
Mit dem Richtliniensimulator für IAM-Zulassungsrichtlinien können Sie sehen, wie sich eine Änderung an einer IAM-Zulassungsrichtlinie auf den Zugriff eines Hauptkontos auswirken kann, bevor Sie die Änderung vornehmen. Mit dem Richtliniensimulator können Sie dafür sorgen, dass Änderungen nicht dazu führen, dass ein Hauptkonto den erforderlichen Zugriff verliert.
Um herauszufinden, wie sich eine Änderung an einer IAM-Zulassungsrichtlinie auf ein Zugriffsversuche des Hauptkontos ermittelt, bestimmt Policy Simulator, welche Zugriffsversuche der letzten 90 Tage zu unterschiedlichen Ergebnissen und die aktuelle Zulassungsrichtlinie. Diese Ergebnisse werden dann Liste der Zugriffsänderungen.
Weitere Informationen zum Richtliniensimulator finden Sie unter IAM Policy Simulator – Übersicht.
Informationen zur Verwendung von Policy Simulator zum Testen von Rollenänderungen finden Sie unter Rolle testen mit IAM Policy Simulator ändern.
Änderungen der Organisationsrichtlinie testen
Mit dem Richtliniensimulator für Organisationsrichtlinien können Sie sich eine Vorschau der Auswirkungen einer neuen benutzerdefinierten Einschränkung oder einer Organisationsrichtlinie ansehen, die eine benutzerdefinierte Einschränkung erzwingt, bevor sie in Ihrer Produktionsumgebung erzwungen wird.
Der Richtliniensimulator stellt eine Liste der Ressourcen bereit, die gegen die vorgeschlagene Richtlinie verstoßen, bevor sie erzwungen wird. So können Sie diese Ressourcen neu konfigurieren, Ausnahmen beantragen oder den Geltungsbereich Ihrer Organisationsrichtlinie ändern, ohne die Entwickler zu beeinträchtigen oder Ihre Umgebung zu beeinträchtigen.
Weitere Informationen dazu, wie Sie mit dem Richtliniensimulator Änderungen an Organisationsrichtlinien testen, finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.