Policy Intelligence – Übersicht

Große Organisationen haben oft umfangreiche Google Cloud-Richtlinien, Ressourcen zu kontrollieren und den Zugriff zu verwalten. Policy Intelligence-Tools Ihre Richtlinien zu verstehen und zu verwalten, um die Sicherheitskonfiguration.

In den folgenden Abschnitten wird erläutert, was Sie mit Policy Intelligence-Tools

Richtlinien und Nutzung verstehen

Es gibt mehrere Policy Intelligence-Tools, zu verstehen, welchen Zugriff Ihre Richtlinien zulassen und wie die Richtlinien verwendet werden.

Zugriff analysieren

Cloud Asset Inventory bietet Policy Analyzer für IAM-Zulassungen Richtlinien, mit denen Sie herausfinden können, auf welche Hauptkonten Google Cloud-Ressourcen basierend auf Ihrem IAM-Zulassungsrichtlinien:

Policy Analyzer hilft Ihnen, Fragen wie die folgenden zu beantworten:

• „Wer hat Zugriff auf dieses IAM-Dienstkonto?“
• „Welche Rollen und Berechtigungen hat dieser Nutzer BigQuery-Dataset verwenden?“
• „Welche BigQuery-Datasets darf dieser Nutzer lesen?“

Policy Analyzer hilft Ihnen bei der Beantwortung dieser Fragen, sodass Sie den Zugriff effektiv zu verwalten. Sie können Policy Analyzer auch für Audit- und Compliance-Aufgaben.

Weitere Informationen zu Policy Analyzer für Zulassungsrichtlinien finden Sie unter Policy Analyzer – Übersicht

Informationen zur Verwendung von Policy Analyzer für Zulassungsrichtlinien finden Sie unter IAM-Richtlinien analysieren

Organisationsrichtlinien analysieren

Policy Intelligence bietet Policy Analyzer für Organisationsrichtlinie, mit der Sie eine Analyseabfrage erstellen können, um Informationen zu benutzerdefinierten und vordefinierten Organisationsrichtlinien.

Mit Policy Analyzer können Sie eine Liste von Organisationsrichtlinien abrufen mit einer bestimmten Einschränkung und die Ressourcen, für die diese Richtlinien gelten, angehängt.

Informationen zur Verwendung von Policy Analyzer für Organisationsrichtlinien finden Sie unter Bestehende Organisationsrichtlinien analysieren

Fehler beim Zugriff beheben

Damit Sie Zugriffsprobleme besser verstehen und beheben können, Policy Intelligence bietet die folgenden Fehlerbehebungen:

• Policy Troubleshooter für Identity and Access Management
• Fehlerbehebung für VPC Service Controls
• Policy Troubleshooter für Chrome Enterprise Premium

Mit den Fehlerbehebungen lässt sich herausfinden, warum. Fragen wie die folgenden:

• „Warum hat dieser Nutzer die Berechtigung bigquery.datasets.create für dieses BigQuery-Dataset?“
• „Warum kann dieser Nutzer die Zulassungsrichtlinie für Cloud Storage-Bucket aus?

Weitere Informationen zu diesen Fehlerbehebungen finden Sie unter Zugriffsbezogene Fehlerbehebung.

Nutzung und Berechtigungen von Dienstkonten

Dienstkonten sind ein besonderer Hauptkontotyp, den Sie zum Authentifizieren von Anwendungen in Google Cloud.

Policy Intelligence hilft dabei, die Nutzung von Dienstkonten besser zu verstehen. bietet folgende Funktionen:

• Activity Analyzer: Mit diesem Tool können Sie feststellen, Konten und Schlüssel wurden zuletzt zum Aufrufen einer Google API verwendet. So verwenden Sie Activity Analyzer, siehe Aktuelle Nutzung für Dienstkonten und Schlüssel.

• Dienstkontostatistiken: Dienstkontostatistiken sind eine Art Erkenntnisse, die ermitteln, welche Dienstkonten in Ihrem Projekt in den letzten 90 Tagen nicht verwendet wurden. Weitere Informationen zum Verwalten Informationen zu Dienstkonten finden Sie unter Nicht verwendete Dienstkonten suchen.

Damit Sie die Dienstkontoberechtigungen besser verstehen, Policy Intelligence bietet Insights zur seitlichen Bewegung. Seitlich Bewegungserkenntnisse sind eine Art Erkenntnis, mit dem Rollen identifiziert werden, die Einem Dienstkonto in einem Projekt erlauben, die Identität eines Dienstkontos in ein anderes Projekt erstellen. Weitere Informationen zur seitlichen Bewegung finden Sie unter Wie Es werden Daten zur seitlichen Bewegung generiert. Weitere Informationen Informationen zur Verwaltung von Insights zur seitlichen Bewegung finden Sie unter Dienstkonten identifizieren mit Berechtigungen für die laterale Ausbreitung

Informationen zu Lateralbewegungen werden manchmal mit Rolle Empfehlungen. Rollenempfehlungen schlagen Maßnahmen vor, um die Probleme zu beheben, die durch die Erkenntnisse aus der seitlichen Bewegung erkannt werden.

Richtlinien verbessern

Sie können Ihre IAM-Zulassungsrichtlinien verbessern, indem Sie mithilfe von Rollenempfehlungen. Rollenempfehlungen helfen Ihnen, das Prinzip durchzusetzen. der geringsten Berechtigung, indem sichergestellt wird, dass Hauptkonten nur die Berechtigungen haben, die sie tatsächlich brauchen. Bei jeder Rollenempfehlung wird empfohlen, das Element zu entfernen oder zu ersetzen eine IAM-Rolle, die Ihren Hauptkonten überschüssige gewährt Berechtigungen.

Weitere Informationen zu Rollenempfehlungen und dazu, wie sie generiert werden, finden Sie unter Geringste Berechtigung mit Rollenempfehlungen erzwingen

Informationen zum Verwalten von Rollenempfehlungen finden Sie in den folgenden Leitfäden:

• Rollenempfehlungen für Projekte, Ordner und Apps prüfen und anwenden organizations
• Rollenempfehlungen für Cloud Storage prüfen und anwenden Buckets
• Rollenempfehlungen für BigQuery prüfen und anwenden Datasets

Fehlkonfigurationen in Richtlinien vermeiden

Es gibt mehrere Policy Intelligence-Tools, mit denen Sie um zu sehen, wie sich Richtlinienänderungen auf Ihre Organisation auswirken. Wenn Sie die können Sie entscheiden, ob Sie sie vornehmen möchten oder nicht.

Änderungen der IAM-Zulassungsrichtlinie testen

<ph type="x-smartling-placeholder">

Policy Simulator für IAM-Zulassungsrichtlinien zeigt Ihnen, wie ein kann sich eine Änderung an einer IAM-Zulassungsrichtlinie Zugriff des Hauptkontos ein, bevor Sie die Änderung vornehmen. Mit dem Richtliniensimulator können Sie dafür sorgen, dass Änderungen nicht dazu führen, dass ein Hauptkonto den erforderlichen Zugriff verliert.

Um herauszufinden, wie sich eine Änderung an einer IAM-Zulassungsrichtlinie auf eine Zugriffsversuche des Hauptkontos ermittelt, bestimmt Policy Simulator, welche Zugriffsversuche der letzten 90 Tage zu unterschiedlichen Ergebnissen und die aktuelle Zulassungsrichtlinie. Diese Ergebnisse werden dann Liste der Zugriffsänderungen.

Weitere Informationen zu Policy Simulator finden Sie unter Übersicht über den IAM-Richtliniensimulator

Informationen zur Verwendung von Policy Simulator zum Testen von Rollenänderungen finden Sie unter Rolle testen mit IAM Policy Simulator ändern.

Änderungen der Organisationsrichtlinie testen

Mit dem Policy Simulator für Organisationsrichtlinien können Sie eine Vorschau der Auswirkungen Eine neue benutzerdefinierte Einschränkung oder Organisationsrichtlinie, die eine benutzerdefinierte Einschränkung erzwingt bevor sie in Ihrer Produktionsumgebung erzwungen wird.

Policy Simulator enthält eine Liste der Ressourcen, die gegen die vorgeschlagene Richtlinie verstoßen bevor sie erzwungen wird. So können Sie diese Ressourcen neu konfigurieren, oder den Geltungsbereich Ihrer Organisationsrichtlinie ändern, ohne dass Ihre Entwickler oder Ihre Umgebung beeinträchtigen.

Informationen dazu, wie Sie mit Policy Simulator Änderungen an Organisationsrichtlinien testen können, Siehe Änderungen an Organisationsrichtlinien mit Richtlinie testen Simulator erstellen.