Organisasi besar sering kali memiliki serangkaian kebijakan Google Cloud yang lengkap untuk mengontrol resource dan mengelola akses. Alat Policy Intelligence membantu Anda memahami dan mengelola kebijakan untuk meningkatkan konfigurasi keamanan Anda secara proaktif.
Bagian berikut menjelaskan hal yang dapat Anda lakukan dengan alat Policy Intelligence.
Memahami kebijakan dan penggunaan
Ada beberapa alat Policy Intelligence yang dapat membantu Anda memahami akses yang diizinkan oleh kebijakan Anda dan cara kebijakan tersebut digunakan.
Analisis akses
Inventaris Aset Cloud menyediakan kebijakan izin Penganalisis Kebijakan untuk IAM, yang memungkinkan Anda mengetahui akun utama yang memiliki akses ke resource Google Cloud tertentu berdasarkan kebijakan izin IAM Anda.
Penganalisis Kebijakan membantu Anda menjawab pertanyaan seperti berikut:
- "Siapa yang memiliki akses ke akun layanan IAM ini?"
- "Peran dan izin apa yang dimiliki pengguna ini pada set data BigQuery?"
- "Set data BigQuery mana yang boleh dibaca pengguna ini?"
Dengan membantu Anda menjawab pertanyaan ini, Penganalisis Kebijakan memungkinkan Anda mengelola akses secara efektif. Anda juga dapat menggunakan Penganalisis Kebijakan untuk tugas terkait audit dan kepatuhan.
Untuk mempelajari lebih lanjut Penganalisis Kebijakan untuk kebijakan izin, lihat Ringkasan Penganalisis Kebijakan.
Untuk mempelajari cara menggunakan Penganalisis Kebijakan untuk kebijakan izin, baca artikel Menganalisis kebijakan IAM.
Menganalisis kebijakan organisasi
Policy Intelligence menyediakan Penganalisis Kebijakan untuk Kebijakan Organisasi, yang dapat Anda gunakan untuk membuat kueri analisis guna mendapatkan informasi tentang kebijakan organisasi kustom dan standar.
Anda dapat menggunakan Penganalisis Kebijakan untuk menampilkan daftar kebijakan organisasi dengan batasan tertentu dan resource tempat kebijakan tersebut disertakan.
Untuk mempelajari cara menggunakan Penganalisis Kebijakan untuk Kebijakan Organisasi, lihat Menganalisis kebijakan organisasi yang ada.
Memecahkan masalah akses
Untuk membantu Anda memahami dan memperbaiki masalah akses, Policy Intelligence menawarkan pemecah masalah berikut:
- Pemecah Masalah Kebijakan untuk Identity and Access Management
- Pemecah masalah Kontrol Layanan VPC
- Pemecah Masalah Kebijakan untuk BeyondCorp Enterprise
Pemecah masalah akses membantu menjawab pertanyaan "mengapa" seperti berikut:
- "Mengapa pengguna ini memiliki izin
bigquery.datasets.create
di set data BigQuery ini?" - "Mengapa pengguna ini tidak dapat melihat kebijakan izin bucket Cloud Storage ini?"
Untuk mempelajari pemecah masalah ini lebih lanjut, lihat Pemecah masalah terkait akses.
Memahami penggunaan dan izin akun layanan
Akun layanan adalah jenis akun utama khusus yang dapat Anda gunakan untuk mengautentikasi aplikasi di Google Cloud.
Untuk membantu Anda memahami penggunaan akun layanan, Policy Intelligence menawarkan fitur berikut:
Activity Analyzer: Activity Analyzer memungkinkan Anda melihat kapan akun dan kunci layanan Anda terakhir kali digunakan untuk memanggil Google API. Untuk mempelajari cara menggunakan Activity Analyzer, lihat Melihat penggunaan terbaru untuk akun dan kunci layanan.
Insight akun layanan: Insight akun layanan adalah jenis insight yang mengidentifikasi akun layanan mana di project Anda yang belum digunakan dalam 90 hari terakhir. Untuk mempelajari cara mengelola insight akun layanan, lihat Menemukan akun layanan yang tidak digunakan.
Untuk membantu Anda memahami izin akun layanan, Policy Intelligence menawarkan insight pergerakan lateral. Insight gerakan lateral adalah jenis insight yang mengidentifikasi peran yang memungkinkan akun layanan di satu project untuk meniru akun layanan di project lain. Untuk informasi selengkapnya tentang insight gerakan lateral, lihat Cara hasil insight gerakan lateral. Untuk mempelajari cara mengelola insight pergerakan lateral, lihat Mengidentifikasi akun layanan dengan izin pergerakan lateral.
Insight gerakan lateral terkadang terkait dengan rekomendasi peran. Rekomendasi peran menyarankan tindakan yang dapat Anda lakukan untuk memperbaiki masalah yang diidentifikasi oleh insight gerakan lateral.
Meningkatkan kebijakan Anda
Anda dapat meningkatkan kualitas kebijakan izin IAM menggunakan rekomendasi peran. Rekomendasi peran membantu Anda menerapkan prinsip hak istimewa terendah dengan memastikan bahwa akun utama hanya memiliki izin yang benar-benar diperlukan. Setiap rekomendasi peran menyarankan agar Anda menghapus atau mengganti peran IAM yang memberikan izin berlebih kepada akun utama Anda.
Untuk mempelajari rekomendasi peran lebih lanjut, termasuk cara pembuatannya, lihat artikel Menerapkan hak istimewa terendah dengan rekomendasi peran.
Untuk mempelajari cara mengelola rekomendasi peran, lihat salah satu panduan berikut:
- Meninjau dan menerapkan rekomendasi peran untuk project, folder, dan organisasi
- Meninjau dan menerapkan rekomendasi peran untuk bucket Cloud Storage
- Tinjau dan terapkan rekomendasi peran untuk set data BigQuery
Mencegah kesalahan konfigurasi kebijakan
Ada beberapa alat Policy Intelligence yang dapat Anda gunakan untuk melihat dampak perubahan kebijakan terhadap organisasi Anda. Setelah melihat efek perubahan, Anda dapat memutuskan apakah akan melakukannya atau tidak.
Menguji perubahan kebijakan izinkan IAM
Policy Simulator untuk kebijakan izin IAM memungkinkan Anda melihat bagaimana perubahan pada kebijakan izin IAM dapat memengaruhi akses akun utama sebelum Anda berkomitmen untuk melakukan perubahan. Anda dapat menggunakan Simulator Kebijakan untuk memastikan bahwa perubahan yang Anda buat tidak akan menyebabkan akun utama kehilangan akses yang diperlukan.
Untuk mengetahui pengaruh perubahan pada kebijakan izin IAM dapat memengaruhi akses akun utama, Policy Simulator menentukan upaya akses mana dari 90 hari terakhir yang memiliki hasil yang berbeda berdasarkan kebijakan izin yang diusulkan dan kebijakan izin saat ini. Kemudian, laporan ini melaporkan hasil ini sebagai daftar perubahan akses.
Untuk mempelajari lebih lanjut Simulator Kebijakan, lihat Ringkasan Simulator Kebijakan IAM.
Untuk mempelajari cara menggunakan Policy Simulator guna menguji perubahan peran, lihat Menguji perubahan peran dengan IAM Policy Simulator.
Menguji perubahan kebijakan organisasi
Simulator Kebijakan untuk Kebijakan Organisasi memungkinkan Anda melihat pratinjau dampak batasan khusus atau kebijakan organisasi baru yang menerapkan batasan kustom sebelum diterapkan di lingkungan produksi Anda.
Policy Simulator menyediakan daftar resource yang melanggar kebijakan yang diusulkan sebelum kebijakan tersebut diterapkan, sehingga Anda dapat mengonfigurasi ulang resource tersebut, meminta pengecualian, atau mengubah cakupan kebijakan organisasi, semuanya tanpa mengganggu developer atau menurunkan lingkungan Anda.
Untuk mempelajari cara menggunakan Policy Simulator guna menguji perubahan pada kebijakan organisasi, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.