Le grandi organizzazioni spesso dispongono di un ampio set di criteri Google Cloud per controllare le risorse e gestire l'accesso. Strumenti di Policy Intelligence a comprendere e gestire i criteri per migliorare proattivamente il configurazione di sicurezza.
Le sezioni seguenti spiegano cosa puoi fare con strumenti di Policy Intelligence.
Informazioni sulle norme e sull'utilizzo
Esistono diversi strumenti Policy Intelligence che possono aiutarti Comprendere quale accesso è consentito dai tuoi criteri e come vengono utilizzati.
Analizza accesso
Cloud Asset Inventory fornisce Policy Analyzer per IAM che ti consente di scoprire quali entità hanno accesso a quali alle risorse Google Cloud basate Criteri di autorizzazione IAM.
Analizzatore criteri ti aiuta a rispondere a domande come le seguenti:
- "Chi ha accesso a questo account di servizio IAM?"
- "Quali ruoli e autorizzazioni ha questo utente BigQuery?"
- "Per quali set di dati BigQuery questo utente dispone dell'autorizzazione per leggere?"
Aiutandoti a rispondere a queste domande, l'Analizzatore criteri ti consente per amministrare in modo efficace l'accesso. Puoi usare Policy Analyzer anche per le attività correlate ai controlli e alla conformità.
Per scoprire di più sull'Analizzatore criteri per i criteri di autorizzazione, consulta Panoramica di Policy Analyzer.
Per scoprire come utilizzare Policy Analyzer per i criteri di autorizzazione, vedi Analisi dei criteri IAM.
Analizza i criteri dell'organizzazione
Policy Intelligence fornisce Policy Analyzer per criterio dell'organizzazione, che puoi usare per creare una query di analisi informazioni sui criteri dell'organizzazione personalizzati e predefiniti.
Puoi usare Policy Analyzer per restituire un elenco dei criteri dell'organizzazione con un determinato vincolo e le risorse a cui questi criteri in allegato.
Per scoprire come utilizzare Policy Analyzer per i criteri dell'organizzazione, vedi Analizza i criteri dell'organizzazione esistenti.
Risolvere i problemi di accesso
Per aiutarti a comprendere e risolvere i problemi di accesso, Policy Intelligence offre i seguenti strumenti per la risoluzione dei problemi:
- Strumento per la risoluzione dei problemi relativi ai criteri per Identity and Access Management
- Strumento per la risoluzione dei problemi di Controlli di servizio VPC
- Policy Troubleshooter per Chrome Enterprise Premium
Gli strumenti per la risoluzione dei problemi di accesso aiutano a rispondere alla domanda "perché" come queste:
- "Perché l'utente ha l'autorizzazione
bigquery.datasets.createper questo BigQuery?" - "Perché l'utente non è in grado di visualizzare il criterio di autorizzazione di questo nel bucket Cloud Storage?".
Per ulteriori informazioni su questi strumenti per la risoluzione dei problemi, consulta la sezione Informazioni sugli accessi strumenti per la risoluzione dei problemi.
Informazioni sull'utilizzo e sulle autorizzazioni degli account di servizio
Gli account di servizio sono un tipo speciale di entità per autenticare le applicazioni in Google Cloud.
Per aiutarti a comprendere l'utilizzo degli account di servizio, Policy Intelligence offre le seguenti funzionalità:
Analizzatore attività: questo strumento ti consente di vedere quando il tuo servizio account e chiavi sono stati utilizzati l'ultima volta per chiamare un'API di Google. Per scoprire come utilizzare Analizzatore attività, vedi Visualizzare l'utilizzo recente per account di servizio e chiave.
Approfondimenti sull'account di servizio: gli insight sull'account di servizio sono un tipo insight che identificano gli account di servizio nel progetto non sono state utilizzate negli ultimi 90 giorni. Per scoprire come gestire insight sugli account di servizio, consulta Trovare gli account di servizio inutilizzati.
Per aiutarti a comprendere le autorizzazioni degli account di servizio, Policy Intelligence offre insight sul movimento laterale. Laterale le informazioni sui movimenti sono un tipo di informazioni che identificano i ruoli consentire a un account di servizio in un progetto di impersonare un account di servizio in un altro progetto. Per ulteriori informazioni sulle informazioni sul movimento laterale, vedi Come vengono generate informazioni sui movimenti laterali. Per apprendere su come gestire gli insight sugli spostamenti laterali, consulta Identificare gli account di servizio con permessi di movimento laterale.
Le informazioni sui movimenti laterali sono a volte collegate al ruolo personalizzati. I suggerimenti sui ruoli suggeriscono azioni che puoi da adottare per risolvere i problemi identificati dalle informazioni sui movimenti laterali.
Migliora le tue norme
Per migliorare i criteri di autorizzazione IAM, puoi: utilizzando i suggerimenti sui ruoli. I suggerimenti sui ruoli ti aiutano ad applicare il principio del privilegio minimo assicurando che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno. Ogni suggerimento per il ruolo ti consiglia di rimuovere o sostituire un ruolo IAM che assegna alle entità in eccesso autorizzazioni aggiuntive.
Per scoprire di più sui suggerimenti sui ruoli, incluso come vengono generati, vedi Imporre il privilegio minimo con i suggerimenti sui ruoli.
Per scoprire come gestire i suggerimenti sui ruoli, consulta una delle seguenti guide:
- Esamina e applica suggerimenti sui ruoli per progetti, cartelle e organizzazioni
- Esamina e applica i suggerimenti sui ruoli per Cloud Storage del bucket
- Esaminare e applicare i suggerimenti sul ruolo per BigQuery set di dati
Previeni gli errori di configurazione dei criteri
Esistono diversi strumenti Policy Intelligence che puoi utilizzare per vedere come le modifiche ai criteri influenzeranno la tua organizzazione. Dopo aver visualizzato l'effetto delle modifiche, puoi decidere se apportarle o meno.
Testa le modifiche ai criteri di autorizzazione IAM
Policy Simulator per i criteri di autorizzazione IAM ti consente di vedere come un a un criterio di autorizzazione IAM potrebbe influire su l'accesso dell'entità prima di impegnarti ad apportare la modifica. Puoi utilizzare Policy Simulator per assicurarti che le modifiche che apporti non causino un che perda l'accesso di cui hanno bisogno.
Per scoprire in che modo una modifica a un criterio di autorizzazione IAM potrebbe influire su un accesso dell'entità, Policy Simulator determina i tentativi di accesso degli ultimi 90 giorni abbiano risultati diversi in base alla di autorizzazione e il criterio di autorizzazione attuale. Poi, segnala questi risultati come delle modifiche all'accesso.
Per scoprire di più su Policy Simulator, consulta Panoramica del simulatore di criteri IAM.
Per scoprire come utilizzare Policy Simulator per testare le modifiche dei ruoli, vedi Testare il ruolo modifiche con il simulatore dei criteri IAM.
Testare le modifiche ai criteri dell'organizzazione
Policy Simulator per i criteri dell'organizzazione ti consente di visualizzare in anteprima l'impatto di un nuovo vincolo personalizzato o criterio dell'organizzazione che applica un vincolo personalizzato prima dell'applicazione nell'ambiente di produzione.
Policy Simulator fornisce un elenco di risorse che violano il criterio proposto prima dell'applicazione, consentendoti di riconfigurarle, richiedere eccezioni o modificare l'ambito dei criteri dell'organizzazione, il tutto senza interrompere o interrompere il tuo ambiente.
Per scoprire come utilizzare Policy Simulator per testare le modifiche ai criteri dell'organizzazione, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Controller Simulatore.