As organizações grandes têm frequentemente um conjunto extenso de Google Cloud políticas para controlar os recursos e gerir o acesso. As ferramentas de inteligência de políticas ajudam a compreender e gerir as suas políticas para melhorar proativamente a configuração de segurança.
As secções seguintes explicam o que pode fazer com as ferramentas de inteligência de políticas.
Compreenda as políticas e a utilização
Existem várias ferramentas de inteligência de políticas que ajudam a compreender que acesso as suas políticas permitem e como as políticas estão a ser usadas.
Analise o acesso
O Cloud Asset Inventory fornece o Policy Analyzer para políticas de autorização da IAM, que lhe permite saber que principais têm acesso a queGoogle Cloud recursos com base nas suas políticas de autorização da IAM.
O Analisador de políticas ajuda a responder a perguntas como as seguintes:
- "Quem tem acesso a esta conta de serviço do IAM?"
- "Que funções e autorizações tem este utilizador neste conjunto de dados do BigQuery?"
- "Que conjuntos de dados do BigQuery este utilizador tem autorização para ler?"
Ao ajudar a responder a estas perguntas, o Analisador de políticas permite-lhe administrar o acesso de forma eficaz. Também pode usar o Analisador de políticas para tarefas relacionadas com auditorias e conformidade.
Para saber mais acerca do Analisador de políticas para políticas de autorização, consulte a vista geral do Analisador de políticas.
Para saber como usar o analisador de políticas para políticas de permissão, consulte o artigo Analisar políticas de IAM.
Analise as políticas da organização
A Policy Intelligence fornece o Analisador de políticas para a política da organização, que pode usar para criar uma consulta de análise para obter informações sobre políticas da organização personalizadas e predefinidas.
Pode usar o Analisador de políticas para devolver uma lista de políticas da organização com uma restrição específica e os recursos aos quais essas políticas estão anexadas.
Para saber como usar o Analisador de políticas para a política da organização, consulte o artigo Analise as políticas da organização existentes.
Resolva problemas de acesso
Para ajudar a compreender e corrigir problemas de acesso, a inteligência de políticas oferece as seguintes ferramentas de resolução de problemas:
- Resolução de problemas de políticas para a gestão de identidade e de acesso
- Resolução de problemas dos VPC Service Controls
- Resolução de problemas de políticas do Chrome Enterprise Premium
Os solucionadores de problemas de acesso ajudam a responder a perguntas do tipo "porquê", como as seguintes:
- "Por que motivo este utilizador tem a autorização
bigquery.datasets.createneste conjunto de dados do BigQuery?" - "Por que motivo este utilizador não consegue ver a política de autorização deste contentor do Cloud Storage?"
Para saber mais sobre estes solucionadores de problemas, consulte os Solucionadores de problemas relacionados com o acesso.
Compreenda a utilização e as autorizações da conta de serviço
As contas de serviço são um tipo especial de principal que pode usar para autenticar aplicações no Google Cloud.
Para ajudar a compreender a utilização da conta de serviço, a inteligência das políticas oferece as seguintes funcionalidades:
Analisador de atividade: o Analisador de atividade permite-lhe ver quando as suas contas de serviço e chaves foram usadas pela última vez para chamar uma API Google. Para saber como usar o analisador de atividade, consulte o artigo Veja a utilização recente de contas de serviço e chaves.
Estatísticas da conta de serviço: as estatísticas da conta de serviço são um tipo de estatísticas que identificam as contas de serviço no seu projeto que não foram usadas nos últimos 90 dias. Para saber como gerir as estatísticas da conta de serviço, consulte o artigo Encontre contas de serviço não usadas.
Para ajudar a compreender as autorizações da conta de serviço, a Policy Intelligence oferece estatísticas de movimento lateral. As estatísticas de movimento lateral são um tipo de estatísticas que identificam funções que permitem que uma conta de serviço num projeto se faça passar por uma conta de serviço noutro projeto. Para mais informações sobre as estatísticas de movimento lateral, consulte o artigo Como são geradas as estatísticas de movimento lateral. Para saber como gerir as estatísticas de movimento lateral, consulte o artigo Identifique contas de serviço com autorizações de movimento lateral.
Por vezes, as estatísticas de movimento lateral estão associadas a recomendações de funções. As recomendações de funções sugerem ações que pode realizar para corrigir os problemas identificados pelas estatísticas de movimento lateral.
Melhore as suas políticas
Pode melhorar as suas políticas de autorização da IAM através de recomendações de funções. As recomendações de funções ajudam a aplicar o princípio do menor privilégio, garantindo que os principais têm apenas as autorizações de que realmente precisam. Cada recomendação de função sugere que remova ou substitua uma função de IAM que concede aos seus principais autorizações excessivas.
Para saber mais sobre as recomendações de funções, incluindo como são geradas, consulte o artigo Aplique o princípio do menor privilégio com as recomendações de funções.
Para saber como gerir as recomendações de funções, consulte um dos seguintes guias:
- Reveja e aplique recomendações de funções para projetos, pastas e organizações
- Reveja e aplique recomendações de funções para os contentores do Cloud Storage
- Reveja e aplique recomendações de funções para conjuntos de dados do BigQuery
Evite configurações incorretas de políticas
Existem várias ferramentas de inteligência de políticas que pode usar para ver como as alterações às políticas vão afetar a sua organização. Depois de ver o efeito das alterações, pode decidir se as quer implementar ou não.
Teste alterações às políticas relacionadas com o acesso
Para lhe mostrar como uma alteração a uma política relacionada com o acesso pode afetar o acesso dos seus diretores, a inteligência de políticas oferece os seguintes simuladores de políticas:
- Simulador de políticas para políticas de permissão
- Simulador de políticas para políticas de recusa
- Simulador de políticas para políticas de limite de acesso principal
Cada um destes simuladores permite-lhe ver como uma alteração a uma política desse tipo afetaria o acesso dos seus diretores antes de se comprometer a fazer a alteração. Cada simulador avalia apenas um tipo de política e não tem em conta se outros tipos de políticas permitiriam ou bloqueariam o acesso.
Teste alterações à política da organização
O Simulador de políticas para a política da organização permite-lhe pré-visualizar o impacto de uma nova restrição personalizada ou uma política da organização que aplique uma restrição personalizada antes de ser aplicada no seu ambiente de produção.
O simulador de políticas fornece uma lista de recursos que violam a política proposta antes de ser aplicada, o que lhe permite reconfigurar esses recursos, pedir exceções ou alterar o âmbito da sua política da organização, tudo sem interromper os seus programadores nem desativar o seu ambiente.
Para saber como usar o Simulador de políticas para testar alterações às políticas da organização, consulte o artigo Teste alterações às políticas da organização com o Simulador de políticas.