大型组织通常有一整套 Google Cloud 政策, 以及控制资源和管理访问权限Policy Intelligence 工具 帮助您了解和管理政策,以便主动改进 安全配置。
以下部分介绍了您可以使用 Policy Intelligence 工具。
了解政策和使用情况
有几种 Policy Intelligence 工具可以帮助您 了解您的政策允许的访问权限以及政策的使用方式。
分析访问权限
Cloud Asset Inventory 提供 Policy Analyzer 以实现 IAM 允许 这可以让您了解哪些主账号有权访问哪些 Google Cloud 资源 IAM 允许政策。
政策分析器可帮助您回答如下问题:
- “谁有权访问此 IAM 服务账号?”
- “此用户对此有何角色和权限 BigQuery 数据集?”
- “此用户有权读取哪些 BigQuery 数据集?”
政策分析器可帮助您解答这些问题 来有效管理访问权限。您还可以使用政策分析器 审核相关任务和合规性相关任务。
如需详细了解允许政策的政策分析器,请参阅 Policy Analyzer 概览。
如需了解如何使用政策分析器来允许政策,请参阅 分析 IAM 政策。
分析组织政策
Policy Intelligence 提供 Policy Analyzer, 组织政策,可用于创建分析查询 有关自定义和预定义组织政策的信息。
您可以使用政策分析器返回组织政策列表 以及这些政策适用的资源 已附加。
如需了解如何针对组织政策使用政策分析器,请参阅 分析现有组织政策。
排查访问权限问题
为帮助您了解访问权限问题并采取补救措施 Policy Intelligence 提供以下问题排查工具:
- Identity and Access Management 政策问题排查工具
- VPC Service Controls 问题排查工具
- Policy Troubleshooter for Chrome Enterprise Premium
访问问题排查工具帮助解答“原因”例如:
- “为什么该用户对此 BigQuery 数据集具有
bigquery.datasets.create权限?” - “为什么此用户不能查看此应用的允许政策 Cloud Storage 存储桶?”
要详细了解这些问题排查工具,请参阅与访问权限相关的 问题排查工具。
了解服务账号使用情况和权限
服务账号是一种特殊类型的主账号 可用于在 Google Cloud 中对应用进行身份验证。
为帮助您了解服务账号的使用情况 提供以下功能:
Activity Analyzer:借助 Activity Analyzer,您可以查看服务 账号和密钥上次用于调用 Google API。了解如何使用 Activity Analyzer,请参阅查看服务账号的近期使用情况和 密钥。
服务账号数据分析:服务账号数据分析是一种 数据分析,用于确定项目中的哪些服务账号具有 在过去 90 天内未使用。如需了解如何管理 服务账号数据分析,请参阅查找未使用的服务账号。
为了帮助您了解服务账号权限 Policy Intelligence 提供横向移动数据分析。横向 客户流动数据分析是一种数据分析,可确定 允许一个项目中的服务账号模拟 另一个项目。有关横向移动数据分析的更多信息,请参阅如何 生成横向移动数据分析。学习内容 有关如何管理横向移动数据洞见的信息,请参阅使用 横向移动权限。
横向移动数据分析有时与角色相关 建议。角色建议可提供您可以执行的操作 来补救通过横向移动数据分析发现的问题。
改进您的政策
您可以通过以下方式改进 IAM 允许政策: 角色。角色建议可帮助您强制执行原则 确保主账号仅拥有 客户真正需要的。每条角色建议都会建议您移除或替换 IAM 角色,可向主账号提供超额访问权限 权限。
如需详细了解角色建议(包括这些角色的生成方式),请参阅 按照角色建议授予最小权限。
如需了解如何管理角色建议,请参阅以下指南之一:
防止政策配置错误
您可以使用多种 Policy Intelligence 工具 看看政策变化将如何影响您的组织。看到 您可以决定是否进行更改。
测试 IAM 允许政策更改
借助 IAM 允许政策的 Policy Simulator,您可以了解 IAM 允许政策的更改可能会影响 主账号的访问权限。您可以使用 Policy Simulator 来确保所做的更改不会导致主账号失去所需的访问权限。
了解对 IAM 允许政策的更改可能会对 Policy Simulator 确定尝试进行哪些访问 根据过去 90 天的数据, 允许政策和当前允许政策。然后,它会将这些结果报告为 访问权限变更列表。
如需详细了解 Policy Simulator,请参阅 IAM 政策模拟器概览。
如需了解如何使用 Policy Simulator 测试角色更改,请参阅测试角色 使用 IAM 政策模拟器进行更改。
测试组织政策更改
借助组织政策的 Policy Simulator,您可以预览 新的自定义限制条件或强制执行自定义限制条件的组织政策 然后再在生产环境中实施。
Policy Simulator 提供违反所提议政策的资源列表 以便您重新配置这些资源、请求 或更改组织政策的适用范围 干扰您的开发者或破坏您的环境。
如需了解如何使用 Policy Simulator 测试对组织政策的更改, 请参阅使用 Policy 测试组织政策更改 模拟器。