大型组织通常有一整套 Google Cloud 政策, 以及控制资源和管理访问权限Policy Intelligence 工具可帮助您了解并管理您的政策,以主动改进您的安全配置。
以下部分介绍了您可以使用 Policy Intelligence 工具。
了解政策和使用情况
您可以借助一些 Policy Intelligence 工具了解您的政策允许的访问权限以及这些政策的使用方式。
分析访问权限
Cloud Asset Inventory 提供 Policy Analyzer 以实现 IAM 允许 这可以让您了解哪些主账号有权访问哪些 Google Cloud 资源 IAM 允许政策。
Policy Analyzer 可帮助您回答如下问题:
- “谁有权访问此 IAM 服务账号?”
- “此用户对此 BigQuery 数据集有哪些角色和权限?”
- “此用户有权读取哪些 BigQuery 数据集?”
政策分析器可帮助您解答这些问题 来有效管理访问权限。您还可以使用政策分析器 审核相关任务和合规性相关任务。
如需详细了解允许政策的政策分析器,请参阅 Policy Analyzer 概览。
如需了解如何将政策分析器用于允许政策,请参阅 分析 IAM 政策。
分析组织政策
Policy Intelligence 为组织政策提供了 Policy Analyzer,您可以使用该工具创建分析查询,以获取有关自定义政策和预定义组织政策的信息。
您可以使用政策分析器返回组织政策列表 以及这些政策适用的资源 已附加。
如需了解如何针对组织政策使用 Policy Analyzer,请参阅分析现有组织政策。
排查访问权限问题
为帮助您了解和解决访问权限问题,Policy Intelligence 提供了以下问题排查工具:
- Identity and Access Management 政策问题排查工具
- VPC Service Controls 问题排查工具
- Policy Troubleshooter for Chrome Enterprise Premium
访问问题排查工具帮助解答“原因”例如:
- “为什么该用户对此 BigQuery 数据集具有
bigquery.datasets.create权限?” - “为什么此用户不能查看此应用的允许政策 Cloud Storage 存储桶?”
要详细了解这些问题排查工具,请参阅与访问权限相关的 问题排查工具。
了解服务账号使用情况和权限
服务账号是一种特殊类型的主体,可用于对 Google Cloud 中的应用进行身份验证。
为帮助您了解服务账号使用情况,政策智能功能提供了以下功能:
activity 分析器:activity 分析器可让您查看服务 账号和密钥上次用于调用 Google API。如需了解如何使用活动分析器,请参阅查看服务账号和密钥的近期使用情况。
服务账号数据分析:服务账号数据分析是一种 数据分析,用于确定项目中的哪些服务账号具有 在过去 90 天内未使用过。如需了解如何管理 服务账号数据分析,请参阅查找未使用的服务账号。
为了帮助您了解服务账号权限 Policy Intelligence 提供横向移动数据洞见。横向 客户流动数据分析是一种数据分析,可确定 允许一个项目中的服务账号模拟 另一个项目。有关横向移动数据分析的更多信息,请参阅如何 生成横向移动数据分析。如需了解如何管理横向移动数据分析,请参阅识别具有横向移动权限的服务账号。
横向移动数据分析有时会与角色建议相关联。角色建议可提供您可以执行的操作 来补救通过横向移动数据分析发现的问题。
改进您的政策
您可以使用角色建议来改进 IAM 允许政策。角色建议可确保主账号仅拥有其实际需要的权限,从而帮助您强制执行最小权限原则。每条角色建议都会建议您移除或替换 可向主账号提供多余权限的 IAM 角色 权限。
如需详细了解角色建议(包括其生成方式),请参阅使用角色建议强制执行最小权限。
如需了解如何管理角色建议,请参阅以下指南之一:
防止政策配置错误
您可以使用多种 Policy Intelligence 工具 看看政策变化将如何影响您的组织。看到 您可以决定是否进行更改。
测试 IAM 允许政策更改
借助 IAM 允许政策的 Policy Simulator,您可以了解 IAM 允许政策的更改可能会影响 主账号的访问权限。您可以使用 Policy Simulator 来确保所做的更改不会导致主账号失去所需的访问权限。
了解对 IAM 允许政策的更改可能会对 Policy Simulator 确定尝试进行哪些访问 根据过去 90 天的数据, 允许政策和当前允许政策。然后,它会将这些结果作为访问权限更改列表进行报告。
如需详细了解 Policy Simulator,请参阅 IAM 政策模拟器概览。
如需了解如何使用 Policy Simulator 测试角色更改,请参阅测试角色 使用 IAM 政策模拟器进行更改。
测试组织政策更改
借助组织政策的 Policy Simulator,您可以预览 新的自定义限制条件或强制执行自定义限制条件的组织政策 然后再在生产环境中实施。
Policy Simulator 提供违反所提议政策的资源列表 以便您重新配置这些资源、请求 或更改组织政策的适用范围 干扰您的开发者或破坏您的环境。
如需了解如何使用 Policy Simulator 测试对组织政策的更改, 请参阅使用 Policy 测试组织政策更改 模拟器。