Le grandi organizzazioni spesso dispongono di un ampio set di criteri di Google Cloud per controllare le risorse e gestire l'accesso. Gli strumenti di Policy Intelligence ti consentono di comprendere e gestire i criteri per migliorare proattivamente la configurazione della sicurezza.
Le sezioni seguenti spiegano cosa puoi fare con gli strumenti di Policy Intelligence.
Informazioni sulle norme e sull'utilizzo
Esistono diversi strumenti di Policy Intelligence che ti aiutano a comprendere l'accesso consentito dai criteri e come vengono utilizzati.
Analizza accesso
Cloud Asset Inventory offre Policy Analyzer per i criteri di autorizzazione IAM, che consente di scoprire quali entità hanno accesso a determinate risorse Google Cloud in base ai criteri di autorizzazione IAM.
Analizzatore criteri ti aiuta a rispondere a domande come le seguenti:
- "Chi ha accesso a questo account di servizio IAM?"
- "Quali ruoli e autorizzazioni ha questo utente su questo set di dati BigQuery?"
- "Quali set di dati BigQuery ha l'autorizzazione di lettura?"
Aiutandoti a rispondere a queste domande, Policy Analyzer ti consente di amministrare in modo efficace l'accesso. Puoi usare Policy Analyzer per le attività relative ai controlli e alla conformità.
Per scoprire di più sui criteri di autorizzazione di Policy Analyzer, consulta la panoramica di Policy Analyzer.
Per scoprire come utilizzare Policy Analyzer per i criteri di autorizzazione, consulta Analisi dei criteri IAM.
Analizza i criteri dell'organizzazione
Policy Intelligence fornisce Policy Analyzer per i criteri dell'organizzazione, che puoi utilizzare per creare una query di analisi per ottenere informazioni sui criteri dell'organizzazione sia personalizzati che predefiniti.
Puoi utilizzare Policy Analyzer per restituire un elenco dei criteri dell'organizzazione con un determinato vincolo e le risorse a cui sono associati.
Per scoprire come utilizzare Policy Analyzer per i criteri dell'organizzazione, vedi Analizzare i criteri dell'organizzazione esistenti.
Risolvere i problemi di accesso
Per aiutarti a comprendere e risolvere i problemi di accesso, Policy Intelligence offre i seguenti strumenti per la risoluzione dei problemi:
- Strumento per la risoluzione dei problemi relativi ai criteri per Identity and Access Management
- Strumento per la risoluzione dei problemi dei Controlli di servizio VPC
- Policy Troubleshooter per Chrome Enterprise Premium
Gli strumenti per la risoluzione dei problemi di accesso aiutano a rispondere a domande sul "perché" come le seguenti:
- "Perché questo utente ha l'autorizzazione
bigquery.datasets.createsu questo set di dati BigQuery?" - "Perché questo utente non è in grado di visualizzare il criterio di autorizzazione di questo bucket Cloud Storage?"
Per scoprire di più su questi strumenti per la risoluzione dei problemi, consulta la pagina Strumenti per la risoluzione dei problemi relativi all'accesso.
Informazioni sull'utilizzo e sulle autorizzazioni degli account di servizio
Gli account di servizio sono un tipo speciale di entità che puoi utilizzare per autenticare le applicazioni in Google Cloud.
Per aiutarti a comprendere l'utilizzo degli account di servizio, Policy Intelligence offre le seguenti funzionalità:
Strumento di analisi Attività: consente di vedere quando gli account e le chiavi di servizio sono stati utilizzati l'ultima volta per chiamare un'API Google. Per scoprire come utilizzare Analizzatore attività, consulta Visualizzare l'utilizzo recente di account e chiavi di servizio.
Insight sull'account di servizio: gli insight sull'account di servizio sono un tipo di approfondimento che identifica quali account di servizio nel progetto non sono stati utilizzati negli ultimi 90 giorni. Per scoprire come gestire gli insight sugli account di servizio, vedi Trovare gli account di servizio inutilizzati.
Policy Intelligence offre insight sul movimento laterale per aiutarti a comprendere le autorizzazioni dell'account di servizio. Gli insight sui movimenti laterali sono un tipo di insight che identifica i ruoli che consentono a un account di servizio in un progetto di impersonare un account di servizio in un altro progetto. Per ulteriori informazioni sugli insight sui movimenti laterali, consulta Come vengono generati gli insight sui movimenti laterali. Per scoprire come gestire gli insight sul movimento laterale, vedi Identificare gli account di servizio con le autorizzazioni per il movimento laterale.
Gli insight sui movimenti laterali sono a volte collegati ai consigli sui ruoli. I suggerimenti sui ruoli suggeriscono azioni che puoi intraprendere per risolvere i problemi identificati dagli insight sui movimenti laterali.
Migliora le tue norme
Puoi migliorare i criteri di autorizzazione IAM utilizzando i suggerimenti sui ruoli. I suggerimenti sui ruoli consentono di applicare il principio del privilegio minimo garantendo che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno. Ogni suggerimento per il ruolo ti consiglia di rimuovere o sostituire un ruolo IAM che concede autorizzazioni in eccesso alle entità.
Per scoprire di più sui suggerimenti sui ruoli, incluso il modo in cui vengono generati, vedi Applicare il privilegio minimo con i suggerimenti sui ruoli.
Per scoprire come gestire i suggerimenti sui ruoli, consulta una delle seguenti guide:
- Esamina e applica i suggerimenti sui ruoli per progetti, cartelle e organizzazioni
- Esaminare e applicare i suggerimenti sui ruoli per i bucket Cloud Storage
- Esaminare e applicare i suggerimenti sui ruoli per i set di dati BigQuery
Previeni gli errori di configurazione dei criteri
Esistono diversi strumenti di Policy Intelligence che puoi utilizzare per capire l'impatto delle modifiche ai criteri sulla tua organizzazione. Dopo aver visto l'effetto delle modifiche, puoi decidere se apportarle o meno.
Testa le modifiche ai criteri di autorizzazione IAM
Policy Simulator per i criteri di autorizzazione IAM consente di vedere come una modifica a un criterio di autorizzazione IAM potrebbe influire sull'accesso di un'entità prima di impegnarsi ad apportare la modifica. Puoi utilizzare Policy Simulator per assicurarti che le modifiche che stai apportando non causino la perdita dell'accesso di cui un'entità ha bisogno.
Per scoprire in che modo una modifica a un criterio di autorizzazione IAM potrebbe influire sull'accesso di un'entità, Policy Simulator determina quali tentativi di accesso degli ultimi 90 giorni hanno risultati diversi in base al criterio di autorizzazione proposto e al criterio di autorizzazione attuale. Poi, segnala questi risultati come un elenco delle modifiche di accesso.
Per scoprire di più su Policy Simulator, consulta la panoramica di IAM Policy Simulator.
Per scoprire come utilizzare Policy Simulator per testare le modifiche ai ruoli, vedi Testare le modifiche dei ruoli con il Simulatore di criteri IAM.
Testare le modifiche ai criteri dell'organizzazione
Policy Simulator per i criteri dell'organizzazione consente di visualizzare in anteprima l'impatto di un nuovo vincolo personalizzato o di un criterio dell'organizzazione che applica un vincolo personalizzato prima che venga applicato nell'ambiente di produzione.
Policy Simulator fornisce un elenco di risorse che violano il criterio proposto prima che venga applicato, consentendoti di riconfigurare queste risorse, richiedere eccezioni o modificare l'ambito del criterio dell'organizzazione, il tutto senza interrompere gli sviluppatori o arrestare l'ambiente.
Per scoprire come utilizzare Policy Simulator per testare le modifiche ai criteri dell'organizzazione, consulta Testare le modifiche dei criteri dell'organizzazione con Policy Simulator.