Organisasi besar sering kali memiliki serangkaian kebijakan Google Cloud yang luas untuk mengontrol resource dan mengelola akses. Alat Policy Intelligence membantu Anda memahami dan mengelola kebijakan untuk meningkatkan konfigurasi keamanan secara proaktif.
Bagian berikut menjelaskan hal yang dapat Anda lakukan dengan alat Policy Intelligence.
Memahami kebijakan dan penggunaan
Ada beberapa alat Policy Intelligence yang membantu Anda memahami akses yang diizinkan kebijakan dan cara kebijakan tersebut digunakan.
Menganalisis akses
Cloud Asset Inventory menyediakan Penganalisis Kebijakan untuk kebijakan izin IAM, yang memungkinkan Anda mengetahui akun utama mana yang memiliki akses ke resource Google Cloud berdasarkan kebijakan izin IAM Anda.
Penganalisis Kebijakan membantu Anda menjawab pertanyaan seperti berikut:
- "Siapa yang memiliki akses ke akun layanan IAM ini?"
- "Apa saja peran dan izin yang dimiliki pengguna ini pada set data BigQuery ini?"
- "Set data BigQuery mana yang memiliki izin untuk dibaca oleh pengguna ini?"
Dengan membantu Anda menjawab pertanyaan-pertanyaan ini, Penganalisis Kebijakan memungkinkan Anda mengelola akses secara efektif. Anda juga dapat menggunakan Penganalisis Kebijakan untuk tugas terkait audit dan kepatuhan.
Untuk mempelajari lebih lanjut Policy Analyzer untuk kebijakan izin, lihat ringkasan Policy Analyzer.
Untuk mempelajari cara menggunakan Penganalisis Kebijakan untuk kebijakan izin, lihat Menganalisis kebijakan IAM.
Menganalisis kebijakan organisasi
Policy Intelligence menyediakan Penganalisis Kebijakan untuk Kebijakan Organisasi, yang dapat Anda gunakan untuk membuat kueri analisis guna mendapatkan informasi tentang kebijakan organisasi kustom dan standar.
Anda dapat menggunakan Policy Analyzer untuk menampilkan daftar kebijakan organisasi dengan batasan tertentu dan resource tempat kebijakan tersebut disertakan.
Untuk mempelajari cara menggunakan Penganalisis Kebijakan untuk Kebijakan Organisasi, lihat Menganalisis kebijakan organisasi yang ada.
Memecahkan masalah akses
Untuk membantu Anda memahami dan memperbaiki masalah akses, Policy Intelligence menawarkan pemecah masalah berikut:
- Pemecah Masalah Kebijakan untuk Identity and Access Management
- Pemecah masalah Kontrol Layanan VPC
- Pemecah Masalah Kebijakan untuk Chrome Enterprise Premium
Pemecah masalah akses membantu menjawab pertanyaan "mengapa" seperti berikut:
- "Mengapa pengguna ini memiliki izin
bigquery.datasets.createpada set data BigQuery ini?" - "Mengapa pengguna ini tidak dapat melihat kebijakan izin bucket Cloud Storage ini?"
Untuk mempelajari pemecah masalah ini lebih lanjut, lihat Pemecah masalah terkait akses.
Memahami penggunaan dan izin akun layanan
Akun layanan adalah jenis akun utama khusus yang dapat Anda gunakan untuk mengautentikasi aplikasi di Google Cloud.
Untuk membantu Anda memahami penggunaan akun layanan, Policy Intelligence menawarkan fitur berikut:
Activity Analyzer: Activity Analyzer memungkinkan Anda melihat kapan kunci dan akun layanan terakhir digunakan untuk memanggil Google API. Untuk mempelajari cara menggunakan Activity Analyzer, lihat Melihat penggunaan terbaru untuk akun layanan dan kunci.
Insight akun layanan: Insight akun layanan adalah jenis insight yang mengidentifikasi akun layanan mana di project Anda yang tidak digunakan dalam 90 hari terakhir. Untuk mempelajari cara mengelola insight akun layanan, lihat Menemukan akun layanan yang tidak digunakan.
Untuk membantu Anda memahami izin akun layanan, Policy Intelligence menawarkan insight pergerakan lateral. Insight gerakan lateral adalah jenis insight yang mengidentifikasi peran yang memungkinkan akun layanan dalam satu project untuk meniru akun layanan di project lain. Untuk informasi selengkapnya tentang insight gerakan lateral, lihat Cara insight gerakan lateral dihasilkan. Untuk mempelajari cara mengelola insight gerakan lateral, lihat Mengidentifikasi akun layanan dengan izin gerakan lateral.
Insight pergerakan lateral terkadang ditautkan ke rekomendasi peran. Rekomendasi peran menyarankan tindakan yang dapat Anda lakukan untuk memperbaiki masalah yang diidentifikasi oleh insight pergerakan lateral.
Meningkatkan kebijakan Anda
Anda dapat meningkatkan kebijakan izin IAM dengan menggunakan rekomendasi peran. Rekomendasi peran membantu Anda menerapkan prinsip hak istimewa terendah dengan memastikan bahwa akun utama hanya memiliki izin yang benar-benar dibutuhkan. Setiap rekomendasi peran menyarankan agar Anda menghapus atau mengganti peran IAM yang memberikan izin berlebih kepada akun utama Anda.
Untuk mempelajari rekomendasi peran lebih lanjut, termasuk cara pembuatannya, lihat Menerapkan hak istimewa terendah dengan rekomendasi peran.
Untuk mempelajari cara mengelola rekomendasi peran, lihat salah satu panduan berikut:
- Meninjau dan menerapkan rekomendasi peran untuk project, folder, dan organisasi
- Meninjau dan menerapkan rekomendasi peran untuk bucket Cloud Storage
- Meninjau dan menerapkan rekomendasi peran untuk set data BigQuery
Mencegah kesalahan konfigurasi kebijakan
Ada beberapa alat Policy Intelligence yang dapat Anda gunakan untuk melihat pengaruh perubahan kebijakan terhadap organisasi Anda. Setelah melihat pengaruh perubahan, Anda dapat memutuskan apakah akan menerapkannya atau tidak.
Menguji perubahan pada kebijakan terkait akses
Agar Anda dapat melihat pengaruh perubahan pada kebijakan terkait akses terhadap akses akun utama, Policy Intelligence menyediakan simulator kebijakan berikut:
- Policy Simulator untuk kebijakan izin
- Policy Simulator untuk kebijakan penolakan
- Policy Simulator untuk kebijakan batas akses akun utama
Setiap simulator ini memungkinkan Anda melihat bagaimana perubahan pada kebijakan jenis tersebut akan memengaruhi akses untuk akun utama sebelum Anda berkomitmen untuk melakukan perubahan. Setiap simulator hanya mengevaluasi satu jenis kebijakan—simulator tidak mempertimbangkan apakah jenis kebijakan lain akan mengizinkan atau memblokir akses.
Menguji perubahan kebijakan organisasi
Policy Simulator untuk Kebijakan Organisasi memungkinkan Anda melihat pratinjau dampak batasan kustom atau kebijakan organisasi baru yang menerapkan batasan kustom sebelum diterapkan di lingkungan produksi Anda.
Policy Simulator memberikan daftar resource yang melanggar kebijakan yang diusulkan sebelum diterapkan, sehingga Anda dapat mengonfigurasi ulang resource tersebut, meminta pengecualian, atau mengubah cakupan kebijakan organisasi, semuanya tanpa mengganggu developer atau menonaktifkan lingkungan Anda.
Untuk mempelajari cara menggunakan Policy Simulator guna menguji perubahan pada kebijakan organisasi, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.