As grandes organizações geralmente têm um amplo conjunto de políticas do Google Cloud para controlar recursos e gerenciar o acesso. Ferramentas do Policy Intelligence ajudar você a entender e gerenciar suas políticas para melhorar proativamente configuração de segurança.
As seções a seguir explicam o que você pode fazer com ferramentas do Policy Intelligence.
Entender as políticas e o uso
Há várias ferramentas Policy Intelligence que ajudam você entender qual acesso suas políticas permitem e como elas estão sendo usadas.
Analisar acesso
O Inventário de recursos do Cloud oferece a Análise de políticas para que o IAM permita que permitem descobrir quais principais têm acesso a quais os recursos do Google Cloud com base Políticas de permissão do IAM.
A ferramenta Análise de políticas políticas ajuda a responder a perguntas como as seguintes:
- "Quem tem acesso a esta conta de serviço do IAM?"
- "Que funções e permissões esse usuário tem nesta conjunto de dados do BigQuery?"
- "Quais conjuntos de dados do BigQuery esse usuário tem permissão para ler?"
Com a ferramenta Análise de políticas políticas, para administrar o acesso de maneira eficaz. Também é possível usar a ferramenta Análise de políticas relacionadas a auditoria e conformidade.
Saiba mais sobre a ferramenta Análise de políticas para políticas de permissão em Visão geral da ferramenta Análise de políticas.
Para saber como usar a ferramenta Análise de políticas políticas, consulte Como analisar políticas do IAM.
Analisar políticas da organização
O Policy Intelligence oferece a ferramenta Análise de políticas Política da organização, que pode ser usada para criar uma consulta de análise informações sobre as políticas da organização personalizadas e predefinidas.
A ferramenta Análise de políticas políticas pode ser usada para retornar uma lista de políticas da organização com uma restrição específica e os recursos aos quais essas políticas são anexado.
Para aprender a usar a ferramenta Análise de políticas políticas da organização, consulte Analise as políticas atuais da organização.
Resolver problemas de acesso
Para ajudar você a entender e corrigir problemas de acesso, O Policy Intelligence oferece os seguintes solucionadores de problemas:
- Solucionador de problemas de políticas para o Identity and Access Management
- Solucionador de problemas do VPC Service Controls
- Solucionador de problemas de políticas para Chrome Enterprise Premium
Solucionadores de problemas de acesso ajudam a responder "por quê" perguntas como as seguintes:
- "Por que este usuário tem a permissão
bigquery.datasets.createneste conjunto de dados do BigQuery?" - "Por que este usuário não consegue visualizar a política de permissão deste bucket do Cloud Storage?"
Para saber mais sobre esses solucionadores de problemas, consulte Tópicos relacionados ao acesso solucionadores de problemas.
Entender o uso e as permissões da conta de serviço
As contas de serviço são um tipo especial de principal que você para autenticar aplicativos no Google Cloud.
Para ajudar você a entender o uso da conta de serviço, o Policy Intelligence oferece os seguintes recursos:
Analisador de atividades: permite que você veja quando seu serviço de contas e chaves foram usadas pela última vez para chamar uma API do Google. Para aprender a usar Analisador de atividades, consulte Visualizar o uso recente de contas de serviço e chaves.
Insights da conta de serviço: os insights da conta de serviço são um tipo de insights que identificam quais contas de serviço em seu projeto têm não foi usado nos últimos 90 dias. Para aprender a gerenciar insights da conta de serviço, consulte Encontrar contas de serviço não usadas.
Para entender melhor as permissões da conta de serviço, O Policy Intelligence oferece insights de movimentação lateral. Lateral os insights de movimento são um tipo de insight que identifica funções permitir que uma conta de serviço em um projeto personifique uma conta de serviço no outro projeto. Para mais informações sobre insights de movimento lateral, consulte Como são gerados insights de movimento lateral. Para saber como gerenciar insights de movimentação lateral, consulte Identificar contas de serviço com permissões de movimentação lateral.
Os insights de movimentação lateral às vezes estão ligados a funções e recomendações. As recomendações de papéis sugerem ações que você pode realizar para corrigir os problemas identificados por insights de movimentação lateral.
Melhore suas políticas
É possível melhorar as políticas de permissão do IAM usando recomendações de papéis. As recomendações de papéis ajudam a aplicar o princípio com privilégio mínimo, garantindo que os principais tenham apenas as permissões de que precisam. Cada recomendação de papéis sugere que você remova ou substitua Um papel do IAM que conceda aos principais permissões.
Para saber mais sobre recomendações de papéis, incluindo como elas são geradas, consulte Aplique o privilégio mínimo com recomendações de papéis.
Para saber como gerenciar recomendações de papéis, consulte um dos seguintes guias:
- Revise e aplique recomendações de papéis para projetos, pastas e organizações
- Revise e aplique recomendações de papéis para o Cloud Storage de buckets
- Revisar e aplicar recomendações de papéis no BigQuery conjuntos de dados
Evitar configurações incorretas de política
Há várias ferramentas do Policy Intelligence que você pode usar como as mudanças nas políticas vão afetar sua organização. Depois de ver o o efeito das mudanças, você pode decidir se quer ou não fazê-las.
Testar alterações na política de permissão do IAM
Com o Simulador de política para políticas de permissão do IAM, em uma política de permissão do IAM pode afetar principal antes de se comprometer a fazer a alteração. É possível usar o Simulador de política para verificar se as alterações feitas não causarão a perda do acesso necessário.
Para descobrir como uma alteração em uma política de permissão do IAM pode afetar principal, o Simulador de política determina quais tentativas de acesso dos últimos 90 dias têm resultados diferentes de acordo com o a política de permissão atual e a política de permissão atual. Em seguida, ele relata esses resultados como um lista de alterações de acesso.
Para saber mais sobre o Simulador de política, consulte Visão geral do Simulador de políticas do IAM.
Para saber como usar o Simulador de política para testar alterações de papel, consulte Testar papel com o Simulador de políticas do IAM.
Testar alterações na política da organização
O Simulador de política para políticas da organização permite visualizar o impacto Uma nova restrição personalizada ou política da organização que impõe uma restrição personalizada antes de serem aplicadas ao ambiente de produção.
O Simulador de política fornece uma lista de recursos que violam a política proposta antes da aplicação, o que permite reconfigurar esses recursos, solicitar exceções ou alterar o escopo da política da organização, atrapalhando os desenvolvedores ou derrubando seu ambiente.
Para aprender a usar o Simulador de política e testar alterações nas políticas da organização, consulte Testar alterações na política da organização com o simulador.