Policy Intelligence – Übersicht

Große Organisationen haben oft umfangreiche Google Cloud-Richtlinien, um Ressourcen und den Zugriff zu steuern. Policy Intelligence-Tools helfen Ihnen, Ihre Richtlinien zu verstehen und zu verwalten, um Ihre Sicherheitskonfiguration proaktiv zu verbessern.

In den folgenden Abschnitten wird erläutert, was Sie mit Policy Intelligence-Tools tun können.

Richtlinien und Nutzung verstehen

Es gibt mehrere Policy Intelligence-Tools, mit denen Sie nachvollziehen können, welchen Zugriff Ihre Richtlinien zulassen und wie die Richtlinien verwendet werden.

Zugriff analysieren

Cloud Asset Inventory bietet Policy Analyzer für IAM-Zulassungsrichtlinien. Damit können Sie herausfinden, welche Hauptkonten Zugriff auf welche Google Cloud-Ressourcen haben, die auf Ihren IAM-Zulassungsrichtlinien basieren.

Policy Analyzer hilft Ihnen, Fragen wie die folgenden zu beantworten:

• „Wer hat Zugriff auf dieses IAM-Dienstkonto?“
• „Welche Rollen und Berechtigungen hat dieser Nutzer für dieses BigQuery-Dataset?“
• „Welche BigQuery-Datasets darf dieser Nutzer lesen?“

Policy Analyzer hilft Ihnen bei der Beantwortung dieser Fragen, um den Zugriff effektiv zu verwalten. Sie können Policy Analyzer auch für audit- und Compliance-Aufgaben verwenden.

Weitere Informationen zu Policy Analyzer für Zulassungsrichtlinien finden Sie unter Policy Analyzer – Übersicht.

Informationen zur Verwendung von Policy Analyzer für Zulassungsrichtlinien finden Sie unter IAM-Richtlinien analysieren.

Organisationsrichtlinien analysieren

Policy Intelligence bietet Policy Analyzer für Organisationsrichtlinien, mit dem Sie eine Analyseabfrage erstellen können, um Informationen zu benutzerdefinierten und vordefinierten Organisationsrichtlinien zu erhalten.

Mit Policy Analyzer können Sie eine Liste von Organisationsrichtlinien mit einer bestimmten Einschränkung und den Ressourcen zurückgeben, an die diese Richtlinien angehängt sind.

Informationen zur Verwendung von Policy Analyzer für Organisationsrichtlinien finden Sie unter Vorhandene Organisationsrichtlinien analysieren.

Fehler beim Zugriff beheben

Damit Sie Zugriffsprobleme besser verstehen und beheben können, bietet Policy Intelligence die folgenden Fehlerbehebungen:

• Policy Troubleshooter für Identity and Access Management
• Fehlerbehebung für VPC Service Controls
• Policy Troubleshooter für Chrome Enterprise Premium

Die Fehlerbehebung bietet Antworten auf „Warum“-Fragen wie die folgenden:

• „Warum hat dieser Nutzer die Berechtigung bigquery.datasets.create für dieses BigQuery-Dataset?“
• „Warum kann dieser Nutzer die Zulassungsrichtlinie dieses Cloud Storage-Bucket nicht sehen?“

Weitere Informationen zu diesen Fehlerbehebungen finden Sie unter Fehlerbehebung beim Zugriff.

Nutzung und Berechtigungen von Dienstkonten

Dienstkonten sind ein spezieller Hauptkontotyp, mit dem Sie Anwendungen in Google Cloud authentifizieren können.

Policy Intelligence bietet die folgenden Funktionen, um die Nutzung von Dienstkonten besser nachvollziehen zu können:

• Activity Analyzer: Das Tool zeigt an, wann Ihre Dienstkonten und Schlüssel zuletzt zum Aufrufen einer Google API verwendet wurden. Informationen zur Verwendung des Activity Analyzer finden Sie unter Letzte Nutzung für Dienstkonten und Schlüssel ansehen.

• Dienstkontostatistiken: Dienstkontostatistiken sind eine Art von Erkenntnissen, die Aufschluss darüber geben, welche Dienstkonten in Ihrem Projekt in den letzten 90 Tagen nicht verwendet wurden. Informationen zum Verwalten von Dienstkontostatistiken finden Sie unter Nicht verwendete Dienstkonten suchen.

Damit Sie Dienstkontoberechtigungen besser verstehen können, bietet Policy Intelligence Insights zur seitlichen Bewegung. Informationen zu seitlichen Bewegungen sind eine Art von Erkenntnis, die Rollen identifiziert, mit denen ein Dienstkonto in einem Projekt die Identität eines Dienstkontos in einem anderen Projekt übernehmen kann. Weitere Informationen zu Informationen zur seitlichen Bewegung finden Sie unter Erzeugung von Statistiken zur seitlichen Bewegung. Informationen zum Verwalten von Statistiken zur seitlichen Bewegung finden Sie unter Dienstkonten mit Berechtigungen zur seitlichen Bewegung identifizieren.

Informationen zu seitlichen Bewegungen werden manchmal mit Rollenempfehlungen verknüpft. Rollenempfehlungen schlagen Maßnahmen vor, mit denen Sie die Probleme beheben können, die durch die Informationen zur seitlichen Bewegung erkannt wurden.

Richtlinien verbessern

Sie können Ihre IAM-Zulassungsrichtlinien mithilfe von Rollenempfehlungen verbessern. Mit Rollenempfehlungen können Sie das Prinzip der geringsten Berechtigung erzwingen, da Hauptkonten nur die Berechtigungen haben, die sie tatsächlich benötigen. Bei jeder Rollenempfehlung wird empfohlen, eine IAM-Rolle zu entfernen oder zu ersetzen, die Ihren Hauptkonten nicht erforderliche Berechtigungen gewährt.

Weitere Informationen zu Rollenempfehlungen, einschließlich ihrer Generierung, finden Sie unter Niedrigste Berechtigung mit Rollenempfehlungen erzwingen.

Informationen zum Verwalten von Rollenempfehlungen finden Sie in den folgenden Leitfäden:

• Rollenempfehlungen für Projekte, Ordner und Organisationen prüfen und anwenden
• Rollenempfehlungen für Cloud Storage-Buckets prüfen und anwenden
• Rollenempfehlungen für BigQuery-Datasets prüfen und anwenden

Fehlkonfigurationen in Richtlinien vermeiden

Es gibt mehrere Policy Intelligence-Tools, mit denen Sie sehen können, wie sich Änderungen an Richtlinien auf Ihre Organisation auswirken. Sobald Sie die Auswirkungen der Änderungen gesehen haben, können Sie entscheiden, ob Sie sie vornehmen möchten.

Änderungen der IAM-Zulassungsrichtlinie testen

Policy Simulator für IAM-Zulassungsrichtlinien zeigt Ihnen, wie sich eine Änderung an einer IAM-Zulassungsrichtlinie auf den Zugriff eines Hauptkontos auswirken könnte, bevor Sie die Änderung übernehmen. Mit dem Richtliniensimulator können Sie dafür sorgen, dass Änderungen nicht dazu führen, dass ein Hauptkonto den erforderlichen Zugriff verliert.

Policy Simulator ermittelt, wie sich eine Änderung an einer IAM-Zulassungsrichtlinie auf den Zugriff eines Hauptkontos auswirken kann. Policy Simulator ermittelt dann, welche Zugriffsversuche der letzten 90 Tage unter der vorgeschlagenen Zulassungsrichtlinie und der aktuellen Zulassungsrichtlinie unterschiedliche Ergebnisse haben. Diese Ergebnisse werden dann als Liste der Zugriffsänderungen ausgegeben.

Weitere Informationen zum Policy Simulator finden Sie unter IAM Policy Simulator – Übersicht.

Informationen zur Verwendung von Policy Simulator zum Testen von Rollenänderungen finden Sie unter Rollenänderungen mit IAM Policy Simulator testen.

Änderungen der Organisationsrichtlinie testen

Mit dem Policy Simulator für Organisationsrichtlinien können Sie sich eine Vorschau der Auswirkungen einer neuen benutzerdefinierten Einschränkung oder Organisationsrichtlinie ansehen, die eine benutzerdefinierte Einschränkung erzwingt, bevor sie in Ihrer Produktionsumgebung erzwungen wird.

Policy Simulator stellt eine Liste der Ressourcen bereit, die gegen die vorgeschlagene Richtlinie verstoßen, bevor sie erzwungen wird. So können Sie diese Ressourcen neu konfigurieren, Ausnahmen anfordern oder den Geltungsbereich Ihrer Organisationsrichtlinie ändern, ohne Ihre Entwickler zu beeinträchtigen oder Ihre Umgebung zu beeinträchtigen.

Informationen zum Testen von Änderungen an Organisationsrichtlinien mit Policy Simulator finden Sie unter Änderungen an Organisationsrichtlinien mit Policy Simulator testen.