Policy Intelligence 概览

大型组织通常拥有一组全面的 Google Cloud 政策来控制资源和管理访问权限。Policy Intelligence 工具可帮助您了解和管理政策，以主动改进安全配置。

以下部分介绍了 Policy Intelligence 工具的用途。

了解政策和使用情况

有一些 Policy Intelligence 工具可帮助您了解政策允许的访问权限以及政策的使用方式。

分析访问权限

Cloud Asset Inventory 为 IAM 允许政策提供了政策分析器，使您可以根据 IAM 允许政策了解哪些主账号有权访问哪些 Google Cloud 资源。

政策分析器可帮助您回答如下问题：

• “谁有权访问此 IAM 服务账号？”
• “此用户对此 BigQuery 数据集具有哪些角色和权限？”
• “此用户有权读取哪些 BigQuery 数据集？”

政策分析器可帮助您回答这些问题，可让您有效管理访问权限。您还可以使用政策分析器执行与审核和合规性相关的任务。

如需详细了解允许政策的政策分析器，请参阅政策分析器概览。

如需了解如何将政策分析器用于允许政策，请参阅分析 IAM 政策。

分析组织政策

Policy Intelligence 为组织政策提供 Policy Analyzer，您可以使用该工具创建分析查询，以获取有关自定义和预定义组织政策的信息。

您可以使用政策分析器返回具有特定限制条件的组织政策以及附加了这些政策的资源的列表。

如需了解如何对组织政策使用政策分析器，请参阅分析现有组织政策。

排查访问权限问题

为了帮助您了解访问权限问题并采取补救措施，Policy Intelligence 提供了以下问题排查工具：

• Identity and Access Management 政策问题排查工具
• VPC Service Controls 问题排查工具
• Policy Troubleshooter for Chrome Enterprise Premium

访问问题排查工具可帮助回答如下“为什么”问题：

• “为什么该用户对此 BigQuery 数据集具有 bigquery.datasets.create 权限？”
• “为什么此用户不能查看此 Cloud Storage 存储桶的允许政策？”

如需详细了解这些问题排查工具，请参阅与访问权限相关的问题排查工具。

了解服务帐号使用情况和权限

服务帐号是一种特殊类型的主帐号，可用于对 Google Cloud 中的应用进行身份验证。

为了帮助您了解服务帐号的使用情况，Policy Intelligence 提供以下功能：

• 活动分析器：借助活动分析器，您可以查看上次使用您的服务帐号和密钥调用 Google API 的时间。如需了解如何使用活动分析器，请参阅查看服务帐号和密钥的近期使用情况。

• 服务帐号数据分析：服务帐号数据分析是一种数据分析，可确定项目中的哪些服务帐号在过去 90 天内未被使用过。如需了解如何管理服务帐号数据分析，请参阅查找未使用的服务帐号。

为了帮助您了解服务帐号权限，Policy Intelligence 提供横向移动数据分析。横向移动数据分析是一种数据分析类型，可标识出可让一个项目中的服务帐号模拟另一个项目中的服务帐号的角色。如需详细了解横向移动数据分析，请参阅如何生成横向移动数据分析。如需了解如何管理横向移动数据分析，请参阅识别具有横向移动权限的服务帐号。

横向移动数据分析有时与角色建议相关联。角色建议会建议您可以采取哪些措施来补救通过横向移动数据分析发现的问题。

改进您的政策

您可以使用角色建议来改进 IAM 允许政策。角色建议可确保主帐号仅拥有其实际需要的权限，从而帮助您实施最小权限原则。每项角色建议都建议您移除或替换向主帐号授予多余权限的 IAM 角色。

如需详细了解角色建议（包括这些建议的生成方式），请参阅根据角色建议强制执行最小权限。

如需了解如何管理角色建议，请参阅以下指南之一：

• 查看和应用针对项目、文件夹和组织的角色建议
• 查看并应用针对 Cloud Storage 存储分区的角色建议
• 查看并应用针对 BigQuery 数据集的角色建议

防止政策配置错误

您可以使用多种 Policy Intelligence 工具来了解对政策所做的更改将如何影响您的组织。看到所做更改的效果后，您可以决定是否进行更改。

测试 IAM 允许政策更改

借助 IAM 允许政策的 Policy Simulator，您可以在提交更改之前查看对 IAM 允许政策的更改可能会如何影响主帐号的访问权限。您可以使用 Policy Simulator 来确保所做的更改不会导致主账号失去所需的访问权限。

为了了解对 IAM 允许政策的更改可能会对主帐号的访问权限产生怎样的影响，Policy Simulator 确定过去 90 天内哪些访问尝试将在建议的允许政策和当前允许政策下产生不同的结果。然后，它会将这些结果报告为访问权限变更列表。

如需详细了解 Policy Simulator，请参阅 IAM 政策模拟器概览。

如需了解如何使用 Policy Simulator 测试角色更改，请参阅使用 IAM Policy Simulator 测试角色更改。

测试组织政策更改

借助组织政策的 Policy Simulator，您可以预览新的自定义限制条件或组织政策在在生产环境中实施自定义限制条件之前的影响。

Policy Simulator 提供一份资源列表，其中列出了在实施之前违反所提议的政策的资源，让您能够重新配置这些资源、请求例外情况或更改组织政策的适用范围，而这一切都不会中断开发者或导致您的环境中断。

如需了解如何使用 Policy Simulator 测试对组织政策的更改，请参阅使用 Policy Simulator 测试组织政策更改。