Les grandes organisations disposent souvent d'un vaste ensemble de règles Google Cloud contrôler les ressources et gérer les accès. Outils Policy Intelligence vous aident à comprendre et à gérer vos règles afin d'améliorer vos configuration de la sécurité.
Les sections suivantes expliquent ce que vous pouvez faire Outils Policy Intelligence.
Comprendre les règles et leur utilisation
Plusieurs outils Policy Intelligence permettent comprendre quel accès vos stratégies autorisent et comment elles sont utilisées.
Analyser les accès
L'inventaire des éléments cloud fournit Policy Analyzer pour les autorisations IAM vous permettant de savoir à quels comptes principaux ont accès, à quels comptes aux ressources Google Cloud en fonction Stratégies d'autorisation IAM
Policy Analyzer vous aide à répondre aux questions suivantes:
- "Qui a accès à ce compte de service IAM ?"
- "Quels sont les rôles et autorisations dont dispose cet utilisateur ensemble de données BigQuery ?"
- "Quels ensembles de données BigQuery cet utilisateur a-t-il l'autorisation de lire ?"
En vous aidant à répondre à ces questions, Policy Analyzer vous permet d'administrer efficacement l'accès. Vous pouvez aussi utiliser Policy Analyzer pour liées à l'audit et à la conformité.
Pour en savoir plus sur Policy Analyzer pour les règles d'autorisation, consultez Présentation de Policy Analyzer
Pour savoir comment utiliser Policy Analyzer pour les règles d'autorisation, consultez Analyser les stratégies IAM
Analyser les règles d'administration
Policy Intelligence fournit Policy Analyzer pour une règle d'administration, que vous pouvez utiliser pour créer une requête d'analyse afin d'obtenir des informations sur les règles d'administration personnalisées et prédéfinies.
Vous pouvez utiliser Policy Analyzer pour renvoyer une liste de règles d'administration avec une contrainte particulière et les ressources auxquelles ces règles .
Pour savoir comment utiliser Policy Analyzer pour les règles d'administration, consultez Analysez les règles d'administration existantes.
Résoudre les problèmes d'accès
Pour vous aider à comprendre et à résoudre les problèmes d'accès, Policy Intelligence propose les outils de dépannage suivants:
- Policy Troubleshooter pour Identity and Access Management
- Outil de dépannage de VPC Service Controls
- Policy Troubleshooter pour Chrome Enterprise Premium
Accéder aux outils de dépannage pour savoir pourquoi des questions comme celles-ci:
- "Pourquoi cet utilisateur dispose-t-il de l'autorisation
bigquery.datasets.createsur cet ensemble de données BigQuery ?" - "Pourquoi cet utilisateur n'est-il pas en mesure de voir la politique d'autorisation de Bucket Cloud Storage ?"
Pour en savoir plus sur ces outils de dépannage, consultez la page Informations les outils de dépannage.
Comprendre l'utilisation et les autorisations des comptes de service
Les comptes de service sont un type particulier de compte principal pour authentifier les applications dans Google Cloud.
Pour vous aider à comprendre l'utilisation des comptes de service, Policy Intelligence propose les fonctionnalités suivantes:
Analyseur d'activité: l'analyseur d'activité vous permet de savoir à quel moment votre service les comptes et les clés ont été utilisés pour la dernière fois pour appeler une API Google. Pour apprendre à utiliser l'analyseur d'activité, consultez la section Afficher l'utilisation récente des comptes de service et clés.
Insights sur les comptes de service: les insights sur les comptes de service sont un type des insights qui identifient les comptes de service de votre projet qui n'ont pas été utilisées au cours des 90 derniers jours. Pour apprendre à gérer insights sur les comptes de service, consultez la section Rechercher les comptes de service inutilisés.
Pour vous aider à comprendre les autorisations de compte de service, Policy Intelligence fournit des insights sur les mouvements latéraux. Latéral les informations relatives au mouvement sont un type d'informations qui identifient les rôles à un compte de service d'un projet d'emprunter l'identité d'un compte de service un autre projet. Pour en savoir plus sur les statistiques relatives aux mouvements latéraux, consultez l’article Comment des insights sur les mouvements latéraux sont générés. Pour apprendre comment gérer les insights sur les mouvements latéraux, consultez l'article Identifier les comptes de service avec autorisations de mouvements latéraux.
Les insights sur les mouvements latéraux sont parfois liés au rôle recommandations. Les recommandations de rôle suggèrent des actions prendre pour résoudre les problèmes identifiés par les informations sur les mouvements latéraux.
Améliorer vos règles
Vous pouvez améliorer vos stratégies d'autorisation IAM en procédant comme suit : à l'aide des recommandations de rôle. Les recommandations de rôle vous aident à appliquer ce principe en s'assurant que les comptes principaux disposent uniquement des autorisations dont ils ont réellement besoin. Chaque recommandation de rôle vous suggère de supprimer ou de remplacer un rôle IAM accordant à vos comptes principaux autorisations.
Pour en savoir plus sur les recommandations de rôles, y compris sur la façon dont elles sont générées, consultez Appliquez le principe du moindre privilège avec les recommandations de rôle.
Pour savoir comment gérer les recommandations de rôle, consultez l'un des guides suivants:
- Examinez et appliquez les recommandations de rôle pour les projets, dossiers et organisations
- Examiner et appliquer les recommandations de rôle pour Cloud Storage buckets
- Examiner et appliquer les recommandations de rôle pour BigQuery ensembles de données
Évitez les erreurs de configuration des stratégies
Plusieurs outils Policy Intelligence permettent voir l'impact des modifications de stratégies sur votre organisation. Après avoir affiché l'effet des modifications, vous pouvez décider de les appliquer ou non.
Tester les modifications apportées à la stratégie d'autorisation IAM
Policy Simulator des stratégies d'autorisation IAM vous permet de voir comment la modification d'une stratégie d'autorisation IAM peut avoir un impact l'accès du compte principal avant de vous engager à effectuer la modification. Vous pouvez utiliser Policy Simulator pour vous assurer que les modifications que vous apportez n'empêchent pas un compte principal d'accéder aux ressources dont il a besoin.
Pour découvrir l'impact d'une modification d'une stratégie d'autorisation IAM sur un du compte principal, Policy Simulator détermine quelles tentatives d'accès des 90 derniers jours, vous obtenez des résultats différents selon et la règle d'autorisation actuelle. Ensuite, il signale ces résultats sous la forme la liste des modifications d'accès.
Pour en savoir plus sur Policy Simulator, consultez Présentation du simulateur de stratégie IAM
Pour savoir comment tester les modifications de rôle à l'aide de Policy Simulator, consultez la section Tester le rôle avec le simulateur de stratégie IAM.
Tester les modifications apportées aux règles d'administration
Policy Simulator pour les règles d'administration vous permet de prévisualiser l'impact une nouvelle contrainte personnalisée ou règle d'administration qui applique une contrainte personnalisée ; avant de l'appliquer à votre environnement de production.
Policy Simulator fournit une liste de ressources qui ne respectent pas la règle proposée avant qu'elle ne soit appliquée, ce qui vous permet de reconfigurer ces ressources, de demander ou modifier le champ d'application de votre règle d'administration, le tout sans de perturber vos développeurs ou de désactiver votre environnement.
Pour découvrir comment utiliser Policy Simulator afin de tester les modifications apportées aux règles d'administration, Voir Tester les modifications apportées aux règles d'administration avec Policy Controller Simulateur.