Policy Intelligence – Übersicht

Große Organisationen haben häufig einen umfangreichen Satz von Google Cloud-Richtlinien zur Steuerung von Ressourcen und Zugriffsverwaltung. Mit Policy Intelligence-Tools können Sie Ihre Richtlinien verstehen und verwalten, um Ihre Sicherheitskonfiguration proaktiv zu verbessern.

In den folgenden Abschnitten wird erläutert, was Sie mit Policy Intelligence-Tools tun können.

Informationen zu Richtlinien und Nutzung

Es gibt mehrere Policy Intelligence-Tools, mit denen Sie nachvollziehen können, welchen Zugriff Ihre Richtlinien zulassen und wie die Richtlinien verwendet werden.

Zugriff analysieren

Cloud Asset Inventory bietet Policy Analyzer für IAM-Zulassungsrichtlinien, mit dem Sie herausfinden können, welche Hauptkonten Zugriff auf welche Google Cloud-Ressourcen gemäß Ihren IAM-Zulassungsrichtlinien haben.

Policy Analyzer hilft Ihnen dabei, Fragen wie die folgenden zu beantworten:

• „Wer hat Zugriff auf dieses IAM-Dienstkonto?“
• „Welche Rollen und Berechtigungen hat dieser Nutzer für dieses BigQuery-Dataset?“
• „Welche BigQuery-Datasets darf dieser Nutzer lesen?“

Policy Analyzer hilft Ihnen bei der Beantwortung dieser Fragen, sodass Sie den Zugriff effektiv verwalten können. Policy Analyzer können Sie auch für Audit- und Compliance-bezogene Aufgaben verwenden.

Weitere Informationen zu Policy Analyzer für Zulassungsrichtlinien finden Sie in der Übersicht zu Policy Analyzer.

Informationen zum Verwenden von Policy Analyzer für Zulassungsrichtlinien finden Sie unter IAM-Richtlinien analysieren.

Organisationsrichtlinien analysieren

Policy Intelligence bietet Policy Analyzer für Organisationsrichtlinien, mit dem Sie eine Analyseabfrage erstellen können, um Informationen zu benutzerdefinierten und vordefinierten Organisationsrichtlinien zu erhalten.

Mit Policy Analyzer können Sie eine Liste von Organisationsrichtlinien mit einer bestimmten Einschränkung und den Ressourcen zurückgeben, mit denen diese Richtlinien verknüpft sind.

Informationen zur Verwendung von Policy Analyzer für Organisationsrichtlinien finden Sie unter Vorhandene Organisationsrichtlinien analysieren.

Fehler beim Zugriff beheben

Damit Sie Zugriffsprobleme verstehen und beheben können, bietet Policy Intelligence die folgenden Fehlerbehebungen:

• Richtlinien-Fehlerbehebung für Identity and Access Management
• Fehlerbehebung für VPC Service Controls
• Richtlinien-Fehlerbehebung für BeyondCorp Enterprise

In der Fehlerbehebung werden Fragen zu den Gründen wie die folgenden beantwortet:

• „Warum hat dieser Nutzer die Berechtigung bigquery.datasets.create für dieses BigQuery-Dataset?“
• „Warum kann dieser Nutzer die Zulassungsrichtlinie dieses Cloud Storage-Bucket nicht ansehen?“

Weitere Informationen zu diesen Fehlerbehebungen finden Sie unter Zugriffsbezogene Fehlerbehebungen.

Informationen zu Dienstkontonutzung und Berechtigungen

Dienstkonten sind eine spezielle Art von Hauptkonto, mit dem Sie Anwendungen in Google Cloud authentifizieren können.

Policy Intelligence bietet die folgenden Funktionen, damit Sie die Nutzung von Dienstkonten besser nachvollziehen können:

• Activity Analyzer: Mit dem Activity Analyzer können Sie sehen, wann Ihre Dienstkonten und Schlüssel zuletzt zum Aufrufen einer Google API verwendet wurden. Informationen zur Verwendung von Activity Analyzer finden Sie unter Letzte Nutzung für Dienstkonten und Schlüssel anzeigen.

• Dienstkontostatistiken: Dienstkontostatistiken sind eine Art von Statistik, mit der ermittelt wird, welche Dienstkonten in Ihrem Projekt in den letzten 90 Tagen nicht verwendet wurden. Informationen zum Verwalten von Dienstkontostatistiken finden Sie unter Nicht verwendete Dienstkonten finden.

Policy Intelligence bietet Informationen zur seitlichen Bewegung, um Ihnen Informationen zu Dienstkontoberechtigungen zu geben. Statistiken zu seitlichen Bewegungen sind eine Art von Erkenntnis, die Rollen ermittelt, mit denen ein Dienstkonto in einem Projekt die Identität eines Dienstkontos in einem anderen Projekt übernehmen kann. Weitere Informationen zu den Daten zu seitlichen Bewegungen findest du unter So werden Erkenntnisse zu seitlichen Bewegungen generiert. Informationen zum Verwalten von Statistiken zur seitlichen Bewegung findest du unter Dienstkonten mit Berechtigungen für seitlichen Bewegungen identifizieren.

Erkenntnisse zu seitlichen Bewegungen sind manchmal mit Rollenempfehlungen verknüpft. Rollenempfehlungen schlagen Maßnahmen vor, mit denen Sie die durch die Erkenntnisse zur seitlichen Bewegung erkannten Probleme beheben können.

Richtlinien verbessern

Mithilfe von Rollenempfehlungen können Sie Ihre IAM-Zulassungsrichtlinien verbessern. Mit Rollenempfehlungen können Sie das Prinzip der geringsten Berechtigung erzwingen und so dafür sorgen, dass Hauptkonten nur die Berechtigungen haben, die sie tatsächlich benötigen. Jede Rollenempfehlung schlägt vor, dass Sie eine IAM-Rolle entfernen oder ersetzen, die Ihren Hauptkonten nicht erforderliche Berechtigungen verleiht.

Weitere Informationen zu Rollenempfehlungen und dazu, wie sie generiert werden, finden Sie unter Minimale Berechtigung mit Rollenempfehlungen erzwingen.

Informationen zum Verwalten von Rollenempfehlungen finden Sie in einer der folgenden Anleitungen:

• Rollenempfehlungen für Projekte, Ordner und Organisationen prüfen und anwenden
• Rollenempfehlungen für Cloud Storage-Buckets prüfen und anwenden
• Rollenempfehlungen für BigQuery-Datasets prüfen und anwenden

Fehlkonfigurationen der Richtlinie vermeiden

Es gibt mehrere Policy Intelligence-Tools, mit denen Sie sehen können, wie sich Richtlinienänderungen auf Ihre Organisation auswirken. Sobald Sie die Auswirkungen der Änderungen sehen, können Sie entscheiden, ob Sie sie vornehmen möchten oder nicht.

Änderungen der IAM-Zulassungsrichtlinie testen

Mit dem Policy Simulator für IAM-Zulassungsrichtlinien sehen Sie, wie sich eine Änderung an einer IAM-Zulassungsrichtlinie auf den Zugriff eines Hauptkontos auswirken kann, bevor Sie die Änderung festlegen. Mit dem Richtliniensimulator können Sie dafür sorgen, dass Änderungen nicht dazu führen, dass ein Hauptkonto den erforderlichen Zugriff verliert.

Um herauszufinden, wie sich eine Änderung an einer IAM-Zulassungsrichtlinie auf den Zugriff eines Hauptkontos auswirken kann, ermittelt der Policy Simulator, welche Zugriffsversuche der letzten 90 Tage unter der vorgeschlagenen Zulassungsrichtlinie und der aktuellen Zulassungsrichtlinie unterschiedliche Ergebnisse haben. Diese Ergebnisse werden als Liste der Zugriffsänderungen aufgeführt.

Weitere Informationen zu Policy Simulator finden Sie in der Übersicht zum IAM Policy Simulator.

Informationen zum Testen von Rollenänderungen mit Policy Simulator finden Sie unter Rollenänderungen mit IAM Policy Simulator testen.

Änderungen an Organisationsrichtlinien testen

Mit dem Policy Simulator für die Organisationsrichtlinie können Sie sich eine Vorschau der Auswirkungen einer neuen benutzerdefinierten Einschränkung oder Organisationsrichtlinie ansehen, die eine benutzerdefinierte Einschränkung erzwingt, bevor sie für die Produktionsumgebung erzwungen wird.

Policy Simulator stellt eine Liste von Ressourcen bereit, die gegen die vorgeschlagene Richtlinie verstoßen, bevor sie erzwungen wird. So können Sie diese Ressourcen neu konfigurieren, Ausnahmen beantragen oder den Bereich Ihrer Organisationsrichtlinie ändern, ohne Ihre Entwickler zu stören oder Ihre Umgebung zu beeinträchtigen.

Informationen zum Testen von Änderungen an Organisationsrichtlinien mit Policy Simulator finden Sie unter Änderungen an Organisationsrichtlinien mit Policy Simulator testen.