Les grandes organisations disposent souvent d'un large ensemble de règles Google Cloud pour contrôler les ressources et gérer les accès. Les outils Policy Intelligence vous aident à comprendre et à gérer vos stratégies, afin d'améliorer votre configuration de la sécurité de manière proactive.
Les sections suivantes expliquent ce que vous pouvez faire avec les outils Policy Intelligence.
Comprendre les règles et l'utilisation
Plusieurs outils Policy Intelligence vous aident à comprendre les droits d'accès accordés à vos stratégies et la façon dont elles sont utilisées.
Analyser les accès
L'inventaire des éléments cloud fournit l'outil Policy Analyzer pour les stratégies d'autorisation IAM, qui vous permet de savoir quels comptes principaux ont accès aux ressources Google Cloud en fonction de vos stratégies d'autorisation IAM.
Policy Analyzer vous aide à répondre aux questions suivantes:
- "Qui a accès à ce compte de service IAM ?"
- "Quels sont les rôles et les autorisations de cet utilisateur sur cet ensemble de données BigQuery ?"
- "Quels ensembles de données BigQuery cet utilisateur a-t-il l'autorisation de lire ?"
En vous aidant à répondre à ces questions, Policy Analyzer vous permet d'administrer efficacement l'accès. Vous pouvez également utiliser Policy Analyzer pour effectuer des tâches liées à l'audit et à la conformité.
Pour en savoir plus sur Policy Analyzer pour les règles d'autorisation, consultez la présentation de Policy Analyzer.
Pour savoir comment utiliser Policy Analyzer pour autoriser des stratégies, consultez Analyser les stratégies IAM.
Analyser les règles d'administration
Policy Intelligence fournit Policy Analyzer pour les règles d'administration. Vous pouvez les utiliser pour créer une requête d'analyse afin d'obtenir des informations sur les règles d'administration personnalisées et prédéfinies.
Vous pouvez utiliser Policy Analyzer pour renvoyer une liste de règles d'administration avec une contrainte particulière, ainsi que les ressources auxquelles ces règles sont associées.
Pour savoir comment utiliser Policy Analyzer pour les règles d'administration d'administration, consultez Analyser les règles d'administration existantes.
Résoudre les problèmes d'accès
Pour vous aider à comprendre et à résoudre les problèmes d'accès, Policy Intelligence propose les outils de dépannage suivants:
- Policy Troubleshooter pour Identity and Access Management
- Outil de dépannage de VPC Service Controls
- Policy Troubleshooter pour BeyondCorp Enterprise
Les outils de dépannage liés à l'accès permettent de répondre aux questions suivantes:
- "Pourquoi cet utilisateur dispose-t-il de l'autorisation
bigquery.datasets.createsur cet ensemble de données BigQuery ?" - "Pourquoi cet utilisateur ne peut-il pas afficher la stratégie d'autorisation de ce bucket Cloud Storage ?"
Pour en savoir plus sur ces outils de dépannage, consultez Outils de dépannage liés à l'accès.
Comprendre l'utilisation des comptes de service et les autorisations
Les comptes de service sont un type principal de compte principal que vous pouvez utiliser pour authentifier des applications dans Google Cloud.
Pour vous aider à comprendre l'utilisation des comptes de service, Policy Intelligence propose les fonctionnalités suivantes:
Analyseur d'activité: l'analyseur d'activité vous permet de savoir quand vos comptes de service et vos clés ont été utilisés pour la dernière fois pour appeler une API Google. Pour savoir comment utiliser l'analyseur d'activité, consultez Afficher l'utilisation récente des comptes de service et des clés.
Insights sur les comptes de service: ce type d'insights identifie les comptes de service de votre projet qui n'ont pas été utilisés au cours des 90 derniers jours. Pour savoir comment gérer les insights du compte de service, consultez la section Rechercher des comptes de service inutilisés.
Policy Intelligence fournit des insights sur les mouvements latéraux pour vous aider à comprendre les autorisations des comptes de service. Les insights sur le déplacement latéral sont un type d'insight qui identifie les rôles permettant à un compte de service d'un projet d'usurper l'identité d'un compte de service d'un autre projet. Pour en savoir plus sur les insights des mouvements latéraux, consultez la section Générer des insights sur les mouvements latéraux. Pour savoir comment gérer les insights sur les mouvements latéraux, consultez Identifier les comptes de service avec des autorisations de mouvement latérales.
Les insights sur les mouvements latéraux sont parfois associés à des recommandations de rôles. Les recommandations de rôle suggèrent des mesures à prendre pour résoudre les problèmes identifiés par des insights sur les mouvements latéraux.
Améliorez vos règles
Vous pouvez améliorer vos stratégies d'autorisation IAM à l'aide des recommandations de rôle. Les recommandations de rôle vous aident à appliquer le principe du moindre privilège en vous assurant que les comptes principaux disposent uniquement des autorisations dont ils ont réellement besoin. Chaque recommandation de rôle suggère de supprimer ou remplacer un rôle IAM qui accorde des autorisations en excès à vos comptes principaux.
Pour en savoir plus sur les recommandations de rôle, y compris sur la façon dont elles sont générées, consultez Appliquer le principe du moindre privilège avec les recommandations de rôle.
Pour savoir comment gérer les recommandations de rôle, consultez Examiner et appliquer les recommandations de rôle pour les projets, les dossiers et les organisations ou Examiner et appliquer les recommandations de rôle pour les buckets Cloud Storage.
Éviter les erreurs de configuration des règles
Plusieurs outils Policy Intelligence vous permettent de déterminer l'impact des modifications apportées aux règles sur votre organisation.
Tester les modifications de stratégie IAM
Policy Simulator pour les stratégies d'autorisation IAM vous permet de voir l'impact d'une modification d'une stratégie d'autorisation IAM sur l'accès d'un compte principal avant de vous engager à apporter la modification. Vous pouvez utiliser Policy Simulator pour vous assurer que les modifications que vous apportez n'empêchent pas un compte principal d'accéder aux ressources dont il a besoin.
Pour déterminer l'impact d'une modification d'une stratégie d'autorisation IAM sur l'accès d'un compte principal, Policy Simulator détermine les tentatives d'accès des 90 derniers jours dont les résultats sont différents pour la stratégie d'autorisation proposée et la stratégie d'autorisation actuelle. Il affiche ensuite ces résultats sous forme de liste des modifications d'accès.
Pour en savoir plus sur Policy Simulator, consultez la présentation d'IAM Policy Simulator.
Pour savoir comment tester les modifications de rôle à l'aide de Policy Simulator, consultez la page Tester les modifications de rôle avec IAM Policy Simulator.
Tester les modifications apportées aux règles d'administration
Policy Simulator for Policy vous permet de prévisualiser l'impact d'une nouvelle contrainte personnalisée ou règle d'administration qui applique une contrainte personnalisée avant de l'appliquer à votre environnement de production.
Policy Simulator fournit une liste de ressources qui enfreignent la règle proposée avant son application forcée. Vous pouvez ainsi reconfigurer ces ressources, demander des exceptions ou modifier le champ d'application de votre règle d'administration, sans perturber vos développeurs ni supprimer votre environnement.
Pour savoir comment utiliser Policy Simulator pour tester les modifications apportées aux règles d'administration d'administration, consultez Tester les modifications des règles d'administration avec Policy Simulator.