Visão geral do Policy Intelligence, Visão geral do Policy Intelligence

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

As grandes organizações muitas vezes têm um extenso conjunto de Google Cloud políticas para controlar recursos e gerenciar o acesso. As ferramentas de Policy Intelligence ajudam você a compreender e gerenciar suas políticas para melhorar proativamente sua configuração de segurança.

As seções a seguir explicam o que você pode fazer com as ferramentas de Policy Intelligence.

Entenda as políticas e o uso

Existem várias ferramentas de Policy Intelligence que ajudam você a entender qual acesso suas políticas permitem e como elas estão sendo usadas.

Analisar o acesso

O Cloud Asset Inventory fornece o Policy Analyzer para políticas de permissão do IAM, que permite descobrir quais principais têm acesso a quaisGoogle Cloud recursos baseados em suas políticas de permissão do IAM .

O Policy Analyzer ajuda você a responder perguntas como as seguintes:

• "Quem tem acesso a esta conta de serviço IAM?"
• "Quais funções e permissões esse usuário tem neste conjunto de dados do BigQuery?"
• "Quais conjuntos de dados do BigQuery este usuário tem permissão para ler?"

Ao ajudá-lo a responder a essas perguntas, o Policy Analyzer permite administrar o acesso de maneira eficaz. Você também pode usar o Policy Analyzer para tarefas relacionadas à auditoria e à conformidade.

Para saber mais sobre o Policy Analyzer para políticas de permissão, consulte Visão geral do Policy Analyzer .

Para saber como usar o Policy Analyzer para políticas de permissão, consulte Analisando políticas do IAM .

Analise as políticas da organização

O Policy Intelligence fornece o Policy Analyzer para Política da Organização, que você pode usar para criar uma consulta de análise para obter informações sobre políticas da organização personalizadas e predefinidas.

Você pode usar o Policy Analyzer para retornar uma lista de políticas da organização com uma restrição específica e os recursos aos quais essas políticas estão anexadas.

Para saber como usar o Policy Analyzer para políticas da organização, consulte Analisar políticas existentes da organização .

Solucionar problemas de acesso

Para ajudá-lo a compreender e solucionar problemas de acesso, o Policy Intelligence oferece os seguintes solucionadores de problemas:

• Solucionador de problemas de políticas para gerenciamento de identidade e acesso
• Solucionador de problemas do VPC Service Controls
• Solucionador de problemas de políticas do Chrome Enterprise Premium

Os solucionadores de problemas de acesso ajudam a responder perguntas "por que" como as seguintes:

• "Por que este usuário tem a permissão bigquery.datasets.create neste conjunto de dados do BigQuery?"
• "Por que este usuário não consegue visualizar a política de permissão deste intervalo do Cloud Storage?"

Para saber mais sobre esses solucionadores de problemas, consulte Solucionadores de problemas relacionados ao acesso .

Entenda o uso e as permissões da conta de serviço

As contas de serviço são um tipo especial de principal que você pode usar para autenticar aplicativos em Google Cloud.

Para ajudar você a entender o uso da conta de serviço, o Policy Intelligence oferece os seguintes recursos:

• Analisador de atividades : o Analisador de atividades permite ver quando suas contas de serviço e chaves foram usadas pela última vez para chamar uma API do Google. Para saber como usar o Activity Analyzer, consulte Exibir o uso recente de contas de serviço e chaves .

• Insights da conta de serviço : os insights da conta de serviço são um tipo de insight que identifica quais contas de serviço no seu projeto não foram usadas nos últimos 90 dias. Para saber como gerenciar insights de contas de serviço, consulte Encontrar contas de serviço não utilizadas .

Para ajudar você a entender as permissões da conta de serviço, o Policy Intelligence oferece insights de movimentação lateral. Os insights de movimento lateral são um tipo de insight que identifica funções que permitem que uma conta de serviço em um projeto represente uma conta de serviço em outro projeto. Para obter mais informações sobre insights de movimento lateral, consulte Como os insights de movimento lateral são gerados . Para saber como gerenciar insights de movimento lateral, consulte Identificar contas de serviço com permissões de movimento lateral .

As percepções do movimento lateral às vezes estão vinculadas a recomendações de funções . As recomendações de função sugerem ações que você pode tomar para remediar os problemas identificados pelos insights de movimento lateral.

Melhore suas políticas

Você pode melhorar suas políticas de permissão do IAM usando recomendações de funções. As recomendações de funções ajudam a impor o princípio do menor privilégio, garantindo que os principais tenham apenas as permissões de que realmente precisam. Cada recomendação de função sugere que você remova ou substitua uma função do IAM que conceda permissões excessivas aos seus principais.

Para saber mais sobre recomendações de funções, incluindo como são geradas, consulte Aplicar privilégios mínimos com recomendações de funções .

Para saber como gerenciar recomendações de funções, consulte um dos seguintes guias:

• Revise e aplique recomendações de funções para projetos, pastas e organizações
• Revise e aplique recomendações de papéis para buckets do Cloud Storage
• Revise e aplique recomendações de papéis para conjuntos de dados do BigQuery

Evite configurações incorretas de políticas

Existem várias ferramentas de Policy Intelligence que você pode usar para ver como as alterações nas políticas afetarão sua organização. Depois de ver o efeito das alterações, você poderá decidir se deseja ou não realizá-las.

Testar alterações nas políticas relacionadas ao acesso

Para permitir que você veja como uma alteração em uma política relacionada ao acesso pode afetar o acesso dos seus principais, o Policy Intelligence fornece os seguintes simuladores de política:

• Simulador de políticas para políticas de permissão
• Simulador de políticas para políticas de negação
• Simulador de políticas para políticas de limite de acesso principal

Cada um desses simuladores permite ver como uma alteração em uma política desse tipo afetaria o acesso de seus principais antes de você se comprometer a fazer a alteração. Cada simulador avalia apenas um tipo de política – eles não levam em consideração se outros tipos de políticas permitiriam ou bloqueariam o acesso.

Testar alterações na política da organização

O Simulador de Política para Política da Organização permite visualizar o impacto de uma nova restrição personalizada ou política da organização que impõe uma restrição personalizada antes que ela seja aplicada em seu ambiente de produção.

O Policy Simulator fornece uma lista de recursos que violam a política proposta antes de ela ser aplicada, permitindo reconfigurar esses recursos, solicitar exceções ou alterar o escopo da política da sua organização, tudo isso sem interromper os desenvolvedores ou derrubar o ambiente.

Para saber como usar o Policy Simulator para testar alterações nas políticas da organização, consulte Testar alterações nas políticas da organização com o Policy Simulator .

,

As grandes organizações muitas vezes têm um extenso conjunto de Google Cloud políticas para controlar recursos e gerenciar o acesso. As ferramentas de Policy Intelligence ajudam você a compreender e gerenciar suas políticas para melhorar proativamente sua configuração de segurança.

As seções a seguir explicam o que você pode fazer com as ferramentas de Policy Intelligence.

Entenda as políticas e o uso

Existem várias ferramentas de Policy Intelligence que ajudam você a entender qual acesso suas políticas permitem e como elas estão sendo usadas.

Analisar o acesso

O Cloud Asset Inventory fornece o Policy Analyzer para políticas de permissão do IAM, que permite descobrir quais principais têm acesso a quaisGoogle Cloud recursos baseados em suas políticas de permissão do IAM .

O Policy Analyzer ajuda você a responder perguntas como as seguintes:

• "Quem tem acesso a esta conta de serviço IAM?"
• "Quais funções e permissões esse usuário tem neste conjunto de dados do BigQuery?"
• "Quais conjuntos de dados do BigQuery este usuário tem permissão para ler?"

Ao ajudá-lo a responder a essas perguntas, o Policy Analyzer permite administrar o acesso de maneira eficaz. Você também pode usar o Policy Analyzer para tarefas relacionadas à auditoria e à conformidade.

Para saber mais sobre o Policy Analyzer para políticas de permissão, consulte Visão geral do Policy Analyzer .

Para saber como usar o Policy Analyzer para políticas de permissão, consulte Analisando políticas do IAM .

Analise as políticas da organização

O Policy Intelligence fornece o Policy Analyzer para Política da Organização, que você pode usar para criar uma consulta de análise para obter informações sobre políticas da organização personalizadas e predefinidas.

Você pode usar o Policy Analyzer para retornar uma lista de políticas da organização com uma restrição específica e os recursos aos quais essas políticas estão anexadas.

Para saber como usar o Policy Analyzer para políticas da organização, consulte Analisar políticas existentes da organização .

Solucionar problemas de acesso

Para ajudá-lo a compreender e solucionar problemas de acesso, o Policy Intelligence oferece os seguintes solucionadores de problemas:

• Solucionador de problemas de políticas para gerenciamento de identidade e acesso
• Solucionador de problemas do VPC Service Controls
• Solucionador de problemas de políticas do Chrome Enterprise Premium

Os solucionadores de problemas de acesso ajudam a responder perguntas "por que" como as seguintes:

• "Por que este usuário tem a permissão bigquery.datasets.create neste conjunto de dados do BigQuery?"
• "Por que este usuário não consegue visualizar a política de permissão deste intervalo do Cloud Storage?"

Para saber mais sobre esses solucionadores de problemas, consulte Solucionadores de problemas relacionados ao acesso .

Entenda o uso e as permissões da conta de serviço

As contas de serviço são um tipo especial de principal que você pode usar para autenticar aplicativos em Google Cloud.

Para ajudar você a entender o uso da conta de serviço, o Policy Intelligence oferece os seguintes recursos:

• Analisador de atividades : o Analisador de atividades permite ver quando suas contas de serviço e chaves foram usadas pela última vez para chamar uma API do Google. Para saber como usar o Activity Analyzer, consulte Exibir o uso recente de contas de serviço e chaves .

• Insights da conta de serviço : os insights da conta de serviço são um tipo de insight que identifica quais contas de serviço no seu projeto não foram usadas nos últimos 90 dias. Para saber como gerenciar insights de contas de serviço, consulte Encontrar contas de serviço não utilizadas .

Para ajudar você a entender as permissões da conta de serviço, o Policy Intelligence oferece insights de movimentação lateral. Os insights de movimento lateral são um tipo de insight que identifica funções que permitem que uma conta de serviço em um projeto represente uma conta de serviço em outro projeto. Para obter mais informações sobre insights de movimento lateral, consulte Como os insights de movimento lateral são gerados . Para saber como gerenciar insights de movimento lateral, consulte Identificar contas de serviço com permissões de movimento lateral .

As percepções do movimento lateral às vezes estão vinculadas a recomendações de funções . As recomendações de função sugerem ações que você pode tomar para remediar os problemas identificados pelos insights de movimento lateral.

Melhore suas políticas

Você pode melhorar suas políticas de permissão do IAM usando recomendações de funções. As recomendações de funções ajudam a impor o princípio do menor privilégio, garantindo que os principais tenham apenas as permissões de que realmente precisam. Cada recomendação de função sugere que você remova ou substitua uma função do IAM que conceda permissões excessivas aos seus principais.

Para saber mais sobre recomendações de funções, incluindo como são geradas, consulte Aplicar privilégios mínimos com recomendações de funções .

Para saber como gerenciar recomendações de funções, consulte um dos seguintes guias:

• Revise e aplique recomendações de funções para projetos, pastas e organizações
• Revise e aplique recomendações de papéis para buckets do Cloud Storage
• Revise e aplique recomendações de papéis para conjuntos de dados do BigQuery

Evite configurações incorretas de políticas

Existem várias ferramentas de Policy Intelligence que você pode usar para ver como as alterações nas políticas afetarão sua organização. Depois de ver o efeito das alterações, você poderá decidir se deseja ou não realizá-las.

Testar alterações nas políticas relacionadas ao acesso

Para permitir que você veja como uma alteração em uma política relacionada ao acesso pode afetar o acesso dos seus principais, o Policy Intelligence fornece os seguintes simuladores de política:

• Simulador de políticas para políticas de permissão
• Simulador de políticas para políticas de negação
• Simulador de políticas para políticas de limite de acesso principal

Cada um desses simuladores permite ver como uma alteração em uma política desse tipo afetaria o acesso de seus principais antes de você se comprometer a fazer a alteração. Cada simulador avalia apenas um tipo de política – eles não levam em consideração se outros tipos de políticas permitiriam ou bloqueariam o acesso.

Testar alterações na política da organização

O Simulador de Política para Política da Organização permite visualizar o impacto de uma nova restrição personalizada ou política da organização que impõe uma restrição personalizada antes que ela seja aplicada em seu ambiente de produção.

O Policy Simulator fornece uma lista de recursos que violam a política proposta antes de ela ser aplicada, permitindo reconfigurar esses recursos, solicitar exceções ou alterar o escopo da política da sua organização, tudo isso sem interromper os desenvolvedores ou derrubar o ambiente.

Para saber como usar o Policy Simulator para testar alterações nas políticas da organização, consulte Testar alterações nas políticas da organização com o Policy Simulator .