大型组织通常有一整套 Google Cloud 政策, 以及控制资源和管理访问权限Policy Intelligence 工具可帮助您了解并管理您的政策,以主动改进您的安全配置。
以下部分介绍您可以使用 Policy Intelligence 工具执行的操作。
了解政策和使用情况
有几种 Policy Intelligence 工具可以帮助您 了解您的政策允许的访问权限以及政策的使用方式。
分析访问权限
Cloud Asset Inventory 提供 Policy Analyzer 以实现 IAM 允许 这可以让您了解哪些主账号有权访问哪些 Google Cloud 资源 IAM 允许政策。
政策分析器可帮助您回答如下问题:
- “谁有权访问此 IAM 服务账号?”
- “此用户对此有何角色和权限 BigQuery 数据集?”
- “此用户有权读取哪些 BigQuery 数据集?”
Policy Analyzer 可帮助您回答这些问题,让您能够有效地管理访问权限。您还可以使用政策分析器执行审核和合规性相关任务。
如需详细了解适用于允许政策的 Policy Analyzer,请参阅 Policy Analyzer 概览。
如需了解如何将政策分析器用于允许政策,请参阅 分析 IAM 政策。
分析组织政策
Policy Intelligence 为组织政策提供了 Policy Analyzer,您可以使用该工具创建分析查询,以获取有关自定义政策和预定义组织政策的信息。
您可以使用政策分析器返回组织政策列表 以及这些政策适用的资源 已附加。
如需了解如何针对组织政策使用 Policy Analyzer,请参阅分析现有组织政策。
排查访问权限问题
为了帮助您了解和解决访问权限问题,Policy Intelligence 提供了以下问题排查工具:
- Identity and Access Management 政策问题排查工具
- VPC Service Controls 问题排查工具
- Chrome 企业进阶版 Policy Troubleshooter
访问权限问题排查工具可帮助您回答“为什么”问题,例如:
- “为什么该用户对此 BigQuery 数据集具有
bigquery.datasets.create权限?” - “为什么此用户不能查看此应用的允许政策 Cloud Storage 存储桶?”
要详细了解这些问题排查工具,请参阅与访问权限相关的 问题排查工具。
了解服务账号使用情况和权限
服务账号是一种特殊类型的主体,可用于对 Google Cloud 中的应用进行身份验证。
为帮助您了解服务账号的使用情况 提供以下功能:
activity 分析器:activity 分析器可让您查看服务 账号和密钥上次用于调用 Google API。如需了解如何使用活动分析器,请参阅查看服务账号和密钥的近期使用情况。
服务账号数据分析:服务账号数据分析是一种 数据分析,用于确定项目中的哪些服务账号具有 在过去 90 天内未使用。如需了解如何管理服务账号数据分析,请参阅查找未使用的服务账号。
为了帮助您了解服务账号权限 Policy Intelligence 提供横向移动数据洞见。横向移动数据分析是一种数据分析,用于标识允许一个项目中的服务账号模拟另一个项目中的服务账号的角色。如需详细了解横向移动数据分析,请参阅如何生成横向移动数据分析。学习内容 有关如何管理横向移动数据洞见的信息,请参阅使用 横向移动权限。
横向移动数据分析有时与角色相关 建议。角色建议会建议您采取哪些措施来解决横向移动数据分析中指出的问题。
改进您的政策
您可以使用角色建议来改进 IAM 允许政策。角色建议可确保主账号仅拥有其实际需要的权限,从而帮助您强制执行最小权限原则。每条角色建议都会建议您移除或替换 可向主账号提供多余权限的 IAM 角色 权限。
如需详细了解角色建议(包括这些角色的生成方式),请参阅 按照角色建议授予最小权限。
如需了解如何管理角色建议,请参阅以下指南之一:
防止政策配置错误
您可以使用多种 Policy Intelligence 工具 看看政策变化将如何影响您的组织。查看更改的影响后,您可以决定是否进行更改。
测试 IAM 允许政策更改
借助 IAM 允许政策的 Policy Simulator,您可以了解 IAM 允许政策的更改可能会影响 主账号的访问权限。您可以使用 Policy Simulator 来确保所做的更改不会导致主账号失去所需的访问权限。
了解对 IAM 允许政策的更改可能会对 Policy Simulator 确定尝试进行哪些访问 根据过去 90 天的数据, 允许政策和当前允许政策。然后,它会将这些结果报告为 访问权限变更列表。
如需详细了解 Policy Simulator,请参阅 IAM Policy Simulator 概览。
如需了解如何使用 Policy Simulator 测试角色更改,请参阅使用 IAM Policy Simulator 测试角色更改。
测试组织政策更改
借助适用于组织政策的 Policy Simulator,您可以在生产环境中强制执行新的自定义限制条件或强制执行自定义限制条件的组织政策之前,预览其影响。
Policy Simulator 提供违反所提议政策的资源列表 以便您重新配置这些资源、请求 或更改组织政策的适用范围 干扰您的开发者或破坏您的环境。
如需了解如何使用 Policy Simulator 测试对组织政策的更改, 请参阅使用 Policy 测试组织政策更改 模拟器。