大型组织通常有大量的 Google Cloud 政策来控制资源和管理访问权限。Policy Intelligence 工具可帮助您了解和管理政策,以主动改进安全配置。
以下部分介绍了您可以使用 Policy Intelligence 工具执行哪些操作。
了解政策和使用情况
有多种 Policy Intelligence 工具可帮助您了解政策允许的访问内容和政策的使用方式。
分析访问权限
Cloud Asset Inventory 提供适用于 IAM 允许政策的政策分析器,可让您根据 IAM 允许政策了解哪些主账号有权访问哪些 Google Cloud 资源。
政策分析器可帮助您回答如下问题:
- “谁有权访问此 IAM 服务账号?”
- “此用户对此 BigQuery 数据集拥有哪些角色和权限?”
- “此用户有权读取哪些 BigQuery 数据集?”
政策分析器可帮助您解答这些问题,让您有效地管理访问权限。您还可以使用政策分析器执行与审核和合规性相关的任务。
如需详细了解用于允许政策的政策分析器,请参阅政策分析器概览。
如需了解如何使用政策分析器查看允许政策,请参阅分析 IAM 政策。
分析组织政策
Policy Intelligence 为组织政策提供 Policy Analyzer,可用于创建分析查询以获取有关自定义和预定义组织政策的信息。
您可以使用政策分析器返回具有特定限制条件的组织政策以及附加了这些政策的资源的列表。
如需了解如何将政策分析器用于组织政策,请参阅分析现有组织政策。
排查访问权限问题
为了帮助您了解和解决访问权限问题,Policy Intelligence 提供了以下问题排查工具:
- Identity and Access Management 政策问题排查工具
- VPC Service Controls 问题排查工具
- BeyondCorp Enterprise 的政策问题排查工具
访问问题排查工具可帮助解答诸如以下的“原因”问题:
- “为什么该用户对此 BigQuery 数据集具有
bigquery.datasets.create
权限?” - “为什么此用户无法查看此 Cloud Storage 存储桶的允许政策?”
如需详细了解这些问题排查工具,请参阅与访问权限相关的问题排查工具。
了解服务帐号使用情况和权限
服务帐号是一种特殊类型的主帐号,可用于在 Google Cloud 中对应用进行身份验证。
为了帮助您了解服务帐号的使用情况,Policy Intelligence 提供以下功能:
Activity 分析器:借助 Activity 分析器,您可以查看上次使用服务帐号和密钥调用 Google API 的时间。如需了解如何使用 Activity Analyzer,请参阅查看服务帐号和密钥的近期使用情况。
服务帐号数据分析:服务帐号数据分析是一种数据分析,用于确定项目中哪些服务帐号在过去 90 天内未被使用过。如需了解如何管理服务帐号数据分析,请参阅查找未使用的服务帐号。
为了帮助您了解服务帐号权限,Policy Intelligence 提供了横向移动数据分析。横向移动数据分析是一种数据分析,可识别一个项目中的服务帐号模拟另一个项目中的服务帐号的角色。如需详细了解横向移动数据分析,请参阅如何生成横向移动数据分析。如需了解如何管理横向移动数据分析,请参阅识别具有横向移动权限的服务帐号。
横向移动数据分析有时会与角色建议相关联。角色建议会建议您可以采取哪些措施来修复横向移动数据分析发现的问题。
改进政策
您可以使用角色建议来改进 IAM 允许政策。角色建议可确保主帐号只拥有其实际需要的权限,从而帮助您实施最小权限原则。每条角色建议都会建议您移除或替换授予主帐号多余权限的 IAM 角色。
如需详细了解角色建议(包括其生成方式),请参阅使用角色建议强制执行最小权限。
如需了解如何管理角色建议,请参阅以下指南之一:
防止政策配置错误
您可以使用多种 Policy Intelligence 工具来了解政策更改将如何影响您的组织。看到更改的效果后,您可以决定是否进行这些更改。
测试 IAM 允许政策更改
利用 IAM 允许政策的 Policy Simulator,您可以先查看对 IAM 允许政策的更改可能会对主帐号的访问权限产生怎样的影响,然后再决定是否要进行更改。您可以使用 Policy Simulator 来确保所做的更改不会导致主账号失去所需的访问权限。
如需了解对 IAM 允许政策的更改可能会对主帐号访问权限产生怎样的影响,Policy Simulator 确定过去 90 天内的哪些访问尝试在建议的允许政策和当前允许政策下会产生不同的结果。然后,它会将这些结果作为访问权限变更列表报告。
如需详细了解 Policy Simulator ,请参阅 IAM Policy Simulator 概览。
如需了解如何使用 Policy Simulator 测试角色更改,请参阅使用 IAM Policy Simulator 测试角色更改。
测试组织政策更改
借助组织政策的 Policy Simulator,您可以先预览新的自定义限制条件或强制执行某个自定义限制条件的组织政策的影响,然后再在生产环境中实施该限制条件。
Policy Simulator 提供在强制执行建议政策之前违反建议的政策的资源列表,让您可以重新配置这些资源、请求异常或更改组织政策的适用范围,这一切都不会中断您的开发者或导致您的环境中断。
如需了解如何使用 Policy Simulator 测试对组织政策的更改,请参阅使用 Policy Simulator 测试组织政策更改。