Policy Analyzer vous permet d'identifier quels comptes principaux (par exemple, utilisateurs, comptes de service, groupes et domaines) disposent de quel accès à quelles ressources Google Cloud basées sur vos stratégies d'autorisation IAM.
Policy Analyzer peut vous aider à répondre à des questions comme celles-ci :
- Qui peut accéder à ce compte de service IAM ?
- Qui peut lire les données de cet ensemble de données BigQuery contenant des informations permettant d'identifier personnellement l'utilisateur ?
- De quels rôles et autorisations dispose le groupe
dev-testers
sur n'importe quelle ressource de ce projet ? - Quelles instances de machines virtuelles (VM) Compute Engine peuvent-être supprimées par Tal dans le projet A ?
- Qui peut accéder à ce bucket Cloud Storage à 19h ?
Fonctionnement de Policy Analyzer
Pour utiliser Policy Analyzer, vous devez créer une requête d'analyse, spécifier un champ d'application pour l'analyse, puis exécuter la requête.
Requêtes d'analyse
Pour utiliser Policy Analyzer, vous créez une requête d'analyse en spécifiant un ou plusieurs des champs suivants:
- Comptes principaux: identités (par exemple, utilisateurs, comptes de service, groupes et domaines) dont vous souhaitez vérifier l'accès
- Accès: les autorisations et les rôles que vous souhaitez vérifier
- Ressources: les ressources auxquelles vous souhaitez vérifier l'accès
- (API uniquement) Contexte de la condition: contexte (par exemple, l'heure de la journée) dans lequel vous souhaitez vérifier l'accès
En règle générale, vous spécifiez un ou deux de ces champs dans la requête d'analyse, puis vous utilisez les résultats de la requête pour obtenir plus d'informations sur les champs que vous n'avez pas spécifiés. Par exemple, si vous souhaitez savoir qui dispose d'une autorisation spécifique sur une ressource donnée, vous devez spécifier l'accès et la ressource dans la requête d'analyse, mais pas le compte principal.
Pour plus d'exemples de types de requêtes que vous pouvez créer, consultez la section Types de requêtes courants.
Portée de l'analyse
Pour exécuter une requête d'analyse, vous devez spécifier un champ d'application à analyser. Le champ d'application correspond à une organisation, un dossier ou un projet auquel vous souhaitez limiter votre analyse. Seules les stratégies d'autorisation IAM associées à la ressource utilisée comme champ d'application et à ses descendants seront analysées.
Dans l'API REST et dans gcloud CLI, vous spécifiez le champ d'application manuellement. Dans la console Google Cloud, le champ d'application est automatiquement déterminé en fonction du projet, du dossier ou de l'organisation que vous gérez actuellement.
Une fois que vous avez créé une requête d'analyse et spécifié son champ d'application, vous pouvez exécuter la requête pour analyser les stratégies de ce champ d'application.
Résultats de la requête
Lorsque vous exécutez une requête d'analyse, Policy Analyzer signale toutes les liaisons de rôle contenant les comptes principaux, les accès et les ressources que vous avez spécifiés dans la requête. Pour chaque liaison de rôle, il indique les comptes principaux de la liaison, l'accès (rôle et autorisations) accordé par la liaison et la ressource à laquelle la liaison accorde l'accès.
Vous pouvez examiner ces résultats pour mieux comprendre les accès à votre projet, dossier ou organisation. Par exemple, si vous avez exécuté une requête pour identifier les comptes principaux ayant accès à une ressource spécifique, vous devez les examiner dans les résultats de la requête.
Vous pouvez ajuster les informations contenues dans les résultats de votre requête en activant les options de requête.
Types de stratégies acceptés
IAM Policy Analyzer n'est compatible qu'avec les stratégies d'autorisation IAM.
Policy Analyzer n'est pas compatible avec les formes de contrôle des accès suivantes:
- Stratégies de refus IAM
- Contrôle des accès basé sur les rôles Google Kubernetes Engine
- Listes de contrôle d'accès Cloud Storage
- Protection contre l'accès public à Cloud Storage
Les résultats de la requête Policy Analyzer ne prennent pas en compte les types de règles non compatibles. Par exemple, supposons qu'un utilisateur dispose de l'autorisation iam.roles.get
sur un projet en raison d'une règle d'autorisation, mais qu'une règle de refus l'empêche d'utiliser l'autorisation. Policy Analyzer indiquera qu'il dispose de l'autorisation iam.roles.get
, malgré la règle de refus.
Héritage des règles
Pour prendre en compte l'héritage des règles, Policy Analyzer analyse automatiquement toutes les règles d'autorisation pertinentes dans le champ d'application spécifié, quel que soit leur emplacement dans la hiérarchie des ressources.
Par exemple, imaginez que vous essayez de savoir qui peut accéder à un compte de service IAM:
- Si vous définissez le champ d'application de la requête sur un projet, Policy Analyzer analyse la règle d'autorisation du compte de service et la règle d'autorisation du projet.
- Si vous définissez le champ d'application de la requête sur une organisation, Policy Analyzer analyse la règle d'autorisation du compte de service, la stratégie d'autorisation du projet auquel appartient le compte de service, les stratégies d'autorisation de tous les dossiers contenant le projet et la stratégie d'autorisation de l'organisation.
Accès conditionnel
Si une liaison de rôle comporte une condition, elle n'accorde un accès de compte principal que lorsque cette condition est remplie. Policy Analyzer signale toujours les conditions associées aux liaisons de rôles pertinentes. Les liaisons de rôles pertinentes sont des liaisons de rôles qui contiennent les comptes principaux, l'accès et les ressources que vous avez spécifiés dans la requête d'analyse.
Dans certains cas, Policy Analyzer peut également analyser la condition, ce qui signifie qu'il peut indiquer si elle est remplie. Policy Analyzer peut analyser les types de conditions suivants:
- Conditions basées sur des attributs de ressource, pour les types de ressources qui fournissent un nom de ressource
- Conditions de date/heure (API et gcloud CLI uniquement). Pour que Policy Analyzer puisse analyser ces conditions, vous devez indiquer l'heure de l'accès (
accessTime
) dans votre requête d'analyse. Pour savoir comment fournir ce contexte, consultez Déterminer l'accès à un moment spécifique.
Si une liaison de rôle pertinente contient une condition, Policy Analyzer effectue l'une des opérations suivantes:
Si Policy Analyzer parvient à analyser la condition, il effectue l'une des opérations suivantes:
- Si la condition renvoie la valeur "true", Policy Analyzer inclut la liaison de rôle dans les résultats de la requête et marque l'évaluation de la condition comme
TRUE
. - Si la condition renvoie la valeur "false", Policy Analyzer n'inclut pas le rôle dans les résultats de la requête.
- Si la condition renvoie la valeur "true", Policy Analyzer inclut la liaison de rôle dans les résultats de la requête et marque l'évaluation de la condition comme
Si Policy Analyzer ne peut pas analyser une condition pour une liaison de rôle pertinente, il inclut le rôle dans les résultats de la requête et marque l'évaluation de la condition comme
CONDITIONAL
.
Fraîcheur des données
Policy Analyzer utilise l'API Cloud Asset, qui offre une fraîcheur des données optimale. Bien que presque toutes les mises à jour de stratégies apparaissent dans Policy Analyzer en quelques minutes, il est possible que Policy Analyzer n'inclue pas les mises à jour de stratégie les plus récentes.
Types de requêtes courants
Cette section explique comment utiliser des requêtes d'analyse pour répondre aux questions courantes liées à l'accès.
Quels comptes principaux peuvent accéder à cette ressource ?
Pour déterminer quels comptes principaux peuvent accéder à une ressource, créez une requête d'analyse qui spécifie la ressource et, éventuellement, les rôles et les autorisations que vous souhaitez vérifier.
Ces requêtes peuvent vous aider à répondre aux questions suivantes:
- Qui a accès à ce compte de service IAM ?
- Qui est autorisé à emprunter l'identité de ce compte de service IAM ?
- Qui sont les administrateurs de la facturation sur le projet A ?
- (API et gcloud CLI uniquement): Qui peut mettre à jour le projet A en usurpant l'identité d'un compte de service ?
Pour savoir comment créer et envoyer ces requêtes, consultez la section Déterminer quels comptes principaux peuvent accéder à une ressource.
Quels comptes principaux disposent de ces rôles et autorisations ?
Pour déterminer quels comptes principaux disposent de certains rôles et autorisations, créez une requête d'analyse spécifiant un compte principal, ainsi qu'un ensemble de rôles et d'autorisations à vérifier.
Ces requêtes peuvent vous aider à répondre aux questions suivantes:
- Qui est autorisé à emprunter l'identité des comptes de service de mon organisation ?
- Qui sont les administrateurs de la facturation dans mon organisation ?
- Qui peut lire les données de cet ensemble de données BigQuery contenant des informations permettant d'identifier personnellement l'utilisateur ?
- (API et gcloud CLI uniquement): Qui dans mon organisation peut lire un ensemble de données BigQuery en se faisant passer pour un compte de service ?
Pour savoir comment créer et envoyer ces requêtes, consultez la section Déterminer les comptes principaux disposant de certains rôles ou autorisations.
De quels rôles et autorisations ce compte principal dispose-t-il sur cette ressource ?
Pour déterminer les rôles et les autorisations d'un compte principal sur une ressource spécifique, créez une requête d'analyse spécifiant un compte principal et une ressource pour laquelle vous souhaitez vérifier les autorisations.
Ces requêtes peuvent vous aider à répondre aux questions suivantes:
- De quels rôles et autorisations dispose l'utilisateur Sasha sur cet ensemble de données BigQuery ?
- De quels rôles et autorisations dispose le groupe
dev-testers
sur n'importe quelle ressource de ce projet ? - (API et gcloud CLI uniquement): De quels rôles et autorisations l'utilisateur Dana dispose-t-elle sur cet ensemble de données BigQuery si elle emprunte l'identité d'un compte de service ?
Pour découvrir comment créer et envoyer ces requêtes, consultez la section Déterminer l'accès d'un compte principal à une ressource.
À quelles ressources ce compte principal peut-il accéder ?
Pour déterminer les ressources auxquelles un compte principal spécifique peut accéder, créez une requête d'analyse spécifiant ce compte principal, ainsi que les rôles et les autorisations que vous souhaitez vérifier.
Ces requêtes peuvent vous aider à répondre aux questions suivantes:
- Quels ensembles de données BigQuery l'utilisateur Mahan est-il autorisé à lire ?
- Quels ensembles de données BigQuery sont les propriétaires des données du groupe
dev-testers
? - Quelles VM Tal peut-il supprimer dans le projet A ?
- (API et gcloud CLI uniquement): Quelles VM l'utilisateur John peut-il supprimer en usurpant l'identité d'un compte de service ?
Pour savoir comment créer et envoyer ces requêtes, consultez la section Déterminer les ressources auxquelles un compte principal peut accéder.
Requêtes d'analyse enregistrées
Si vous utilisez l'API REST, vous pouvez enregistrer des requêtes d'analyse pour les réutiliser ou les partager avec d'autres utilisateurs. Vous pouvez exécuter une requête enregistrée comme vous le feriez pour n'importe quelle autre requête.
Pour en savoir plus sur l'enregistrement des requêtes, consultez l'article Gérer les requêtes enregistrées.
Exporter des résultats de requête
Vous pouvez exécuter des requêtes de manière asynchrone et exporter les résultats vers BigQuery ou Cloud Storage à l'aide de analyzeIamPolicyLongrunning
.
Pour savoir comment exporter des résultats de requête vers BigQuery, consultez la page Écrire l'analyse des règles dans BigQuery.
Pour savoir comment exporter des résultats de requête vers Cloud Storage, consultez la page Écrire l'analyse des règles dans Cloud Storage.
Options de requête
Policy Analyzer propose plusieurs options qui ajoutent des détails aux résultats de vos requêtes.
Pour découvrir comment activer ces options, consultez la section Activer les options.
Expansion du groupe
Si vous activez l'extension de groupe, tous les groupes figurant dans les résultats de la requête sont développés en membres individuels. Cette expansion est limitée à 1 000 membres par groupe. Si vous disposez d'autorisations suffisantes, les groupes imbriqués sont également développés. Cette option n'est efficace que si vous ne spécifiez pas de compte principal dans votre requête.
Par exemple, imaginez que vous activiez l'extension de groupe pour la requête "Qui dispose de l'autorisation storage.buckets.delete
pour project-1
?". Si Policy Analyzer détecte des groupes disposant de l'autorisation storage.buckets.delete
, les résultats de la requête répertorient non seulement l'identifiant du groupe, mais également tous ses membres individuels.
Cette option vous permet de comprendre l'accès de chaque utilisateur, même si cet accès résulte de leur appartenance à un groupe.
Extension des rôles
Si vous activez l'extension de rôle, les résultats de la requête répertorient toutes les autorisations de chaque rôle, en plus du rôle lui-même. Cette option n'est disponible que si vous ne spécifiez aucune autorisation ni aucun rôle dans votre requête.
Par exemple, imaginez que vous activiez l'extension de rôle pour la requête "De quel accès my-user@example.com
dispose-t-il sur le bucket bucket-1
?". Si Policy Analyzer détecte un rôle qui permet à my-user@example.com
d'accéder à bucket-1
, les résultats de la requête répertorient non seulement le nom du rôle, mais aussi toutes les autorisations incluses dans le rôle.
Cette option vous permet de connaître précisément les autorisations dont vos comptes principaux disposent.
Extension des ressources
Si vous activez l'extension de ressources pour une requête Policy Analyzer, les résultats de la requête répertorient toutes les ressources descendantes pertinentes pour toutes les ressources parentes (projets, dossiers et organisations) dans les résultats de la requête. Cette extension est limitée à 1 000 ressources par ressource parente pour les requêtes Policy Analyzer et à 100 000 ressources par ressource parente pour les requêtes de longue durée Policy Analyzer.
Par exemple, réfléchissez à l'impact que l'extension des ressources pourrait avoir sur les requêtes suivantes:
Qui dispose de l'autorisation
storage.buckets.delete
pourproject-1
?Si vous activez l'extension des ressources pour cette requête, la section "Ressources" des résultats de la requête répertorie non seulement le projet, mais également tous les buckets de stockage qu'il contient.
Sur quelles ressources
my-user@example.com
dispose-t-il de l'autorisationcompute.instances.setIamPolicy
?Si vous activez l'extension des ressources pour cette requête et que Policy Analyzer détecte que
my-user@example.com
possède un rôle au niveau du projet qui contient cette autorisation, la section "Ressources" des résultats de la requête répertorie non seulement le projet, mais également toutes les instances Compute Engine qu'il contient.
Cette option vous permet de comprendre en détail les ressources auxquelles vos comptes principaux ont accès.
Emprunter l'identité d'un compte de service
Si vous utilisez l'API REST ou gcloud CLI, vous pouvez activer l'analyse de l'emprunt d'identité de compte de service.
Si cette option est activée, Policy Analyzer exécute des requêtes d'analyse supplémentaires pour déterminer qui peut emprunter l'identité des comptes de service disposant de l'accès spécifié aux ressources spécifiées. Policy Analyzer exécute une requête pour chaque compte de service dans les résultats de la requête. Ces requêtes permettent d'analyser qui dispose de l'une des autorisations suivantes sur le compte de service:
iam.serviceAccounts.actAs
iam.serviceAccounts.getAccessToken
iam.serviceAccounts.getOpenIdToken
iam.serviceAccounts.implicitDelegation
iam.serviceAccounts.signBlob
iam.serviceAccounts.signJwt
Quotas et limites
L'inventaire des éléments cloud applique le taux de requêtes entrantes, y compris les requêtes d'analyse des stratégies, en fonction du projet du client. L'inventaire des éléments cloud limite également l'expansion des groupes dans les appartenances aux groupes et l'extension des ressources dans la hiérarchie des ressources.
Pour connaître les quotas et limites par défaut de Policy Analyzer, consultez la page Quotas et limites dans la documentation sur l'inventaire des éléments cloud.
Tarification
Chaque organisation peut exécuter sans frais jusqu'à 20 requêtes d'analyse par jour. Cette limite inclut à la fois l'analyse des règles d'autorisation et l'analyse des règles d'administration.
Si vous souhaitez exécuter plus de 20 requêtes d'analyse par jour, vous devez activer le niveau Premium de Security Command Center au niveau de l'organisation. Pour en savoir plus, consultez Questions sur la facturation.
Étapes suivantes
- Découvrez comment utiliser Policy Analyzer pour analyser une règle d'autorisation.
- Découvrez comment utiliser l'API REST pour enregistrer les requêtes d'analyse des stratégies.