Analizador de políticas de permiso

Analizador de políticas de las políticas de permiso te permite saber qué principales (por ejemplo, usuarios, cuentas de servicio, grupos y dominios) tienen acceso a qué Google Cloud recursos en función de tus políticas de permiso de gestión de identidades y accesos.

El analizador de políticas de las políticas de permiso puede ayudarte a responder preguntas como las siguientes:

  • ¿Quién puede acceder a esta cuenta de servicio de gestión de identidades y accesos?
  • ¿Quién puede leer los datos de este conjunto de datos de BigQuery que contiene información de identificación personal (IIP)?
  • ¿Qué roles y permisos tiene el grupo dev-testers en cualquier recurso de este proyecto?
  • ¿Qué instancias de máquina virtual de Compute Engine puede eliminar Tal en el proyecto A?
  • ¿Quién puede acceder a este segmento de Cloud Storage a las 19:00?

Cómo funciona Analizador de políticas para las políticas de permiso

Para usar Analizador de políticas en las políticas de permiso, debes crear una consulta de análisis, especificar un ámbito para el análisis y, a continuación, ejecutar la consulta.

Consultas de análisis

Para usar Analizador de políticas, crea una consulta de análisis en la que especifiques uno o varios de los siguientes campos:

  • Entidades principales: las identidades (por ejemplo, usuarios, cuentas de servicio, grupos y dominios) cuyo acceso quieres comprobar
  • Acceso: los permisos y roles que quieras comprobar
  • Recursos: los recursos cuyo acceso quieres comprobar
  • (Solo API) Contexto de la condición: el contexto (por ejemplo, la hora del día) en el que quieres comprobar el acceso.

Normalmente, se especifican uno o dos de estos campos en la consulta de análisis y, a continuación, se usan los resultados de la consulta para obtener más información sobre los campos que no se han especificado. Por ejemplo, si quieres saber quién tiene un permiso determinado en un recurso concreto, especificarías el acceso y el recurso en la consulta de análisis, pero no la entidad principal.

Para ver más ejemplos de los tipos de consultas que puede crear, consulte Tipos de consultas habituales.

Ámbito del análisis

Para ejecutar una consulta de análisis, debes especificar un ámbito que analizar. El ámbito es una organización, una carpeta o un proyecto al que quieras limitar el análisis. Solo se analizarán las políticas de gestión de identidades y accesos asociadas al recurso utilizado como ámbito y a sus descendientes.

En la API REST y la CLI de gcloud, debes especificar el ámbito manualmente. En la consola Google Cloud , el ámbito se determina automáticamente en función del proyecto, la carpeta o la organización que estés gestionando.

Después de crear una consulta de análisis y especificar el ámbito, puede ejecutar la consulta para analizar las políticas de ese ámbito.

Resultados de la consulta

Cuando ejecutas una consulta de análisis, Analizador de políticas informa de cualquier enlace de rol que contenga las entidades, el acceso y los recursos que hayas especificado en la consulta. En cada enlace de rol, se indican las entidades principales del enlace, el acceso (rol y permisos) que concede el enlace y el recurso al que concede acceso el enlace.

Puedes consultar estos resultados para comprender mejor el acceso a tu proyecto, carpeta u organización. Por ejemplo, si has ejecutado una consulta para saber qué principales tienen acceso a un recurso específico, revisarías los principales en los resultados de la consulta.

Puedes ajustar la información de los resultados de la consulta habilitando las opciones de consulta.

Tipos de políticas admitidos

Analizador de políticas solo admite políticas de gestión de identidades y accesos.

Analizador de políticas de las políticas de permiso no admite las siguientes formas de control de acceso:

Los resultados de las consultas del Analizador de políticas no tienen en cuenta los tipos de políticas no admitidos. Por ejemplo, imagina que un usuario tiene el permiso iam.roles.get en un proyecto debido a una política de permiso, pero una política de denegación le impide usar el permiso. Analizador de políticas informará de que tienen el permiso iam.roles.get, a pesar de la política de denegación.

Herencia de políticas

Para tener en cuenta la herencia de políticas, Analizador de políticas analiza automáticamente todas las políticas de permiso relevantes dentro del ámbito especificado, independientemente de su ubicación en la jerarquía de recursos.

Por ejemplo, supongamos que quieres saber quién puede acceder a una cuenta de servicio de IAM:

  • Si acotas la consulta a un proyecto, Analizador de políticas analiza la política de permiso de la cuenta de servicio y la política de permiso del proyecto.
  • Si acotas la consulta a una organización, Analizador de políticas analiza la política de permiso de la cuenta de servicio, la política de permiso del proyecto propietario de la cuenta de servicio, las políticas de permiso de las carpetas que contengan el proyecto y la política de permiso de la organización.

Acceso condicional

Si una vinculación de rol tiene una condición, solo concede acceso a un principal cuando se cumple esa condición. Analizador de políticas siempre informa de las condiciones que están asociadas a las vinculaciones de roles pertinentes. Las vinculaciones de roles relevantes son las que contienen las entidades principales, el acceso y los recursos que ha especificado en la consulta de análisis.

En algunos casos, el Analizador de políticas también puede analizar la condición, lo que significa que puede informar de si se cumpliría. Analizador de políticas puede analizar los siguientes tipos de condiciones:

Si una vinculación de rol relevante contiene una condición, el Analizador de políticas hace una de las siguientes acciones:

  • Si el analizador de políticas puede analizar la condición, hace una de las siguientes acciones:

    • Si la condición se evalúa como true, el Analizador de políticas incluye la vinculación de roles en los resultados de la consulta y marca la evaluación de la condición como TRUE.
    • Si la condición se evalúa como falsa, Analizador de políticas no incluirá el rol en los resultados de la consulta.

  • Si el Analizador de políticas no puede analizar una condición de una vinculación de rol relevante, incluye el rol en los resultados de la consulta y marca la evaluación de la condición como CONDITIONAL.

Actualización de datos

Policy Analyzer usa la API Cloud Asset, que ofrece la máxima actualización posible de los datos. Aunque casi todas las actualizaciones de las políticas aparecen en Analizador de políticas en cuestión de minutos, es posible que Analizador de políticas no incluya las actualizaciones de las políticas más recientes.

Tipos de consultas habituales

En esta sección se describe cómo usar las consultas de análisis para responder a preguntas habituales relacionadas con el acceso.

¿Qué directores pueden acceder a este recurso?

Para determinar qué principales pueden acceder a un recurso, crea una consulta de análisis que especifique el recurso y, opcionalmente, los roles y permisos que quieras comprobar.

Estas consultas pueden ayudarte a responder preguntas como las siguientes:

  • ¿Quién tiene acceso a esta cuenta de servicio de gestión de identidades y accesos?
  • ¿Quién tiene permiso para suplantar la identidad de esta cuenta de servicio de gestión de identidades y accesos?
  • ¿Quiénes son los administradores de facturación del proyecto A?
  • (Solo API y CLI de gcloud): ¿Quién puede actualizar el proyecto A suplantando la identidad de una cuenta de servicio?

Para saber cómo crear y enviar estas consultas, consulta Determinar qué principales pueden acceder a un recurso.

¿Qué principales tienen estos roles y permisos?

Para determinar qué entidades principales tienen determinados roles y permisos, crea una consulta de análisis que especifique una entidad principal y un conjunto de roles y permisos que quieras comprobar.

Estas consultas pueden ayudarte a responder preguntas como las siguientes:

  • ¿Quién tiene permiso para suplantar la identidad de las cuentas de servicio de mi organización?
  • ¿Quiénes son los administradores de facturación de mi organización?
  • ¿Quién puede leer los datos de este conjunto de datos de BigQuery que contiene información de identificación personal (IIP)?
  • (Solo API y CLI de gcloud): ¿Quién de mi organización puede leer un conjunto de datos de BigQuery suplantando la identidad de una cuenta de servicio?

Para saber cómo crear y enviar estas consultas, consulta Determinar qué principales tienen determinados roles o permisos.

¿Qué roles y permisos tiene esta entidad principal en este recurso?

Para determinar qué roles y permisos tiene una entidad principal en un recurso específico, crea una consulta de análisis que especifique una entidad principal y un recurso en el que quieras comprobar los permisos.

Estas consultas pueden ayudarte a responder preguntas como las siguientes:

  • ¿Qué roles y permisos tiene el usuario Sasha en este conjunto de datos de BigQuery?
  • ¿Qué roles y permisos tiene el grupo dev-testers en cualquier recurso de este proyecto?
  • (Solo API y CLI de gcloud): ¿Qué roles y permisos tiene la usuaria Dana en este conjunto de datos de BigQuery si Dana suplanta la identidad de una cuenta de servicio?

Para saber cómo crear y enviar estas consultas, consulta Determinar el acceso que tiene una entidad de seguridad a un recurso.

¿A qué recursos puede acceder esta entidad principal?

Para determinar a qué recursos puede acceder una entidad principal específica, crea una consulta de análisis que especifique una entidad principal y los roles y permisos que quieras comprobar.

Estas consultas pueden ayudarte a responder preguntas como las siguientes:

  • ¿A qué conjuntos de datos de BigQuery tiene permiso de lectura el usuario Mahan?
  • ¿De qué conjuntos de datos de BigQuery es propietario el grupo dev-testers?
  • ¿Qué VMs puede eliminar Tal en el proyecto A?
  • (Solo API y CLI de gcloud): ¿Qué máquinas virtuales puede eliminar el usuario Juan suplantando una cuenta de servicio?

Para saber cómo crear y enviar estas consultas, consulta Determinar a qué recursos puede acceder una entidad principal.

Consultas de análisis guardadas

Si usas la API REST, puedes guardar consultas de análisis para reutilizarlas o compartirlas con otros usuarios. Puedes ejecutar una consulta guardada de la misma forma que ejecutarías cualquier otra consulta.

Para obtener más información sobre cómo guardar consultas, consulta el artículo Gestionar consultas guardadas.

Exportar resultados de consultas

Puedes ejecutar consultas de forma asíncrona y exportar los resultados de las consultas a BigQuery o Cloud Storage mediante analyzeIamPolicyLongrunning.

Para saber cómo exportar los resultados de las consultas a BigQuery, consulte el artículo Escribir análisis de políticas en BigQuery.

Para saber cómo exportar los resultados de una consulta a Cloud Storage, consulta el artículo Escribir análisis de políticas en Cloud Storage.

Opciones de consulta

Analizador de políticas ofrece varias opciones que añaden más detalles a los resultados de las consultas.

Para saber cómo habilitar estas opciones, consulta Habilitar opciones.

Expansión de grupos

Si habilitas la expansión de grupos, los grupos de los resultados de la consulta se desglosarán en miembros individuales. Esta expansión está limitada a 1000 miembros por grupo. Si tienes permisos de grupo suficientes, los grupos anidados también se desplegarán. Esta opción solo es efectiva si no especificas un principal en tu consulta.

Por ejemplo, supongamos que habilitas la expansión de grupos para la consulta "¿Quién tiene el permiso storage.buckets.delete para project-1?". Si Analizador de políticas encuentra algún grupo que tenga el permiso storage.buckets.delete, los resultados de la consulta mostrarán no solo el identificador del grupo, sino también todos los miembros individuales del grupo.

Esta opción te permite conocer el acceso de cada usuario, aunque sea miembro de un grupo.

Ampliación de roles

Si habilitas la expansión de roles, en la lista de resultados de la consulta se mostrarán todos los permisos de cada rol, además del propio rol. Esta opción solo está disponible si no especificas ningún permiso ni rol en tu consulta.

Por ejemplo, supongamos que habilitas la expansión de roles para la consulta "¿Qué acceso tiene my-user@example.com al bucket bucket-1?". Si Policy Analyzer encuentra algún rol que dé acceso a my-user@example.com a bucket-1, en los resultados de la consulta se mostrará no solo el nombre del rol, sino también todos los permisos incluidos en el rol.

Esta opción te permite ver exactamente qué permisos tienen tus principales.

Ampliación de recursos

Si habilita la expansión de recursos en una consulta de Analizador de políticas, en la lista de resultados de la consulta se mostrarán todos los recursos descendientes relevantes de los recursos parentales (proyectos, carpetas y organizaciones) que se incluyan en los resultados de la consulta. Esta ampliación está limitada a 1000 recursos por recurso superior en las consultas de Analizador de políticas y a 100.000 recursos por recurso superior en las consultas de Analizador de políticas de larga duración.

Por ejemplo, veamos cómo afectaría la ampliación de recursos a las siguientes consultas:

  • ¿Quién tiene el permiso storage.buckets.delete para project-1?

    Si habilitas la expansión de recursos en esta consulta, en la sección de recursos de los resultados de la consulta se mostrará no solo el proyecto, sino también todos los segmentos de almacenamiento del proyecto.

  • ¿En qué recursos tiene el permiso my-user@example.comcompute.instances.setIamPolicy?

    Si habilitas la expansión de recursos para esta consulta y el Analizador de políticas detecta que my-user@example.com tiene un rol a nivel de proyecto que contiene ese permiso, en la sección de recursos de los resultados de la consulta no solo se mostrará el proyecto, sino también todas las instancias de Compute Engine que haya en él.

Esta opción te permite conocer en detalle los recursos a los que pueden acceder tus principales.

Suplantación de identidad de cuentas de servicio

Si usas la API REST o la CLI de gcloud, puedes habilitar el análisis de la suplantación de identidad de cuentas de servicio.

Si esta opción está habilitada, Analizador de políticas ejecuta consultas de análisis adicionales para determinar quién puede suplantar las cuentas de servicio que tienen el acceso especificado a los recursos especificados. Analizador de políticas ejecuta una consulta por cada cuenta de servicio en los resultados de la consulta. Estas consultas analizan quién tiene alguno de los siguientes permisos en la cuenta de servicio:

  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.implicitDelegation
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt

Cuotas y límites

El Inventario de Recursos de Cloud aplica la frecuencia de solicitudes entrantes, incluidas las solicitudes de análisis de políticas, en función del proyecto de consumidor. Inventario de Recursos de Cloud también limita la expansión de grupos en las membresías de grupos y la expansión de recursos en la jerarquía de recursos.

Para ver las cuotas y los límites predeterminados de Analizador de políticas, consulta Cuotas y límites en la documentación de Cloud Asset Inventory.

Precios

Cada organización puede ejecutar hasta 20 consultas de análisis al día sin coste económico. Este límite incluye tanto el análisis de las políticas permitidas como el de las políticas de la organización.

Si quieres ejecutar más de 20 consultas de análisis al día, debes tener activado a nivel de organización el nivel Premium o Enterprise de Security Command Center. Para obtener más información, consulta las preguntas sobre la facturación.

Siguientes pasos