Analizzatore criteri per i criteri IAM

Policy Analyzer consente di scoprire quali entità (ad esempio utenti, account di servizio, gruppi e domini) hanno un determinato accesso a determinate risorse Google Cloud in base ai criteri di autorizzazione IAM.

Analizzatore criteri può aiutarti a rispondere a domande come queste:

• Chi può accedere a questo account di servizio IAM?
• Chi può leggere i dati in questo set di dati BigQuery contenente informazioni che consentono PII9;identificazione personale?
• Quali ruoli e autorizzazioni ha il gruppo dev-testers per qualsiasi risorsa in questo progetto?
• Quali istanze di macchine virtuali (VM) Compute Engine possono eliminare Tal nel progetto A?
• Chi può accedere a questo bucket Cloud Storage alle 19:00?

Come funziona Policy Analyzer

Per utilizzare Policy Analyzer, devi creare una query di analisi, specificare un ambito per l'analisi ed eseguire la query.

Query di analisi

Per utilizzare Policy Analyzer, devi creare una query di analisi che specifichi uno o più dei seguenti campi:

• Entità: le identità (ad esempio utenti, account di servizio, gruppi e domini) di cui vuoi verificare l'accesso
• Accesso: le autorizzazioni e i ruoli che vuoi verificare
• Risorse: le risorse per le quali vuoi controllare l'accesso
• (Solo API) Contesto della condizione: il contesto, ad esempio l'ora del giorno, in cui vuoi verificare l'accesso

In genere, specifichi uno o due di questi campi nella query di analisi e poi utilizzi i risultati della query per ottenere ulteriori informazioni sui campi che non hai specificato. Ad esempio, per sapere chi dispone di una determinata autorizzazione per una determinata risorsa, devi specificare l'accesso e la risorsa nella query di analisi, ma non l'entità.

Per ulteriori esempi dei tipi di query che puoi creare, consulta Tipi di query comuni.

Ambito dell'analisi

Per eseguire una query di analisi, devi specificare un ambito da analizzare. L'ambito è un'organizzazione, una cartella o un progetto a cui vuoi limitare l'analisi. Verranno analizzati solo i criteri di autorizzazione IAM associati alla risorsa utilizzata come ambito e ai relativi discendenti.

Nell'API REST e in gcloud CLI, specifichi l'ambito manualmente. Nella console Google Cloud, l'ambito viene determinato automaticamente in base al progetto, alla cartella o all'organizzazione che stai gestendo attualmente.

Dopo aver creato una query di analisi e aver specificato l'ambito, puoi eseguire la query per analizzare i criteri nell'ambito in questione.

Risultati delle query

Quando esegui una query di analisi, Policy Analyzer segnala tutte le associazioni di ruoli contenenti le entità, l'accesso e le risorse specificati nella query. Per ogni associazione di ruoli, segnala le entità nell'associazione, l'accesso (ruolo e autorizzazioni) concesso dall'associazione e la risorsa a cui l'associazione concede l'accesso.

Puoi esaminare questi risultati per comprendere meglio l'accesso nel tuo progetto, nella tua cartella o nella tua organizzazione. Ad esempio, se esegui una query per scoprire quali entità hanno accesso a una risorsa specifica, dovrai esaminarle nei risultati della query.

Puoi modificare le informazioni dei risultati della query abilitando le opzioni di query.

Tipi di criteri supportati

Analizzatore criteri IAM supporta solo i criteri di autorizzazione IAM.

Policy Analyzer non supporta le seguenti forme di controllo dell'accesso dell'accesso:

• Criteri di negazione IAM
• Controllo degli accessi basato su ruoli di Google Kubernetes Engine
• Elenchi di controllo dell'accesso di Cloud Storage
• Prevenzione dell'accesso pubblico di Cloud Storage

I risultati delle query di Policy Analyzer non tengono conto dei tipi di criteri non supportati. Ad esempio, immagina che un utente abbia l'autorizzazione iam.roles.get su un progetto a causa di un criterio di autorizzazione, ma un criterio di negazione gli impedisce di utilizzare l'autorizzazione. Policy Analyzer segnalerà che dispone dell'autorizzazione iam.roles.get, malgrado il criterio di negazione.

Eredità dei criteri

Per tenere conto dell'ereditarietà dei criteri, Policy Analyzer analizza automaticamente tutti i criteri di autorizzazione pertinenti nell'ambito specificato, indipendentemente da dove si trovano nella gerarchia delle risorse.

Ad esempio, immagina di voler scoprire chi può accedere a un account di servizio IAM:

• Se imposti l'ambito della query su un progetto, Policy Analyzer analizza il criterio di autorizzazione dell'account di servizio e il criterio di autorizzazione del progetto.
• Se imposti l'ambito della query su un'organizzazione, Policy Analyzer analizza il criterio di autorizzazione dell'account di servizio, il criterio di autorizzazione del progetto proprietario dell'account di servizio, i criteri di autorizzazione di tutte le cartelle contenenti il progetto e il criterio di autorizzazione dell'organizzazione.

Accesso condizionale

Se un'associazione di ruoli ha una condizione, concede l'accesso all'entità solo quando questa condizione è soddisfatta. Policy Analyzer segnala sempre le condizioni collegate alle associazioni di ruoli pertinenti. Le associazioni di ruoli pertinenti sono associazioni di ruoli che contengono le entità, l'accesso e le risorse che hai specificato nella query di analisi.

In alcuni casi, Policy Analyzer può anche analizzare la condizione, il che significa che può segnalare se la condizione è soddisfatta. Policy Analyzer può analizzare i seguenti tipi di condizioni:

• Condizioni basate su attributi della risorsa per i tipi di risorse che forniscono un nome risorsa.
• Condizioni data/ora (solo API e gcloud CLI). Affinché Policy Analyzer possa analizzare queste condizioni, devi indicare l'ora dell'accesso (accessTime) nella query di analisi. Per scoprire come fornire questo contesto, consulta Determinare l'accesso in un momento specifico.

Se un'associazione dei ruoli pertinente contiene una condizione, Policy Analyzer esegue una delle seguenti operazioni:

• Se Policy Analyzer può analizzare la condizione, esegue una delle seguenti operazioni:

  • Se la condizione restituisce true, Policy Analyzer include l'associazione dei ruoli nei risultati della query e contrassegna la valutazione della condizione come TRUE.
  • Se la condizione è false, Policy Analyzer non include il ruolo nei risultati della query.

• Se Policy Analyzer non è in grado di analizzare una condizione per un'associazione di ruoli pertinente, include il ruolo nei risultati della query e contrassegna la valutazione della condizione come CONDITIONAL.

Aggiornamento dei dati

Policy Analyzer utilizza l'API Cloud Asset, che garantisce l'aggiornamento dei dati secondo il criterio del "best effort". Sebbene quasi tutti gli aggiornamenti dei criteri vengano visualizzati in Policy Analyzer in pochi minuti, è possibile che Policy Analyzer non includa gli aggiornamenti più recenti.

Tipi di query comuni

Questa sezione descrive come utilizzare le query di analisi per rispondere alle domande più comuni relative all'accesso.

Quali entità possono accedere a questa risorsa?

Per determinare quali entità possono accedere a una risorsa, crea una query di analisi che specifica la risorsa e, facoltativamente, i ruoli e le autorizzazioni da controllare.

Queste query possono aiutarti a rispondere a domande come le seguenti:

• Chi ha accesso a questo account di servizio IAM?
• Chi ha l'autorizzazione per impersonare questo account di servizio IAM?
• Chi sono gli amministratori della fatturazione del progetto A?
• (Solo API e gcloud CLI): chi può aggiornare il progetto A impersonando un account di servizio?

Per scoprire come creare e inviare queste query, vedi Determinare quali entità possono accedere a una risorsa.

Quali entità hanno questi ruoli e autorizzazioni?

Per determinare quali entità dispongono di determinati ruoli e autorizzazioni, crea una query di analisi che specifichi un'entità e un insieme di ruoli e autorizzazioni che vuoi controllare.

Queste query possono aiutarti a rispondere a domande come le seguenti:

• Chi dispone dell'autorizzazione per impersonare account di servizio nella mia organizzazione?
• Chi sono gli amministratori della fatturazione della mia organizzazione?
• Chi può leggere i dati di questo set di dati BigQuery contenente informazioni che consentono l'identificazione personale (PII)?
• (Solo API e gcloud CLI): chi nella mia organizzazione può leggere un set di dati BigQuery impersonando un account di servizio?

Per scoprire come creare e inviare queste query, vedi Determinare quali entità hanno determinati ruoli o autorizzazioni.

Quali ruoli e autorizzazioni ha questa entità su questa risorsa?

Per determinare di quali ruoli e autorizzazioni dispone un'entità per una risorsa specifica, crea una query di analisi che specifichi un'entità e una risorsa per cui vuoi controllare le autorizzazioni.

Queste query possono aiutarti a rispondere a domande come le seguenti:

• Quali ruoli e autorizzazioni ha l'utente Sasha per questo set di dati BigQuery?
• Quali ruoli e autorizzazioni ha il gruppo dev-testers per qualsiasi risorsa in questo progetto?
• (Solo API e gcloud CLI): quali ruoli e autorizzazioni ha l'utente Dana su questo set di dati BigQuery se Dana si spaccia per un account di servizio?

Per scoprire come creare e inviare queste query, vedi Determinare l'accesso di un'entità a una risorsa.

A quali risorse può accedere questa entità?

Per determinare a quali risorse può accedere un'entità specifica, crea una query di analisi che specifichi un'entità, i ruoli e le autorizzazioni che vuoi controllare.

Queste query possono aiutarti a rispondere a domande come le seguenti:

• Quali set di dati BigQuery può leggere l'utente Mahan?
• Il gruppo dev-testers di quali set di dati BigQuery è il proprietario dei dati?
• Quali VM possono eliminare Tal nel progetto A?
• (Solo API e gcloud CLI): quali VM può eliminare l'utente John creando l'identità di un account di servizio?

Per scoprire come creare e inviare queste query, vedi Determinare a quali risorse può accedere un'entità.

Query di analisi salvate

Se utilizzi l'API REST, puoi salvare le query di analisi per riutilizzarle o condividerle con altri. Puoi eseguire una query salvata proprio come faresti con qualsiasi altra query.

Per scoprire di più sul salvataggio delle query, consulta Gestire le query salvate.

Esporta i risultati della query

Puoi eseguire query in modo asincrono ed esportare i risultati in BigQuery o Cloud Storage utilizzando analyzeIamPolicyLongrunning.

Per scoprire come esportare i risultati delle query in BigQuery, consulta Scrivere l'analisi dei criteri in BigQuery.

Per scoprire come esportare i risultati delle query in Cloud Storage, consulta Scrivere l'analisi dei criteri in Cloud Storage.

Opzioni query

Policy Analyzer offre diverse opzioni per aggiungere ulteriori dettagli ai risultati delle query.

Per informazioni su come attivare queste opzioni, vedi Attivare le opzioni.

Espansione del gruppo

Se attivi l'espansione dei gruppi, tutti i gruppi nei risultati della query vengono espansi in singoli membri. Questa espansione è limitata a 1000 membri per gruppo. Se disponi di autorizzazioni sufficienti per i gruppi, verranno espansi anche i gruppi nidificati. Questa opzione è efficace solo se non specifichi un'entità nella query.

Ad esempio, immagina di abilitare l'espansione del gruppo per la query "Chi ha l'autorizzazione storage.buckets.delete per project-1?" Se Policy Analyzer trova dei gruppi che dispongono dell'autorizzazione storage.buckets.delete, nei risultati della query non verranno indicati solo l'identificatore del gruppo, ma anche tutti i singoli membri del gruppo.

Questa opzione ti consente di comprendere l'accesso dei singoli utenti, anche se tale accesso è il risultato della loro appartenenza a un gruppo.

Espansione dei ruoli

Se abiliti l'espansione dei ruoli, nei risultati della query vengono elencate tutte le autorizzazioni all'interno di ciascun ruolo, oltre al ruolo stesso. Questa opzione è disponibile solo se non specifichi autorizzazioni o ruoli nella query.

Ad esempio, immagina di abilitare l'espansione del ruolo per la query "Che accesso ha my-user@example.com al bucket bucket-1?" Se Policy Analyzer trova qualsiasi ruolo che conceda a my-user@example.com l'accesso a bucket-1, nei risultati della query elencheranno non solo il nome del ruolo, ma anche tutte le autorizzazioni incluse nel ruolo.

Questa opzione ti consente di vedere esattamente le autorizzazioni di cui dispongono le entità.

Espansione delle risorse

Se attivi l'espansione delle risorse per una query di Policy Analyzer, nei risultati della query vengono elencate tutte le risorse discendenti pertinenti per tutte le risorse padre (progetti, cartelle e organizzazioni) nei risultati della query. Questa espansione è limitata a 1000 risorse per risorsa padre per le query di Policy Analyzer e a 100.000 risorse per risorsa padre per le query a lunga esecuzione di Policy Analyzer.

Ad esempio, considera in che modo l'espansione delle risorse potrebbe influire sulle seguenti query:

• Chi ha l'autorizzazione storage.buckets.delete per project-1?

  Se abiliti l'espansione delle risorse per questa query, la sezione delle risorse dei risultati della query elencherà non solo il progetto, ma anche tutti i bucket di archiviazione all'interno del progetto.

• Per quali risorse my-user@example.com ha l'autorizzazione compute.instances.setIamPolicy?

  Se abiliti l'espansione delle risorse per questa query e Policy Analyzer rileva che my-user@example.com ha un ruolo a livello di progetto che contiene l'autorizzazione in questione, la sezione delle risorse dei risultati della query elencherà non solo il progetto, ma anche tutte le istanze di Compute Engine all'interno del progetto.

Questa opzione consente di ottenere una comprensione dettagliata delle risorse a cui le entità possono accedere.

Simulazione dell'identità degli account di servizio

Se utilizzi l'API REST o gcloud CLI, puoi abilitare l'analisi della impersonificazione degli account di servizio.

Se questa opzione è abilitata, Policy Analyzer esegue ulteriori query di analisi per determinare chi può rappresentare gli account di servizio che hanno l'accesso specificato alle risorse specificate. Policy Analyzer esegue una query per ogni account di servizio nei risultati delle query. Queste query analizzano chi dispone di una delle seguenti autorizzazioni per l'account di servizio:

• iam.serviceAccounts.actAs
• iam.serviceAccounts.getAccessToken
• iam.serviceAccounts.getOpenIdToken
• iam.serviceAccounts.implicitDelegation
• iam.serviceAccounts.signBlob
• iam.serviceAccounts.signJwt

Quote e limiti

Cloud Asset Inventory applica la frequenza delle richieste in entrata, incluse le richieste di analisi dei criteri, in base al progetto consumer. Cloud Asset Inventory limita anche l'espansione dei gruppi all'interno delle iscrizioni ai gruppi e l'espansione delle risorse all'interno della gerarchia delle risorse.

Per visualizzare le quote e i limiti predefiniti per Policy Analyzer, consulta Quote e limiti nella documentazione di Cloud Asset Inventory.

Prezzi

Ogni organizzazione può eseguire fino a 20 query di analisi al giorno senza costi. Questo limite include sia l'analisi dei criteri di autorizzazione che l'analisi dei criteri dell'organizzazione.

Se vuoi eseguire più di 20 query di analisi al giorno, devi effettuare un'attivazione a livello di organizzazione del livello premium di Security Command Center. Per ulteriori informazioni, consulta la sezione Domande sulla fatturazione.

Passaggi successivi

• Scopri come utilizzare Policy Analyzer per analizzare un criterio di autorizzazione.
• Scopri come utilizzare l'API REST per salvare le query di Policy Analysis.