Policy Analyzer per i criteri IAM

Policy Analyzer ti consente di scoprire quali entità (ad esempio utenti, account di servizio, gruppi e domini) hanno un determinato accesso a determinate risorse Google Cloud in base ai tuoi criteri di autorizzazione IAM.

Analizzatore criteri può aiutarti a rispondere a domande come:

  • Chi può accedere a questo account di servizio IAM?
  • Chi può leggere i dati in questo set di dati BigQuery contenente informazioni che consentono l'identificazione personale (PII)?
  • Quali ruoli e autorizzazioni ha il gruppo dev-testers per qualsiasi in questo progetto?
  • Quali istanze di macchine virtuali (VM) Compute Engine possono essere eliminate nel progetto A?
  • Chi può accedere a questo bucket Cloud Storage alle 19:00?

Come funziona Policy Analyzer

Per utilizzare l'Analizzatore criteri, crea una query di analisi, specifica un ambito per l'analisi ed esegui la query.

Query di analisi

Per utilizzare Policy Analyzer, è necessario creare una query di analisi che specifichi una o più dei seguenti campi:

  • Principali: le identità (ad esempio utenti, account di servizio, gruppi e domini) di cui vuoi controllare l'accesso
  • Accesso: le autorizzazioni e i ruoli che vuoi verificare
  • Risorse: le risorse per le quali vuoi controllare l'accesso
  • (Solo API) Contesto della condizione: il contesto, ad esempio l'ora della giorno—sotto il quale vuoi controllare l'accesso

Generalmente, specifichi uno o due di questi campi nella query di analisi, utilizzare i risultati della query per ottenere maggiori informazioni sui campi che non hai specificare. Ad esempio, se vuoi sapere chi ha una determinata autorizzazione su un risorsa, specifica l'accesso e la risorsa nell'analisi ma non specificheresti l'entità.

Per altri esempi di tipi di query che puoi creare, consulta Tipi di query comuni.

Ambito dell'analisi

Per eseguire una query di analisi, devi specificare un ambito da analizzare. L'ambito è un'organizzazione, una cartella o un progetto a cui vuoi limitare l'analisi. Verranno analizzati solo i criteri di autorizzazione IAM allegati alla risorsa utilizzata come ambito e ai relativi discendenti.

Nell'API REST e in gcloud CLI, specifichi l'ambito manualmente. Nella console Google Cloud, l'ambito viene determinato automaticamente in base al progetto, alla cartella o all'organizzazione che stai attualmente gestendo.

Dopo aver creato una query di analisi e specificato l'ambito, puoi eseguire la query per analizzare i criteri in quell'ambito.

Risultati delle query

Quando esegui una query di analisi, Policy Analyzer segnala eventuali associazioni di ruoli che contengono le entità, l'accesso e le risorse specificati nella query. Per ogni associazione dei ruoli, indica le entità in l'associazione, l'accesso (ruolo e autorizzazioni) concesso dall'associazione la risorsa a cui l'associazione concede l'accesso.

Puoi esaminare questi risultati per comprendere meglio l'accesso nel progetto, nella cartella o nell'organizzazione. Ad esempio, se hai eseguito una query per scoprire quali entità hanno accesso a una risorsa specifica, dovrai esaminarle nei risultati della query.

Puoi modificare le informazioni nei risultati della query abilitando opzioni.

Tipi di criteri supportati

Analizzatore criteri IAM supporta solo autorizzazioni IAM .

Analizzatore criteri non supporta le seguenti forme di controllo dell'accesso:

I risultati delle query di Policy Analyzer non tengono conto dei tipi di criteri non supportati. Per Ad esempio, immagina che un utente disponga dell'autorizzazione iam.roles.get per un progetto a causa di un criterio di autorizzazione, ma un criterio di negazione impedisce loro di utilizzare autorizzazione. Analizzatore criteri segnalerà che ha iam.roles.get l'autorizzazione, nonostante il criterio di negazione.

Ereditarietà dei criteri

Per tenere conto dell'eredità dei criteri, Analizzatore criteri analizza automaticamente tutti i criteri di autorizzazione pertinenti nell'ambito specificato, indipendentemente da dove si trovano nella gerarchia delle risorse.

Ad esempio, immagina di voler scoprire chi può accedere a un Account di servizio IAM:

  • Se limiti l'ambito della query a un progetto, l'Analizzatore criteri analizza il criterio di autorizzazione dell'account di servizio e il criterio di autorizzazione del progetto.
  • Se imposti l'ambito della query su un'organizzazione, Policy Analyzer analizza le autorizzazioni criterio dell'account di servizio, il criterio di autorizzazione del progetto proprietario account di servizio, i criteri di autorizzazione delle cartelle contenenti il progetto e il criterio di autorizzazione dell'organizzazione.

Accesso condizionale

Se un'associazione di ruoli ha una condizione, concede solo un'entità all'accesso quando questa condizione è soddisfatta. Policy Analyzer segnala sempre le condizioni associate alle associazioni di ruoli pertinenti. Le associazioni di ruoli pertinenti sono ruoli associazioni che contengono le entità, l'accesso e le risorse specificate nella query di analisi.

In alcuni casi, lo strumento di analisi delle norme può anche analizzare la condizione, ovvero può indicare se la condizione viene soddisfatta. Policy Analyzer può analizzare i seguenti tipi di condizioni:

Se un'associazione dei ruoli pertinente contiene una condizione, Policy Analyzer esegue una delle le seguenti:

  • Se l'Analizzatore criteri può analizzare la condizione, esegue una delle seguenti operazioni:

    • Se la condizione ha valore true, Policy Analyzer include l'associazione dei ruoli nei risultati della query e contrassegna la valutazione della condizione come TRUE.
    • Se la condizione è falsa, lo strumento di analisi dei criteri non include il ruolo nei risultati della query.
  • Se Policy Analyzer non riesce ad analizzare una condizione per un'associazione di ruoli pertinente, include il ruolo nei risultati della query e contrassegna la valutazione della condizione come CONDITIONAL.

Aggiornamento dei dati

Policy Analyzer utilizza l'API Cloud Asset, che offre l'aggiornamento dei dati secondo il criterio del "best effort". Sebbene quasi tutti gli aggiornamenti dei criteri vengano visualizzati in Policy Analyzer in pochi minuti, è possibile che Policy Analyzer non includa gli aggiornamenti dei criteri più recenti.

Tipi di query comuni

Questa sezione descrive come utilizzare le query di analisi per rispondere a domande comuni relative all'accesso.

Quali entità possono accedere a questa risorsa?

Per determinare quali entità possono accedere a una risorsa, crea una query di analisi che specifichi la risorsa e, facoltativamente, i ruoli e le autorizzazioni che vuoi verificare.

Queste query possono aiutarti a rispondere a domande come le seguenti:

  • Chi ha accesso a questo account di servizio IAM?
  • Chi dispone dell'autorizzazione per impersonare questo servizio IAM account?
  • Chi sono gli amministratori della fatturazione del progetto A?
  • (Solo API e gcloud CLI): chi può aggiornare il progetto A tramite si spaccia per un account di servizio?

Per scoprire come creare e inviare queste query, consulta Determinare quali principali possono accedere a una risorsa.

Quali entità hanno questi ruoli e queste autorizzazioni?

Per determinare quali entità dispongono di determinati ruoli e autorizzazioni, crea una query di analisi che specifica un'entità e un insieme di ruoli e autorizzazioni che vuoi controllare.

Queste query possono aiutarti a rispondere a domande come:

  • Chi dispone dell'autorizzazione per impersonare account di servizio nella mia organizzazione?
  • Chi sono gli amministratori della fatturazione della mia organizzazione?
  • Chi può leggere i dati di questo set di dati BigQuery che contiene che consentono l'identificazione personale (PII)?
  • (Solo API e interfaccia a riga di comando gcloud): chi nella mia organizzazione può leggere un set di dati BigQuery fingendosi un account di servizio?

Per informazioni su come creare e inviare queste query, consulta Determinazione delle entità alcuni ruoli o autorizzazioni.

Quali ruoli e autorizzazioni ha questa entità in questa risorsa?

Per determinare i ruoli e le autorizzazioni di cui dispone un'entità per una risorsa specifica, crea una query di analisi che specifica un'entità e una risorsa per cui vuoi controllare le autorizzazioni.

Queste query possono aiutarti a rispondere a domande come le seguenti:

  • Quali ruoli e autorizzazioni ha l'utente Sasha al riguardo set di dati BigQuery?
  • Quali ruoli e autorizzazioni ha il gruppo dev-testers su qualsiasi risorsa di questo progetto?
  • (Solo API e gcloud CLI): quali ruoli e autorizzazioni l'utente Dana su questo set di dati BigQuery se Dana si spaccia per un account di servizio?

Per informazioni su come creare e inviare queste query, consulta Determinare il tipo di accesso a un dell'entità su una risorsa.

A quali risorse può accedere questa entità?

Per determinare le risorse a cui può accedere un'entità specifica, crea una query di analisi che specifichi un'entità e i ruoli e le autorizzazioni da verificare.

Queste query possono aiutarti a rispondere a domande come:

  • Quali set di dati BigQuery ha l'utente Mahan? l'autorizzazione alla lettura?
  • Quali set di dati BigQuery corrispondono al gruppo dev-testers proprietario dei dati?
  • Quali VM può eliminare Tal nel progetto A?
  • (Solo API e interfaccia a riga di comando gcloud): quali VM può eliminare l'utente John assumendo il ruolo di un account di servizio?

Per scoprire come creare e inviare queste query, consulta Determinare le risorse a cui può accedere un ruolo.

Query di analisi salvate

Se utilizzi l'API REST, puoi salvare le query di analisi per riutilizzarle o condividerle con altri utenti. Puoi eseguire una query salvata proprio come faresti con qualsiasi altra query.

Per scoprire di più sul salvataggio delle query, consulta Gestire le query salvate.

Esportare i risultati delle query

Puoi eseguire query in modo asincrono ed esportare i risultati in BigQuery o Cloud Storage utilizzando analyzeIamPolicyLongrunning.

Per scoprire come esportare i risultati delle query in BigQuery, consulta Scrivere analisi delle norme in BigQuery.

Per scoprire come esportare i risultati delle query in Cloud Storage, consulta Scrivere analisi dei criteri in Cloud Storage.

Opzioni query

Policy Analyzer offre diverse opzioni che aggiungono ulteriori dettagli alla query che consentono di analizzare i dati e visualizzare i risultati.

Per informazioni su come attivare queste opzioni, vedi Attivare le opzioni.

Espansione del gruppo

Se attivi l'espansione dei gruppi, tutti i gruppi nei risultati della query vengono espandenti in singoli membri. Questa espansione ha un limite di 1000 membri per gruppo. Se disponi di autorizzazioni sufficienti per i gruppi, vengono espansi anche i gruppi nidificati. Questa opzione è efficace solo se non specifichi un'entità nella query.

Ad esempio, immagina di abilitare l'espansione del gruppo per la query "Chi ha storage.buckets.delete per l'autorizzazione project-1?" Se Policy Analyzer trova tutti i gruppi con l'autorizzazione storage.buckets.delete, i risultati della query elencherà non solo l'identificatore del gruppo, ma anche tutti i singoli membri nel gruppo.

Questa opzione ti consente di comprendere l'accesso dei singoli utenti, anche se questo è il risultato della loro appartenenza a un gruppo.

Espansione dei ruoli

Se attivi l'espansione dei ruoli, i risultati della query elencano tutte le autorizzazioni all'interno di ciascun ruolo, oltre al ruolo stesso. Questa opzione è disponibile solo se non specifichi autorizzazioni o ruoli nella query.

Ad esempio, immagina di attivare l'espansione dei ruoli per la query "Quale accesso ha my-user@example.com al bucket bucket-1?" Se lo strumento di analisi dei criteri trova ruoli che concedono a my-user@example.com l'accesso a bucket-1, i risultati della query elencheranno non solo il nome del ruolo, ma anche tutte le autorizzazioni incluse nel ruolo.

Questa opzione ti consente di vedere esattamente quali autorizzazioni hanno i tuoi principali.

Espansione delle risorse

Se attivi l'espansione delle risorse per una query di Analizzatore criteri, i risultati della query elencano tutte le risorse discendenti pertinenti per le risorse principali (progetti, cartelle e organizzazioni). Questa espansione è limitata a 1000 risorse per risorsa principale per le query di Analizzatore criteri e a 100.000 risorse per risorsa principale per le query di Analizzatore criteri di lunga durata.

Ad esempio, considera l'impatto dell'espansione delle risorse sulle seguenti query:

  • Chi ha l'autorizzazione storage.buckets.delete per project-1?

    Se abiliti l'espansione delle risorse per questa query, la sezione delle risorse del i risultati della query elencheranno non solo il progetto, ma anche tutti i bucket all'interno del progetto.

  • Quali risorse ha my-user@example.com Autorizzazione compute.instances.setIamPolicy attivata?

    Se attivi l'espansione delle risorse per questa query e lo strumento di analisi dei criteri rileva chemy-user@example.com ha un ruolo a livello di progetto che contiene l'autorizzazione, la sezione Risorse dei risultati della query elenca non solo il progetto, ma anche tutte le istanze Compute Engine al suo interno.

Questa opzione ti consente di ottenere una comprensione dettagliata delle risorse che a cui possono accedere le entità.

Simulazione dell'identità degli account di servizio

Se utilizzi l'API REST o gcloud CLI, puoi abilitare l'analisi relative al furto d'identità degli account di servizio.

Se questa opzione è abilitata, Policy Analyzer esegue ulteriori query di analisi per determinare chi può impersonare gli account di servizio che hanno l'accesso alle risorse specificate. Policy Analyzer esegue una query per ogni l'account di servizio nei risultati della query. Queste query analizzano chi ha uno qualsiasi dei seguenti autorizzazioni per l'account di servizio:

  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.implicitDelegation
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt

Quote e limiti

Cloud Asset Inventory applica la frequenza delle richieste in entrata, inclusi i criteri di analisi, in base al progetto del consumatore. Cloud Asset Inventory limita inoltre l'espansione dei gruppi all'interno delle iscrizioni ai gruppi e l'espansione delle risorse all'interno della gerarchia delle risorse.

Per visualizzare le quote e i limiti predefiniti per Policy Analyzer, consulta Quote e limiti nella documentazione di Cloud Asset Inventory.

Prezzi

Ogni organizzazione può eseguire fino a 20 query di analisi al giorno senza costi. Questo limite include sia l'analisi dei criteri di autorizzazione sia l'analisi dei criteri dell'organizzazione.

Se vuoi eseguire più di 20 query di analisi al giorno, devi disporre di un'attivazione a livello di organizzazione del livello Premium di Security Command Center. Per ulteriori informazioni, consulta la sezione Fatturazione domande.

Passaggi successivi