Analizador de políticas para políticas de IAM

El Analizador de políticas te permite descubrir qué principales (por ejemplo, usuarios, cuentas de servicio, grupos y dominios) tienen qué tipo de acceso a cuáles recursos de Google Cloud en función de tus políticas de permisos de IAM.

El Analizador de políticas puede ayudarte a responder las siguientes preguntas:

• ¿Quién puede acceder a esta cuenta de servicio de IAM?
• Quién puede leer datos en este conjunto de datos de BigQuery que contiene datos personales información de identificación personal (PII)?
• ¿Qué roles y permisos tiene el grupo dev-testers para los recursos de este proyecto?
• ¿Qué instancias de máquina virtual (VM) de Compute Engine puede borrar Tal en el proyecto? ¿A?
• ¿Quién puede acceder a este bucket de Cloud Storage a las 7 p.m.?

Cómo funciona el Analizador de políticas

Para usar el analizador de políticas, debes crear una consulta de análisis, especificar un alcance para el análisis y, luego, ejecutar la consulta.

Consultas de análisis

Para usar el Analizador de políticas, debes crear una consulta de análisis que especifique uno o más de los siguientes campos:

• Principales: las identidades (por ejemplo, usuarios, cuentas de servicio, grupos, y dominios) cuyo acceso quieras comprobar
• Acceso: Los permisos y roles que deseas verificar
• Recursos: Los recursos a los que deseas verificar el acceso
• (Solo API) Contexto de la condición: Es el contexto (por ejemplo, la hora del día) en el que deseas verificar el acceso.

Por lo general, especificas uno o dos de estos campos en la consulta de análisis y, luego, usas los resultados de la consulta para obtener más información sobre los campos que no especificaste. Por ejemplo, si quisieras saber quién tiene cierto permiso sobre un determinado recurso, debes especificar el acceso y el recurso en el análisis consulta, pero no especificarías la principal.

Para obtener más ejemplos de los tipos de consultas que puedes crear, lee el artículo Consulta común de la API de Google Ads.

Alcance del análisis

Para ejecutar una consulta de análisis, debes especificar un alcance para analizar. El permiso es una organización, una carpeta o un proyecto que desees restringir tu análisis. Solo se analizarán las políticas de permiso de IAM adjuntas al recurso que se usa como alcance y a sus descendientes.

En la API de REST y en gcloud CLI, debes especificar el alcance de forma manual. En la consola de Google Cloud, el alcance se determina automáticamente según el proyecto, la carpeta o la organización que administras actualmente.

Después de crear una consulta de análisis y especificar el alcance, puedes ejecutar el consulta para analizar las políticas en ese permiso.

Resultados de la consulta

Cuando ejecutas una consulta de análisis, el Analizador de políticas informa cualquier rol vinculaciones que contienen las principales, el acceso y los recursos que especificaste en la consulta. Para cada vinculación de rol, informa las principales en la vinculación, el acceso (rol y permisos) que otorga la vinculación el recurso al que la vinculación otorga acceso.

Puedes revisar estos resultados para comprender mejor el acceso en tu proyecto, carpeta o organización. Por ejemplo, si ejecutas una consulta para averiguar cuál principales tienen acceso a un recurso específico, revisarías las principales en los resultados de la consulta.

Para ajustar la información de los resultados de tu consulta, habilita la opción query de la aplicación.

Tipos de políticas admitidas

El Analizador de políticas de IAM solo admite políticas de IAM.

El Analizador de políticas no admite las siguientes formas de control de acceso:

• Políticas de denegación de IAM
• Control de acceso basado en roles de Google Kubernetes Engine
• Listas de control de acceso de Cloud Storage
• Prevención del acceso público a Cloud Storage

Los resultados de la consulta del Analizador de políticas no tienen en cuenta los tipos de políticas no compatibles. Para Por ejemplo, imagina que un usuario tiene el permiso iam.roles.get en un proyecto debido a una política de permiso, pero una de denegación les impide usar permiso. El Analizador de políticas informará que tienen el iam.roles.get permiso, a pesar de la política de denegación.

Herencia de políticas

Para tener en cuenta la herencia de políticas, el Analizador de políticas analiza automáticamente todas las políticas de permiso relevantes dentro del alcance especificado, independientemente de dónde se encuentren en la jerarquía de recursos.

Por ejemplo, imagina que intentas averiguar quién puede acceder a una cuenta de servicio de IAM:

• Si limitas la consulta a un proyecto, el Analizador de políticas analiza la política de permisos de la cuenta de servicio y la política de permisos del proyecto.
• Si limitas la consulta a una organización, el Analizador de políticas analiza la política de permisos de la cuenta de servicio, la política de permisos del proyecto al que pertenece la cuenta de servicio, las políticas de permisos de las carpetas que contienen el proyecto y la política de permisos de la organización.

Acceso condicional

Si una vinculación de roles tiene una condición, solo otorga acceso a un principal cuando se cumple esa condición. El analizador de políticas siempre informa las condiciones que se adjuntan a las vinculaciones de roles relevantes. Las vinculaciones de roles relevantes son vinculaciones que contienen las principales, los accesos y los recursos que especificaste en la consulta de análisis.

En algunos casos, Policy Analyzer también puede analizar la condición, lo que significa que puede informar si se cumpliría. El Analizador de políticas puede analizar los siguientes tipos de condiciones:

• Condiciones basadas en atributos de recursos, Para los tipos de recursos que proporcionan un nombre de recurso.
• Condiciones de fecha y hora (solo API y gcloud CLI). Para que el Analizador de políticas analice estas condiciones, debes proporcionar la hora del acceso (accessTime) en tu consulta de análisis. Para aprender a hacer lo siguiente: proporcionar este contexto, consulta Determinar el acceso en un tiempo.

Si una vinculación de roles relevante contiene una condición, Policy Analyzer realiza una de las siguientes acciones:

• Si el Analizador de políticas puede analizar la condición, realiza una de las siguientes acciones:

  • Si la condición se evalúa como verdadera, Policy Analyzer incluye la vinculación de roles en los resultados de la consulta y marca la evaluación de la condición como TRUE.
  • Si la condición se evalúa como falsa, el Analizador de políticas no incluye el rol en los resultados de la búsqueda.

• Si el Analizador de políticas no puede analizar una condición para una vinculación de roles relevante, incluye el rol en los resultados de la consulta y marca la evaluación de la condición como CONDITIONAL.

Actualidad de los datos

El Analizador de políticas usa la API de Cloud Asset, que ofrece la mejor actualización de datos posible. Si bien casi todas las actualizaciones de políticas aparecen en Policy Analyzer en minutos, es posible que este no incluya las actualizaciones más recientes.

Tipos de consultas comunes

En esta sección, se describe cómo usar las consultas de análisis para responder preguntas comunes relacionadas con el acceso.

¿Qué principales pueden acceder a este recurso?

Para determinar qué principales pueden acceder a un recurso, crea una consulta de análisis. que especifique el recurso y, opcionalmente, los roles y permisos que deseas comprobar.

Estas consultas pueden ayudarte a responder preguntas como las siguientes:

• ¿Quién tiene acceso a esta cuenta de servicio de IAM?
• ¿Quién tiene permiso para actuar en nombre de esta cuenta de servicio de IAM?
• ¿Quiénes son los administradores de facturación en el proyecto A?
• (Solo para la API y gcloud CLI): ¿Quién puede actualizar el proyecto A si actúa en nombre de una cuenta de servicio?

Si deseas obtener información para crear y enviar estas consultas, visita Determina qué principales puede acceder a un recurso.

¿Qué principales tienen estos roles y permisos?

Para determinar qué principales tienen ciertos roles y permisos, crea una consulta de análisis que especifique una principal y un conjunto de roles y permisos que deseas verificar.

Estas consultas pueden ayudarte a responder preguntas como las siguientes:

• ¿Quién tiene permiso para suplantar cuentas de servicio en mi organización?
• ¿Quiénes son los administradores de facturación de mi organización?
• ¿Quién puede leer datos en este conjunto de datos de BigQuery que contiene información de identificación personal (PII)?
• (Solo para la API y la CLI de gcloud): ¿Quién de mi organización puede leer un conjunto de datos de BigQuery si actúa en nombre de una cuenta de servicio?

Si deseas obtener información para crear y enviar estas consultas, visita Determina qué principales tienen ciertos roles o permisos.

¿Qué roles y permisos tiene esta principal en este recurso?

Para determinar qué roles y permisos tiene una principal sobre un recurso específico, sigue estos pasos: crear una consulta de análisis en la que se especifique una principal y un recurso en los que quieres verificar los permisos.

Estas consultas pueden ayudarte a responder preguntas como las siguientes:

• ¿Qué roles y permisos tiene el usuario Sasha en este conjunto de datos de BigQuery?
• ¿Qué roles y permisos tiene el grupo dev-testers para los recursos de este proyecto?
• (Solo para la API y gcloud CLI): ¿Qué roles y permisos tiene el usuario Dana en este conjunto de datos de BigQuery si actúa en nombre de una cuenta de servicio?

Para obtener información sobre cómo crear y enviar estas consultas, consulta Determina qué tipo de acceso tiene un principal a un recurso.

¿A qué recursos puede acceder este principal?

Para determinar a qué recursos puede acceder una principal específica, crea una consulta de análisis que especifique una principal y los roles y permisos que deseas verificar.

Estas consultas pueden ayudarte a responder preguntas como las siguientes:

• ¿En qué conjuntos de datos de BigQuery el usuario Mahan tiene permiso para leer?
• ¿Qué conjuntos de datos de BigQuery es el grupo dev-testers que propietario de los datos?
• ¿Qué VMs puede borrar Tal en el proyecto A?
• (Solo API y gcloud CLI): ¿Qué VMs puede borrar el usuario Juan? suplantando la identidad de una cuenta de servicio?

Para obtener información sobre cómo crear y enviar estas consultas, consulta Cómo determinar a qué recursos puede acceder un principal.

Consultas de análisis guardadas

Si usas la API de REST, puedes guardar las consultas de análisis para reutilizarlas o compartirlas con otras personas. Puedes ejecutar una consulta guardada como lo harías con cualquier otra consulta.

Para obtener más información sobre cómo guardar consultas, visita Administra consultas guardadas.

Exportar resultados de consultas

Puedes ejecutar consultas de forma asíncrona y exportar los resultados a BigQuery o Cloud Storage con analyzeIamPolicyLongrunning.

Para aprender a exportar resultados de consultas a BigQuery, consulta Cómo escribir análisis de políticas en BigQuery.

Si deseas obtener información para exportar resultados de consultas a Cloud Storage, consulta Cómo escribir análisis de políticas en Cloud Storage.

Opciones de consulta

El Analizador de políticas ofrece varias opciones que agregan más detalles a tu consulta resultados.

Para saber cómo habilitar estas opciones, consulta Habilitar opciones.

Expansión del grupo

Si habilitas la expansión de grupos, los grupos de los resultados de la consulta se expandirán en miembros individuales. Esta expansión tiene un límite de 1,000 miembros por grupo. Si tienes permisos de grupo suficientes, también se expandirán los grupos anidados. Esta opción solo es efectiva si no especificas un principal en tu consulta.

Por ejemplo, imagina que habilitas la expansión de grupos para la consulta "¿Quién tiene el permiso storage.buckets.delete para project-1?". Si Policy Analyzer encuentra algún grupo que tenga el permiso storage.buckets.delete, los resultados de la consulta mostrarán no solo el identificador del grupo, sino también todos los miembros individuales del grupo.

Esta opción te permite comprender las claves de acceso no autorizado, incluso si ese acceso como resultado de su pertenencia a un grupo.

Expansión de roles

Si habilitas la expansión de roles, los resultados de la consulta enumeran todos los permisos dentro de cada rol, además del rol en sí. Esta opción solo está disponible si no especificar permisos o roles en tu consulta.

Por ejemplo, imagina que habilitas la expansión de roles para la consulta "¿Qué acceso tiene my-user@example.com al bucket bucket-1?". Si el Analizador de políticas encuentra algún rol que le otorgue a my-user@example.com acceso a bucket-1, los resultados de la consulta mostrarán no solo el nombre del rol, sino también todos los permisos incluidos en él.

Esta opción te permite ver exactamente qué permisos tienen tus principales.

Expansión de recursos

Si habilitas la expansión de recursos para una consulta de Policy Analyzer, los resultados de la consulta enumeran todos los recursos secundarios relevantes para cualquier recurso superior (proyectos, carpetas y organizaciones) en los resultados de la consulta. Esta expansión tiene un límite de 1,000 recursos por recurso superior para las consultas del Analizador de políticas y de 100,000 recursos por recurso superior para las consultas de larga duración del Analizador de políticas.

Por ejemplo, considera cómo la expansión de recursos afectaría las siguientes consultas:

• ¿Quién tiene el permiso storage.buckets.delete para project-1?

  Si habilitas la expansión de recursos para esta consulta, la sección de recursos de la los resultados de la consulta enumerarán no solo el proyecto, sino también todos los buckets de almacenamiento. dentro del proyecto.

• ¿En qué recursos my-user@example.com tiene el permiso compute.instances.setIamPolicy?

  Si habilitas la expansión de recursos para esta consulta y el Analizador de políticas descubre que my-user@example.com tiene un rol a nivel de proyecto que contiene ese permiso. la sección de recursos de los resultados de la consulta mostrará no solo el proyecto, sino también también todas las instancias de Compute Engine dentro del proyecto.

Esta opción te permite obtener una comprensión detallada de los recursos a los que pueden acceder tus directores.

Uso de identidad temporal como cuenta de servicio

Si usas la API de REST o gcloud CLI, puedes habilitar el análisis de robo de identidad de cuentas de servicio.

Si esta opción está habilitada, el Analizador de políticas ejecuta consultas de análisis adicionales para determinar quién puede robar la identidad de las cuentas de servicio que tienen el acceso especificado a los recursos especificados. El Analizador de políticas ejecuta una consulta por cada cuenta de servicio en los resultados de la consulta. Estas consultas analizan quién tiene alguno de los siguientes permisos en la cuenta de servicio:

• iam.serviceAccounts.actAs
• iam.serviceAccounts.getAccessToken
• iam.serviceAccounts.getOpenIdToken
• iam.serviceAccounts.implicitDelegation
• iam.serviceAccounts.signBlob
• iam.serviceAccounts.signJwt

Cuotas y límites

Cloud Asset Inventory aplica la frecuencia de solicitudes entrantes, incluida la política y las solicitudes de análisis basadas en el proyecto del consumidor. Asset Inventory de Cloud también limita la expansión de los grupos dentro de las membresías de grupo y la expansión de los recursos dentro de la jerarquía de recursos.

Para ver las cuotas y los límites predeterminados de Policy Analyzer, consulta Cuotas y límites en la documentación de Cloud Asset Inventory.

Precios

Cada organización puede ejecutar hasta 20 consultas de análisis por día sin cargo. Este límite incluye tanto la política de permisos y el análisis de políticas de la organización.

Si deseas ejecutar más de 20 consultas de análisis por día, debes tener una activación a nivel de la organización del nivel premium de Security Command Center. Para obtener más información, consulta Preguntas sobre la facturación.

¿Qué sigue?

• Aprender a usar el Analizador de políticas para analizar un recurso política.
• Descubre cómo puedes usar la API de REST para guardar consultas de análisis de políticas.