Com a ferramenta Análise de políticas políticas, você descobre quais principais (por exemplo, usuários, contas, grupos e domínios) têm qual acesso a quais recursos do Google Cloud com base nas suas políticas de permissão do IAM.
a ferramenta Análise de políticas políticas ajuda a responder perguntas como estas:
- Quem pode acessar esta conta de serviço do IAM?
- Quem pode ler os dados neste conjunto do BigQuery que contêm informações de identificação pessoal (PII)?
- Que papéis e permissões o grupo
dev-testerstem em qualquer recurso neste projeto? - Que instâncias de máquina virtual (VM) do Compute Engine o Tal pode excluir no projeto A?
- Quem pode acessar esse bucket do Cloud Storage às 19h?
Como a ferramenta Análise de políticas funciona
Para usar a ferramenta Análise de políticas políticas, crie uma consulta de análise e especifique o escopo e execute a consulta.
Consultas de análise
Para usar a ferramenta Análise de políticas políticas, crie uma consulta de análise especificando uma ou mais dos seguintes campos:
- Principais: as identidades (por exemplo, usuários, contas de serviço, grupos, e domínios) cujo acesso você deseja verificar
- Acesso: as permissões e os papéis que você quer verificar
- Recursos: os recursos aos quais você quer verificar o acesso.
- (Somente API) Contexto da condição: o contexto, por exemplo, hora do dia em que você quer verificar o acesso
Normalmente, você especifica um ou dois desses campos na consulta de análise e, use os resultados da consulta para obter mais informações sobre os campos que você não especificar. Por exemplo, se você quisesse saber quem tem uma determinada permissão em um determinado recurso, você especificaria o acesso e o recurso na análise mas você não especificaria o principal.
Para obter mais exemplos dos tipos de consultas que você pode criar, consulte Consulta comum tipos.
Escopo da análise
Para executar uma consulta de análise, você precisa especificar um escopo para analisar. O escopo é uma organização, uma pasta ou um projeto que você restringir sua análise. Somente as políticas de permissão do IAM anexadas a serão analisados o recurso usado como escopo e aos descendentes dele.
Na API REST e CLI gcloud, você especifica o escopo manualmente. Em console do Google Cloud, o escopo é determinado automaticamente com base projeto, pasta ou organização que você gerencia no momento.
Depois de criar uma consulta de análise e especificar o escopo, execute o para analisar as políticas nesse escopo.
Resultados da consulta
Quando você executa uma consulta de análise, a ferramenta Análise de políticas políticas informa qualquer papel vinculações que contêm os principais, o acesso e os recursos que especificados na consulta. Para cada vinculação de papel, ela informa os principais a vinculação, o acesso (papel e permissões) que a vinculação concede e o recurso a que a vinculação concede acesso.
Você pode analisar esses resultados para entender melhor o acesso em seu projeto, pasta ou organização. Por exemplo, se você executasse uma consulta para descobrir qual principais tenham acesso a um recurso específico, verifique os principais nos resultados da consulta.
Você pode ajustar as informações em seus resultados de consulta ativando a consulta .
Tipos de políticas compatíveis
A Análise de políticas do IAM só oferece suporte aos valores de permissão do IAM ..
A ferramenta Análise de políticas políticas não é compatível com as seguintes formas de controle de acesso:
- Políticas de negação do IAM
- Controle de acesso baseado em papéis do Google Kubernetes Engine
- Listas de controle de acesso do Cloud Storage
- Prevenção do acesso público do Cloud Storage
Os resultados da consulta da ferramenta Análise de políticas políticas não consideram tipos de políticas incompatíveis. Para
Por exemplo, imagine que um usuário tem a permissão iam.roles.get em um projeto
devido a uma política de permissão, mas uma política de negação impede que eles usem o
permissão. A ferramenta vai informar que tem o iam.roles.get
permissão, apesar da política de negação.
Herança de políticas
Para considerar a herança de políticas, a Análise de políticas analisa automaticamente todas as políticas de permissão relevantes dentro do escopo especificado, independente da posição deles na hierarquia de recursos.
Por exemplo, imagine que você está tentando descobrir quem pode acessar um Conta de serviço do IAM:
- Se você definir o escopo da consulta para um projeto, a Análise de políticas vai analisar a política de permissão da conta de serviço e a política de permissão do projeto.
- Se você definir o escopo da consulta para uma organização, a Análise de políticas vai analisar as permissões política da conta de serviço, a política de permissão do projeto do qual conta de serviço, as políticas de permissão de qualquer pasta que contenha o projeto e a política de permissão da organização.
Acesso condicional
Se uma vinculação de papel tiver uma condição, ela concederá apenas um principal acesso quando essa condição for atendida. A ferramenta Análise de políticas políticas sempre informa condições vinculadas a vinculações de papéis relevantes. As vinculações de papéis relevantes vinculações que contêm os principais, o acesso e os recursos especificados na consulta de análise.
Em alguns casos, a ferramenta Análise de políticas também pode analisar a condição, pode informar se a condição seria atendida. A ferramenta Análise de políticas políticas seguintes tipos de condições:
- Condições baseadas em atributos de recursos para tipos de recursos que fornecem um nome de recurso.
- Condições de data/hora (API e CLI gcloud
apenas). Para que a ferramenta Análise de políticas políticas
analise essas condições, você precisa fornecer
o horário do acesso (
accessTime) na consulta de análise. Para saber como fornecer esse contexto, consulte Determinar o acesso em um determinado tempo de resposta.
Se uma vinculação de papel relevante tiver uma condição, a ferramenta Análise de políticas políticas o seguinte:
Se a ferramenta Análise de políticas políticas puder analisar a condição, ela realizará uma das seguintes ações:
- Se a condição for avaliada como verdadeira, a ferramenta Análise de políticas políticas incluirá o papel
nos resultados da consulta e marca a avaliação da condição como
TRUE: - Se a condição for avaliada como falsa, a ferramenta Análise de políticas políticas não incluirá o nos resultados da consulta.
- Se a condição for avaliada como verdadeira, a ferramenta Análise de políticas políticas incluirá o papel
nos resultados da consulta e marca a avaliação da condição como
Se a ferramenta não conseguir analisar uma condição para uma vinculação de papel relevante, inclui o papel nos resultados da consulta e marca a avaliação da condição como
CONDITIONAL.
Atualização de dados
A ferramenta Análise de políticas usa a API Cloud Asset, que oferece a melhor atualização de dados possível. Quase todas as atualizações de políticas aparecem na ferramenta em questão de minutos, é possível que a ferramenta não inclua as atualizações mais recentes.
Tipos de consulta comuns
Esta seção descreve como usar consultas de análise para responder a perguntas perguntas relacionadas ao acesso.
Quais principais podem acessar este recurso?
Para determinar quais principais podem acessar um recurso, crie uma consulta de análise que especifica o recurso e, opcionalmente, os papéis e permissões que você que queremos verificar.
Essas consultas podem ajudar a responder perguntas como as seguintes:
- Quem tem acesso a esta conta de serviço do IAM?
- Quem tem permissão para representar este serviço do IAM ?
- Quem são os administradores de faturamento no projeto A?
- (Somente API e CLI gcloud): quem pode atualizar o projeto A representar uma conta de serviço?
Para saber como criar e enviar essas consultas, consulte Determinar quais principais possam acessar um recurso.
Quais principais têm esses papéis e permissões?
Para determinar quais principais têm determinados papéis e permissões, crie uma consulta de análise que especifica um principal e um conjunto de papéis e permissões que você quer verificar.
Essas consultas podem ajudar a responder perguntas como as seguintes:
- Quem tem permissão para personificar contas de serviço na minha organização?
- Quem são os administradores de faturamento da minha organização?
- Quem pode ler os dados neste conjunto do BigQuery que contenham de identificação pessoal (PII)?
- (Somente API e CLI gcloud): quem na minha organização pode ler uma ao representar uma conta de serviço?
Para saber como criar e enviar essas consultas, consulte Determinar quais principais determinados papéis ou permissões.
Que papéis e permissões o principal tem nesse recurso?
Para determinar quais papéis e permissões um principal tem em um recurso específico, criar uma consulta de análise que especifique um principal e um recurso que em que você quer verificar as permissões.
Essas consultas podem ajudar a responder perguntas como as seguintes:
- Quais são as funções e permissões da usuária Sasha nesse caso conjunto de dados do BigQuery?
- Que papéis e permissões o grupo
dev-testerstem em qualquer recurso neste projeto? - (Somente API e CLI gcloud): quais papéis e permissões a usuário Dana tem nesse conjunto de dados do BigQuery se ela personifica uma conta de serviço?
Para saber como criar e enviar essas consultas, consulte Determinar qual tipo de acesso principal tem em um recurso.
A quais recursos este principal pode acessar?
Para determinar quais recursos um principal específico pode acessar, crie uma análise consulta que especifique um principal e os papéis e permissões que você deseja verificar.
Essas consultas podem ajudar a responder perguntas como as seguintes:
- Quais conjuntos de dados do BigQuery o usuário Mahan tem permissão de leitura?
- Quais conjuntos de dados do BigQuery são o grupo
dev-testersproprietário de dados? - Quais VMs podem ser excluídas pelo Tal no projeto A?
- (Somente API e CLI gcloud): Quais VMs o usuário John pode excluir personificando uma conta de serviço?
Para saber como criar e enviar essas consultas, veja Determinar quais recursos um principal pode acessar.
Consultas de análises salvas
Se você usa a API REST, pode salvar consultas de análise para reutilizar ou compartilhar com outras pessoas. É possível executar uma consulta salva como faria com qualquer outra consulta.
Para saber mais sobre como salvar consultas, veja Gerenciar consultas salvas.
Exportar resultados da consulta
Você pode executar consultas de forma assíncrona e exportar os resultados da consulta para
no BigQuery ou no Cloud Storage
analyzeIamPolicyLongrunning:
Para aprender a exportar resultados de consulta para o BigQuery, consulte Gravar análise de políticas no BigQuery.
Para saber como exportar os resultados da consulta para o Cloud Storage, consulte Gravar a análise de políticas no Cloud Storage.
Opções de consulta
A ferramenta Análise de políticas políticas oferece várias opções que adicionam mais detalhes à sua consulta resultados.
Para saber como ativar essas opções, consulte Ativar opções.
Expansão do grupo
Se você ativar a expansão de grupo, todos os grupos nos resultados da consulta serão ampliado para membros individuais. Essa expansão é limitada a 1.000 membros por grupo. Se você tiver permissões de grupo suficientes, os grupos aninhados também serão expandidos. Esta opção só é eficaz se você não especificar um principal na consulta.
Por exemplo, imagine que você ativou a expansão de grupo para a consulta "Quem tem
Permissão storage.buckets.delete para project-1?" Se a Análise de políticas encontrar
qualquer grupo que tenha a permissão storage.buckets.delete, o resultado da consulta
listará não só o identificador do grupo, mas também todos os membros individuais na
grupo.
Essa opção permite que você entenda as necessidades acesso, mesmo que ele não seja como resultado de sua participação em um grupo.
Expansão de papéis
Se você ativar a expansão de papel, os resultados da consulta listarão todas as permissões dentro de cada além da função em si. Essa opção só estará disponível se você não especificar permissões ou papéis na consulta.
Por exemplo, imagine que você ativou a expansão de papel para a consulta "Qual acesso faz
my-user@example.com têm no bucket bucket-1?" Se a Análise de políticas encontrar
papéis que dão a my-user@example.com acesso a bucket-1, a consulta
resultados listarão não só o nome da função, mas também todas as permissões incluídas
na função.
Essa opção permite ver exatamente quais permissões seus principais têm.
Expansão de recursos
Se você ativar a expansão de recursos para uma consulta da ferramenta Análise de políticas políticas, os resultados da consulta Liste todos os recursos descendentes relevantes de qualquer pai recursos (projetos, pastas e organizações) nos resultados da consulta. Isso a expansão é limitada a 1.000 recursos por recurso pai para consultas da Análise de políticas e 100.000 recursos por recurso pai para consultas de longa duração da ferramenta Análise de políticas políticas.
Por exemplo, considere como a expansão de recursos afetaria as seguintes consultas:
Quem tem a permissão
storage.buckets.deleteparaproject-1?Se você ativar a expansão de recursos para esta consulta, a seção de recursos do os resultados da consulta listarão não só o projeto, mas também todos os buckets de armazenamento dentro do projeto.
Quais recursos
my-user@example.comtem a Permissãocompute.instances.setIamPolicyativada?Se você ativar a expansão de recursos para esta consulta, e a Análise de políticas descobrir que
my-user@example.comtem um papel no nível do projeto que contém essa permissão. a seção de recursos dos resultados da consulta listará não apenas o projeto, mas todas as instâncias do Compute Engine dentro do projeto.
Essa opção permite compreender detalhadamente os recursos que seus principais podem acessar.
Representação da conta de serviço:
Se você estiver usando a API REST ou CLI gcloud, é possível ativar a análise falsificação de conta de serviço.
Se essa opção estiver ativada, a Análise de políticas vai executar outras consultas de análise para determinar quem pode representar as contas de serviço que têm os aos recursos especificados. A ferramenta Análise de políticas políticas executa uma consulta para cada nos resultados da consulta. Essas consultas analisam quem tem as seguintes permissões na conta de serviço:
iam.serviceAccounts.actAsiam.serviceAccounts.getAccessTokeniam.serviceAccounts.getOpenIdTokeniam.serviceAccounts.implicitDelegationiam.serviceAccounts.signBlobiam.serviceAccounts.signJwt
Cotas e limites
O Inventário de recursos do Cloud aplica a taxa de solicitações recebidas, incluindo solicitações de análise com base no projeto do consumidor. O Inventário de recursos do Cloud também limita a expansão de grupos nas associações a grupos e na expansão de recursos na hierarquia de recursos.
Para acessar as cotas e os limites padrão da Análise de políticas, consulte Cotas e limites na documentação do Inventário de recursos do Cloud.
Preços
Cada organização pode executar até 20 consultas de análise diárias sem custo. Esse limite inclui a política de permissão e a análise de políticas da organização.
Se você quiser executar mais de 20 análises consultas por dia, é necessário ter uma ativação da API Premium no nível da organização nível do Security Command Center. Para mais informações, consulte Faturamento perguntas.
A seguir
- Saiba como usar a ferramenta Análise de políticas políticas para analisar uma permissão política.
- Veja como usar a API REST para salvar a análise de políticas comuns.