Policy Analyzer für IAM-Richtlinien

Mit Policy Analyzer können Sie herausfinden, welche Hauptkonten (z. B. Nutzer, Dienst Konten, Gruppen und Domains) haben welchen Zugriff auf welche Google Cloud-Ressourcen basierend auf Ihren IAM-Zulassungsrichtlinien.

Policy Analyzer kann Ihnen helfen, Fragen wie die folgenden zu beantworten:

• Wer kann auf dieses IAM-Dienstkonto zugreifen?
• Wer kann Daten in diesem BigQuery-Dataset lesen, die personenidentifizierbare Informationen enthalten?
• Welche Rollen und Berechtigungen hat die Gruppe dev-testers auf einer Ressource in diesem Projekt?
• Welche Compute Engine-VM-Instanzen kann Tal in Projekt A löschen?
• Wer kann um 19 Uhr auf diesen Cloud Storage-Bucket zugreifen?

Funktionsweise von Policy Analyzer

Zur Verwendung von Policy Analyzer erstellen Sie eine Analyseabfrage und geben einen Bereich für die Analyse und führen dann die Abfrage aus.

Analyseabfragen

Um Policy Analyzer zu verwenden, erstellen Sie eine Analyseabfrage und geben Sie mindestens eine folgenden Feldern hinzu:

• Hauptkonten: Die Identitäten (z. B. Nutzer, Dienstkonten, Gruppen, und Domains), deren Zugriff Sie prüfen möchten
• Zugriff: Die Berechtigungen und Rollen, die Sie überprüfen möchten.
• Ressourcen: Die Ressourcen, für die Sie den Zugriff prüfen möchten
• (Nur API) Bedingungskontext: Der Kontext, z. B. die Uhrzeit Tag aus, für den Sie den Zugriff prüfen möchten.

Üblicherweise geben Sie ein oder zwei dieser Felder in der Analyseabfrage an. Verwenden Sie die Abfrageergebnisse, um weitere Informationen zu den Feldern zu erhalten, die Sie nicht eingegeben haben. angeben. Wenn Sie z. B. wissen möchten, wer eine bestimmte Berechtigung für eine eine bestimmte Ressource haben, würden Sie den Zugriff und die Ressource in der Analyse angeben. Abfrage, geben aber das Hauptkonto nicht an.

Weitere Beispiele für die Arten von Abfragen, die Sie erstellen können, finden Sie unter Häufig verwendete Abfragen .

Analyseumfang

Um eine Analyseabfrage auszuführen, müssen Sie einen Bereich für analyze. Der Bereich ist eine Organisation, ein Ordner oder ein Projekt, auf die Sie Ihre Analyse beschränken können. Nur IAM-Zulassungsrichtlinien, die angehängt sind wird die Ressource analysiert, die als Bereich und für ihre Nachfolgerelemente verwendet wird.

In der REST API und der gcloud CLI geben Sie den Bereich manuell an. In in der Google Cloud Console festgelegt wird, wird der Umfang automatisch anhand der Projekt, Ordner oder Organisation verwalten.

Nachdem Sie eine Analyseabfrage erstellt und den Bereich angegeben haben, können Sie die Abfrage Abfrage, um Richtlinien in diesem Bereich zu analysieren.

Abfrageergebnisse

Beim Ausführen einer Analyseabfrage meldet Policy Analyzer jede Rolle Bindungen, die die Hauptkonten, den Zugriff und die Ressourcen enthalten, die die Sie in der Abfrage angegeben haben. Für jede Rollenbindung werden die Hauptkonten in die Bindung, den Zugriff (Rolle und Berechtigungen), den die Bindung gewährt, und Die Ressource, auf die die Bindung Zugriff gewährt.

Sie können sich diese Ergebnisse ansehen, um den Zugang in Ihrem Projekt besser zu verstehen. Ordner oder Organisation. Wenn Sie z. B. eine Abfrage ausgeführt haben, um herauszufinden, Hauptkonten Zugriff auf eine bestimmte Ressource haben, prüfen Sie die Hauptkonten in den Abfrageergebnissen.

Sie können die Informationen in Ihren Abfrageergebnissen anpassen, indem Sie query Optionen.

Unterstützte Richtlinientypen

IAM Policy Analyzer unterstützt nur IAM-Zulassungen Richtlinien.

Die folgenden Formen der Zugriffssteuerung werden von Policy Analyzer nicht unterstützt:

• IAM-Ablehnungsrichtlinien
• Rollenbasierte Zugriffssteuerung in Google Kubernetes Engine
• Zugriffssteuerungslisten für Cloud Storage
• Öffentlichen Zugriff auf Cloud Storage verhindern

In den Policy Analyzer-Abfrageergebnissen werden nicht unterstützte Richtlinientypen nicht berücksichtigt. Für Angenommen, ein Nutzer hat die Berechtigung iam.roles.get für ein Projekt aufgrund einer Zulassungsrichtlinie, aber eine Ablehnungsrichtlinie verhindert, dass sie die Berechtigung. Policy Analyzer meldet, dass er die iam.roles.get hat der Ablehnungsrichtlinie zu.

Übernahme von Richtlinien

Policy Analyzer, um die Richtlinienübernahme zu berücksichtigen analysiert automatisch alle relevanten Zulassungsrichtlinien im angegebenen Bereich. unabhängig davon, wo sie sich in der Ressourcenhierarchie befinden.

Stellen Sie sich zum Beispiel vor, Sie möchten herausfinden, wer auf ein IAM-Dienstkonto:

• Wenn Sie die Abfrage auf ein Projekt beschränken, analysiert Policy Analyzer die Zulassungsrichtlinie des Dienstkontos und die Zulassungsrichtlinie des Projekts.
• Wenn Sie die Abfrage auf eine Organisation beschränken, analysiert Policy Analyzer die Zulassung die Zulassungsrichtlinie des Projekts, zu dem die Dienstkonto, die Zulassungsrichtlinien aller Ordner, die das Projekt enthalten, und Zulassungsrichtlinie der Organisation.

Bedingter Zugriff

Wenn eine Rollenbindung eine Bedingung hat, wird nur ein Hauptkonto gewährt wenn diese Bedingung erfüllt ist. Policy Analyzer meldet Bedingungen immer die mit relevanten Rollenbindungen verknüpft sind. Relevante Rollenbindungen sind Rollenbindungen Bindungen, die die angegebenen Hauptkonten, den Zugriff und die Ressourcen enthalten in die Analyseabfrage ein.

In einigen Fällen kann Policy Analyzer die Bedingung auch analysieren. ob die Bedingung erfüllt wird. Policy Analyzer kann die folgenden Arten von Bedingungen:

• Bedingungen basierend auf Ressourcenattributen, für Ressourcentypen, die einen Ressourcennamen angeben.
• Datum/Uhrzeit-Bedingungen (API und gcloud CLI) ) Damit Policy Analyzer diese Bedingungen analysieren kann, müssen Sie Folgendes angeben: Der Zeitpunkt des Zugriffs (accessTime) in Ihrer Analyseabfrage. Wenn Sie mehr darüber erfahren möchten, wie Sie Informationen hierzu finden Sie unter Zugriff auf einen bestimmten

Wenn eine relevante Rollenbindung eine Bedingung enthält, führt Policy Analyzer eine der folgenden Aktionen aus: Folgendes:

• Wenn Policy Analyzer die Bedingung analysieren kann, führt es einen der folgenden Schritte aus:

  • Wenn die Bedingung als „true“ ausgewertet wird, schließt Policy Analyzer die Rolle ein Bindung in den Abfrageergebnissen und markiert die Bedingungsauswertung als TRUE
  • Wenn die Bedingung als „false“ ausgewertet wird, enthält Policy Analyzer nicht den Parameter Rolle in den Abfrageergebnissen.

• Wenn Policy Analyzer eine Bedingung für eine relevante Rollenbindung nicht analysieren kann, Sie enthält die Rolle in den Abfrageergebnissen und markiert die Bedingungsauswertung. als CONDITIONAL.

Datenaktualität

Policy Analyzer verwendet die Cloud Asset API, die eine optimale Datenaktualität bietet. Fast alle Richtlinienaktualisierungen werden innerhalb weniger Minuten in Policy Analyzer angezeigt. dass Policy Analyzer nicht die neuesten Richtlinienaktualisierungen enthält.

Gängige Abfragetypen

In diesem Abschnitt wird beschrieben, wie Sie mit Analyseabfragen Antworten auf häufig gestellte Fragen in Bezug auf den Zugriff.

Welche Hauptkonten können auf diese Ressource zugreifen?

Erstellen Sie eine Analyseabfrage, um zu bestimmen, welche Hauptkonten auf eine Ressource zugreifen können gibt die Ressource und optional die Rollen und Berechtigungen an, die Sie überprüfen möchten.

Mit diesen Abfragen können Sie beispielsweise folgende Fragen beantworten:

• Wer hat Zugriff auf dieses IAM-Dienstkonto?
• Wer hat die Berechtigung, die Identität dieses IAM-Dienstes zu übernehmen Konto?
• Wer sind die Abrechnungsadministratoren für Projekt A?
• (Nur API und gcloud CLI): Wer kann Projekt A aktualisieren durch die Identität eines Dienstkontos übernehmen?

Informationen zum Erstellen und Senden dieser Abfragen finden Sie unter Bestimmen, welche Hauptkonten auf eine Ressource zugreifen können.

Welche Hauptkonten haben diese Rollen und Berechtigungen?

Wenn Sie ermitteln möchten, welche Hauptkonten bestimmte Rollen und Berechtigungen haben, erstellen Sie Eine Analyseabfrage, die ein Hauptkonto sowie eine Reihe von Rollen und Berechtigungen angibt die Sie überprüfen möchten.

Mit diesen Abfragen können Sie beispielsweise folgende Fragen beantworten:

• Wer hat die Berechtigung, die Identität von Dienstkonten in meiner Organisation zu übernehmen?
• Wer sind die Abrechnungsadministratoren in meiner Organisation?
• Wer kann Daten in diesem BigQuery-Dataset lesen, das Folgendes enthält: personenidentifizierbaren Informationen?
• (Nur API und gcloud CLI): Wer in meiner Organisation darf eine BigQuery-Dataset durch Identitätsübernahme eines Dienstkontos?

Informationen zum Erstellen und Senden dieser Abfragen finden Sie unter Bestimmen, welche Hauptkonten bestimmte Rollen oder Berechtigungen haben.

Welche Rollen und Berechtigungen hat dieses Hauptkonto für diese Ressource?

Um zu bestimmen, welche Rollen und Berechtigungen ein Hauptkonto für eine bestimmte Ressource hat, Erstellen Sie eine Analyseabfrage, die ein Hauptkonto und eine Ressource angibt, die Sie auf Berechtigungen prüfen möchten.

Mit diesen Abfragen können Sie beispielsweise folgende Fragen beantworten:

• Welche Rollen und Berechtigungen hat Nutzerin Sasha dabei? BigQuery-Dataset?
• Welche Rollen und Berechtigungen hat die Gruppe dev-testers auf einer Ressource in diesem Projekt?
• (Nur API und gcloud CLI): Welche Rollen und Berechtigungen Nutzer Dana zu diesem BigQuery-Dataset, die Identität eines Dienstkontos zu übernehmen?

Informationen zum Erstellen und Senden dieser Abfragen finden Sie unter Zugriffsrechte eines Hauptkonto für eine Ressource hat.

Auf welche Ressourcen kann dieses Hauptkonto zugreifen?

Erstellen Sie eine Analyse, um festzulegen, auf welche Ressourcen ein bestimmtes Hauptkonto zugreifen kann Abfrage, in der ein Hauptkonto sowie die Rollen und Berechtigungen angegeben sind, die Sie nach denen gesucht wird.

Mit diesen Abfragen können Sie beispielsweise folgende Fragen beantworten:

• Welche BigQuery-Datasets hat der Nutzer Mahan? Leseberechtigung?
• Welche BigQuery-Datasets gehören zur Gruppe dev-testers? Dateninhaber?
• Welche VMs können in Projekt A gelöscht werden?
• (Nur API und gcloud CLI): Welche VMs kann der Nutzer John löschen? die Identität eines Dienstkontos übernehmen?

Unter Bestimmen, welche Ressourcen ein Hauptkonto hat Zugriff.

Gespeicherte Analyseabfragen

Wenn Sie die REST API verwenden, können Sie Analyseabfragen speichern, um sie wiederzuverwenden oder freizugeben mit anderen teilen. Sie können eine gespeicherte Abfrage wie jede andere Abfrage ausführen.

Weitere Informationen zum Speichern von Abfragen finden Sie unter Gespeicherte Abfragen verwalten.

Abfrageergebnisse exportieren

Sie können Abfragen asynchron ausführen und Abfrageergebnisse in BigQuery oder Cloud Storage mithilfe von analyzeIamPolicyLongrunning

Informationen zum Exportieren von Abfrageergebnissen nach BigQuery finden Sie unter Write Richtlinienanalyse für BigQuery.

Informationen zum Exportieren von Abfrageergebnissen nach Cloud Storage finden Sie unter Schreiben Richtlinienanalyse in Cloud Storage

Abfrageoptionen

Policy Analyzer bietet mehrere Optionen, mit denen Ihrer Abfrage weitere Details hinzugefügt werden können Ergebnisse.

Wie Sie diese Optionen aktivieren, erfahren Sie unter Optionen aktivieren.

Gruppenerweiterung

Wenn Sie die Gruppenerweiterung aktivieren, werden alle Gruppen in den Abfrageergebnissen auf einzelne Mitglieder auszuweiten. Diese Erweiterung ist auf 1.000 Mitglieder pro Gruppe. Wenn Sie ausreichend Gruppenberechtigungen haben, werden auch verschachtelte Gruppen erweitert. Diese Option ist nur wirksam, wenn Sie in Ihrer Abfrage kein Hauptkonto angeben.

Angenommen, Sie aktivieren die Gruppenerweiterung für die Abfrage "Wer hat storage.buckets.delete-Berechtigung für project-1?“ Wenn Policy Analyzer Folgendes findet: an alle Gruppen mit der Berechtigung storage.buckets.delete, die Abfrageergebnisse werden nicht nur die Gruppen-ID, sondern auch alle einzelnen Mitglieder im Gruppe.

Mit dieser Option können Sie die Leistung einzelner Nutzer selbst wenn dieser Zugriff das Ergebnis ihrer Mitgliedschaft in einer Gruppe.

Rollenerweiterung

Wenn Sie die Rollenerweiterung aktivieren, werden in den Abfrageergebnissen alle Berechtigungen in den einzelnen zusätzlich zur Rolle selbst. Diese Option ist nur verfügbar, wenn Sie geben Sie Berechtigungen oder Rollen in Ihrer Abfrage an.

Angenommen, Sie aktivieren die Rollenerweiterung für die Abfrage „Welcher Zugriff my-user@example.com im Bucket bucket-1 haben?“ Wenn Policy Analyzer Folgendes findet: alle Rollen, die my-user@example.com Zugriff auf bucket-1 gewähren, die Abfrage werden nicht nur der Rollenname, sondern auch alle enthaltenen Berechtigungen für diese Rolle.

Mit dieser Option können Sie genau sehen, welche Berechtigungen Ihre Hauptkonten haben.

Ressourcenerweiterung

Wenn Sie die Ressourcenerweiterung für eine Policy Analyzer-Abfrage aktivieren, werden die Abfrageergebnisse Listen Sie alle relevanten Nachfolgerressourcen für alle übergeordneten Ressourcen auf. Ressourcen (Projekte, Ordner und Organisationen) in den Abfrageergebnissen. Dieses ist die Ausweitung auf 1.000 Ressourcen pro übergeordnete Ressource für Policy Analyzer-Abfragen und 100.000 Ressourcen pro übergeordneter Ressource für Policy Analyzer-Abfragen mit langer Ausführungszeit.

Berücksichtigen Sie beispielsweise, wie sich die Ressourcenerweiterung auf die folgenden Abfragen auswirken würde:

• Wer hat die Berechtigung storage.buckets.delete für project-1?

  Wenn Sie die Ressourcenerweiterung für diese Abfrage aktivieren, wird im Abschnitt „Resources“ der werden in den Abfrageergebnissen nicht nur das Projekt, sondern auch alle Storage-Buckets aufgeführt. innerhalb des Projekts.

• Welche Ressourcen hat my-user@example.com die Berechtigung „compute.instances.setIamPolicy“ aktiviert?

  Wenn Sie die Ressourcenerweiterung für diese Abfrage aktivieren und Policy Analyzer feststellt, dass my-user@example.com hat eine Rolle auf Projektebene, die diese Berechtigung enthält. wird im Ressourcenabschnitt der Abfrageergebnisse nicht nur das Projekt, sondern auch auch alle Compute Engine-Instanzen innerhalb des Projekts.

Mit dieser Option erhalten Sie einen detaillierten Überblick über die Ressourcen, Hauptkonten haben Zugriff.

Identitätsübertragung für ein Dienstkonto

Wenn Sie die REST API oder die gcloud CLI verwenden, können Sie die Analyse aktivieren der Identitätsübernahme des Dienstkontos.

Wenn diese Option aktiviert ist, führt Policy Analyzer zusätzliche Analyseabfragen aus, Bestimmen Sie, wer die Identität der Dienstkonten mit den angegebenen Zugriff auf die angegebenen Ressourcen. Policy Analyzer führt jeweils eine Abfrage aus Dienstkonto in Abfrageergebnissen. Mit diesen Abfragen wird analysiert, wer Berechtigungen für das Dienstkonto:

• iam.serviceAccounts.actAs
• iam.serviceAccounts.getAccessToken
• iam.serviceAccounts.getOpenIdToken
• iam.serviceAccounts.implicitDelegation
• iam.serviceAccounts.signBlob
• iam.serviceAccounts.signJwt

Kontingente und Limits

Cloud Asset Inventory erzwingt die Rate eingehender Anfragen, einschließlich der Richtlinie Analyseanfragen basierend auf dem Nutzerprojekt erstellen. Cloud Asset Inventory beschränkt die Gruppenerweiterung innerhalb der Gruppenmitgliedschaften und Ressourcenerweiterung innerhalb der Ressourcenhierarchie.

Informationen zu den Standardkontingenten und -limits für Policy Analyzer finden Sie unter Kontingente und Limits für in der Dokumentation zu Cloud Asset Inventory.

Preise

Jede Organisation kann bis zu 20 Analyseabfragen pro Tag kostenlos. Dieses Limit umfasst sowohl Zulassungsrichtlinien Analyse und Analyse von Organisationsrichtlinien.

Wenn Sie mehr als 20 Analysen ausführen möchten Abfragen pro Tag ausführen, müssen Sie eine Aktivierung der Premium-Mitgliedschaft auf Organisationsebene Stufe von Security Command Center. Weitere Informationen finden Sie unter Abrechnung. Fragen.

Nächste Schritte

• Hier erfahren Sie, wie Sie mit Policy Analyzer eine Zulassung analysieren. .
• Hier erfahren Sie, wie Sie mit der REST API die Richtlinienanalyse speichern können. abfragen.