El Analizador de políticas te permite descubrir qué principales (por ejemplo, usuarios, cuentas de servicio, grupos y dominios) tienen qué acceso a qué recursos de Google Cloud según tus políticas de permisos de IAM.
El Analizador de políticas puede ayudarte a responder las siguientes preguntas:
- ¿Quién puede acceder a esta cuenta de servicio de IAM?
- ¿Quién puede leer datos en este conjunto de datos de BigQuery que contiene información de identificación personal (PII)?
- ¿Qué roles y permisos tiene el grupo
dev-testerspara los recursos de este proyecto? - ¿Qué instancias de máquina virtual (VM) de Compute Engine puede borrar Tal en el proyecto A?
- ¿Quién puede acceder a este bucket de Cloud Storage a las 7 p.m.?
Cómo funciona el Analizador de políticas
Para usar el Analizador de políticas, crea una consulta de análisis, especifica un alcance para el análisis y, luego, ejecuta la consulta.
Consultas de análisis
Para usar el Analizador de políticas, crea una consulta de análisis que especifique uno o más de los siguientes campos:
- Principales: las identidades (por ejemplo, usuarios, cuentas de servicio, grupos y dominios) cuyo acceso deseas verificar
- Acceso: Son los permisos y roles que deseas verificar.
- Recursos: Son los recursos a los que quieres verificar el acceso.
- (Solo API) Contexto de la condición: El contexto (por ejemplo, la hora del día) en el que deseas verificar el acceso
Por lo general, debes especificar uno o dos de estos campos en la consulta de análisis y, luego, usar los resultados de la consulta para obtener más información sobre los campos que no especificaste. Por ejemplo, si deseas saber quién tiene un determinado permiso sobre un recurso determinado, debes especificar el acceso y el recurso en la consulta de análisis, pero no la principal.
Para obtener más ejemplos de los tipos de consultas que puedes crear, visita Tipos de consultas comunes.
Alcance del análisis
Para ejecutar una consulta de análisis, tienes que especificar un alcance para analizar. El permiso es una organización, una carpeta o un proyecto al que deseas restringir tu análisis. Solo se analizarán las políticas de permiso de IAM adjuntas al recurso que se usó como alcance y a sus elementos subordinados.
En la API de REST y en gcloud CLI, debes especificar el alcance de forma manual. En la consola de Google Cloud, el permiso se determina de forma automática según el proyecto, la carpeta o la organización que administras actualmente.
Después de crear una consulta de análisis y especificar el alcance, puedes ejecutar la consulta para analizar las políticas en ese alcance.
Resultados de la consulta
Cuando ejecutas una consulta de análisis, el Analizador de políticas informa cualquier vinculación de funciones que contiene las principales, el acceso y los recursos que especificaste en la consulta. Para cada vinculación de función, informa las principales en la vinculación, el acceso (función y permisos) que otorga la vinculación y el recurso al que otorga acceso la vinculación.
Puedes revisar estos resultados para comprender mejor el acceso en tu proyecto, organización o carpeta. Por ejemplo, si ejecutas una consulta para averiguar qué principales tienen acceso a un recurso específico, deberías revisar las principales en los resultados de la consulta.
Para ajustar la información de los resultados de la consulta, habilita las opciones de consulta.
Tipos de políticas admitidas
El Analizador de políticas de IAM solo admite políticas de permiso de IAM.
El Analizador de políticas no admite las siguientes formas de control de acceso:
- Políticas de denegación de IAM
- Control de acceso basado en roles de Google Kubernetes Engine
- Listas de control de acceso de Cloud Storage
- Prevención del acceso público a Cloud Storage
Los resultados de la consulta del Analizador de políticas no tienen en cuenta los tipos de políticas no compatibles. Por ejemplo, imagina que un usuario tiene el permiso iam.roles.get en un proyecto debido a una política de permiso, pero una política de denegación le impide usar el permiso. El Analizador de políticas informará que tienen el permiso iam.roles.get, a pesar de la política de denegación.
Herencia de políticas
Para tener en cuenta la herencia de políticas, el Analizador de políticas analiza de forma automática todas las políticas de permisos relevantes dentro del alcance especificado, sin importar su ubicación en la jerarquía de recursos.
Por ejemplo, imagina que intentas averiguar quién puede acceder a una cuenta de servicio de IAM:
- Si defines el alcance de la consulta a un proyecto, el Analizador de políticas analiza la política de permisos de la cuenta de servicio y la política de permisos del proyecto.
- Si defines el alcance de la consulta a una organización, el Analizador de políticas analiza la política de permisos de la cuenta de servicio, la política de permisos del proyecto que posee la cuenta de servicio, las políticas de permisos de cualquier carpeta que contenga el proyecto y la política de permisos de la organización.
Acceso condicional
Si una vinculación de función tiene una condición, solo otorga acceso a una principal cuando se cumple esa condición. El Analizador de políticas siempre informa las condiciones adjuntas a vinculaciones de roles. Las vinculaciones de funciones relevantes son aquellas que contienen las principales, el acceso y los recursos que especificaste en la consulta de análisis.
En algunos casos, el Analizador de políticas también puede analizar la condición, lo que significa que puede informar si la condición se cumpliría. El Analizador de políticas puede analizar los siguientes tipos de condiciones:
- Condiciones basadas en atributos de recursos, para tipos de recursos que proporcionan un nombre de recurso.
- Condiciones de fecha y hora (solo de la API y de gcloud CLI). Para que el Analizador de políticas analice estas condiciones, debes proporcionar la hora de acceso (
accessTime) en la consulta de análisis. Si quieres obtener información para proporcionar este contexto, consulta Determina el acceso en un momento específico.
Si una vinculación de función relevante contiene una condición, el Analizador de políticas realiza una de las siguientes acciones:
Si el Analizador de políticas puede analizar la condición, realiza una de las siguientes acciones:
- Si la condición se evalúa como verdadera, el Analizador de políticas incluye la vinculación de función en los resultados de la consulta y marca la evaluación de la condición como
TRUE. - Si la condición se evalúa como falsa, el Analizador de políticas no incluye la función en los resultados de la consulta.
- Si la condición se evalúa como verdadera, el Analizador de políticas incluye la vinculación de función en los resultados de la consulta y marca la evaluación de la condición como
Si el Analizador de políticas no puede analizar una condición para una vinculación de función relevante, incluye la función en los resultados de la consulta y marca la evaluación de la condición como
CONDITIONAL.
Actualidad de los datos
El Analizador de políticas usa la API de Cloud Asset, que ofrece la mejor actualización de datos posible. Si bien casi todas las actualizaciones de políticas aparecen en el Analizador de políticas en minutos, es posible que no incluya las actualizaciones de políticas más recientes.
Tipos de consultas comunes
En esta sección, se describe cómo usar las consultas de análisis para responder preguntas comunes relacionadas con el acceso.
¿Qué principales pueden acceder a este recurso?
Para determinar qué principales pueden acceder a un recurso, crea una consulta de análisis que especifique el recurso y, de forma opcional, las funciones y los permisos que deseas verificar.
Estas consultas pueden ayudarte a responder preguntas como las siguientes:
- ¿Quién tiene acceso a esta cuenta de servicio de IAM?
- ¿Quién tiene permiso para usar la identidad de esta cuenta de servicio de IAM?
- ¿Quiénes son los administradores de facturación en el proyecto A?
- (Solo para la API y gcloud CLI): ¿Quién puede actualizar el proyecto A si se usa la identidad de una cuenta de servicio?
Para aprender a crear y enviar estas consultas, ve a Determina qué principales pueden acceder a un recurso.
¿Qué principales tienen estos roles y permisos?
Para determinar qué principales tienen determinados roles y permisos, crea una consulta de análisis que especifique una principal y un conjunto de roles y permisos que quieres verificar.
Estas consultas pueden ayudarte a responder preguntas como las siguientes:
- ¿Quién tiene permiso para suplantar cuentas de servicio en mi organización?
- ¿Quiénes son los administradores de facturación en mi organización?
- ¿Quién puede leer datos en este conjunto de datos de BigQuery que contiene información de identificación personal (PII)?
- (Solo en la API y en gcloud CLI): ¿Qué miembro de mi organización puede leer un conjunto de datos de BigQuery si se usa la identidad de una cuenta de servicio?
Para obtener información sobre cómo crear y enviar estas consultas, visita Determina qué principales tienen determinados roles o permisos.
¿Qué roles y permisos tiene esta principal en este recurso?
Para determinar qué funciones y permisos tiene una principal sobre un recurso específico, crea una consulta de análisis que especifique una principal y un recurso para el que deseas verificar los permisos.
Estas consultas pueden ayudarte a responder preguntas como las siguientes:
- ¿Qué funciones y permisos tiene el usuario Sasha en este conjunto de datos de BigQuery?
- ¿Qué roles y permisos tiene el grupo
dev-testerspara los recursos de este proyecto? - (Solo API y gcloud CLI): ¿Qué funciones y permisos tiene la usuario Dana en este conjunto de datos de BigQuery si Dana suplanta una cuenta de servicio?
Para aprender a crear y enviar estas consultas, visita Determina qué acceso tiene una principal a un recurso.
¿A qué recursos puede acceder esta principal?
Para determinar a qué recursos puede acceder una principal específica, crea una consulta de análisis que especifique una principal y los roles y permisos que deseas verificar.
Estas consultas pueden ayudarte a responder preguntas como las siguientes:
- ¿Qué conjuntos de datos de BigQuery tiene permiso de lectura para el usuario Mahan?
- ¿De qué conjunto de datos de BigQuery es el grupo
dev-testersel propietario de los datos? - ¿Qué VMs puede borrar Tal en el proyecto A?
- (Solo API y gcloud CLI): ¿Qué VM puede borrar el usuario John si asume la identidad de una cuenta de servicio?
Si deseas obtener información para crear y enviar estas consultas, visita Determina a qué recursos puede acceder una principal.
Consultas de análisis guardadas
Si usas la API de REST, puedes guardar las consultas de análisis para volver a usarlas o compartirlas con otras personas. Puedes ejecutar una consulta guardada como lo harías con cualquier otra consulta.
Para obtener más información sobre cómo guardar consultas, visita Administra consultas guardadas.
Exportar resultados de consultas
Puedes ejecutar consultas de forma asíncrona y exportar los resultados de las consultas a BigQuery o Cloud Storage mediante analyzeIamPolicyLongrunning.
Para aprender a exportar resultados de consultas a BigQuery, consulta Escribe análisis de políticas en BigQuery.
Para aprender a exportar resultados de consultas a Cloud Storage, consulta Escribe análisis de políticas en Cloud Storage.
Opciones de consulta
El Analizador de políticas ofrece varias opciones que agregan más detalles a los resultados de las consultas.
Para saber cómo habilitar estas opciones, consulta Habilitar opciones.
Expansión de grupos
Si habilitas la expansión de grupos, los grupos que aparezcan en los resultados de la consulta se expandirán a miembros individuales. Esta expansión tiene un límite de 1,000 miembros por grupo. Si tienes suficientes permisos de grupo, también se expandirán los grupos anidados. Esta opción solo es efectiva si no especificas una principal en la consulta.
Por ejemplo, imagina que habilitas la expansión de grupos para la consulta “¿Quién tiene el permiso storage.buckets.delete para project-1?”. Si el Analizador de políticas encuentra grupos que tienen el permiso storage.buckets.delete, los resultados de la consulta enumerarán no solo el identificador del grupo, sino también todos los miembros individuales del grupo.
Esta opción te permite comprender el acceso de los usuarios individuales, incluso si ese acceso es el resultado de su membresía en un grupo.
Expansión de la función
Si habilitas la expansión de funciones, los resultados de la consulta enumeran todos los permisos dentro de cada función, además de la función en sí. Esta opción solo está disponible si no especificas ningún permiso o función en la consulta.
Por ejemplo, imagina que habilitas la expansión de funciones para la consulta “¿Qué acceso tiene my-user@example.com en el bucket bucket-1?”. Si el Analizador de políticas encuentra alguna función que le otorgue a my-user@example.com acceso a bucket-1, los resultados de la consulta enumerarán no solo el nombre de la función, sino también todos los permisos incluidos en la función.
Esta opción te permite ver exactamente qué permisos tienen tus principales.
Expansión de recursos
Si habilitas la expansión de recursos para una consulta del Analizador de políticas, los resultados de la consulta enumeran todos los recursos subordinados relevantes de cualquier recurso superior (proyectos, carpetas y organizaciones) en los resultados de la consulta. Esta expansión se limita a 1,000 recursos por recurso superior para las consultas del Analizador de políticas y a 100,000 recursos por recurso superior para las consultas del Analizador de políticas de larga duración.
Por ejemplo, considera cómo la expansión de recursos afectaría las siguientes consultas:
¿Quién tiene el permiso
storage.buckets.deleteparaproject-1?Si habilitas la expansión de recursos para esta consulta, la sección de recursos de los resultados de la consulta mostrará no solo el proyecto, sino también todos los buckets de almacenamiento dentro de este.
¿En qué recursos
my-user@example.comtiene el permisocompute.instances.setIamPolicy?Si habilitas la expansión de recursos para esta consulta y el Analizador de políticas descubre que
my-user@example.comtiene una función a nivel de proyecto que contiene ese permiso, en la sección de recursos de los resultados de la consulta, se mostrará no solo el proyecto, sino también todas las instancias de Compute Engine dentro del proyecto.
Esta opción te permite obtener una comprensión detallada de los recursos a los que pueden acceder las principales.
Uso de identidad temporal como cuenta de servicio
Si usas la API de REST o gcloud CLI, puedes habilitar el análisis de robo de identidad de cuentas de servicio.
Si esta opción está habilitada, el Analizador de políticas ejecuta consultas de análisis adicionales para determinar quién puede actuar en nombre de las cuentas de servicio que tienen el acceso especificado a los recursos especificados. El Analizador de políticas ejecuta una consulta por cada cuenta de servicio en los resultados. Con estas consultas, se analiza quién tiene alguno de los siguientes permisos en la cuenta de servicio:
iam.serviceAccounts.actAsiam.serviceAccounts.getAccessTokeniam.serviceAccounts.getOpenIdTokeniam.serviceAccounts.implicitDelegationiam.serviceAccounts.signBlobiam.serviceAccounts.signJwt
Cuotas y límites
Cloud Asset Inventory aplica la frecuencia de solicitudes entrantes, incluidas las solicitudes de análisis de políticas, en función del proyecto del consumidor. Cloud Asset Inventory también limita la expansión de grupos dentro de la pertenencia a grupos y la expansión de recursos dentro de la jerarquía de recursos.
Para ver las cuotas y los límites predeterminados del Analizador de políticas, consulta Cuotas y límites en la documentación de Cloud Asset Inventory.
Precios
Cada organización puede ejecutar hasta 20 consultas de análisis por día sin cargo. Este límite incluye el análisis de políticas de permiso y el análisis de políticas de la organización.
Si deseas ejecutar más de 20 consultas de análisis por día, debes tener una activación a nivel de la organización del nivel premium de Security Command Center. Para obtener más información, consulta Preguntas sobre la facturación.
¿Qué sigue?
- Aprende a usar el Analizador de políticas para analizar una política de permisos.
- Descubre cómo puedes usar la API de REST para guardar las consultas de análisis de políticas.