Analizzatore criteri per i criteri IAM

Policy Analyzer consente di scoprire quali entità (ad esempio utenti, servizi account, gruppi e domini) hanno quale accesso a quali risorse Google Cloud in base ai criteri di autorizzazione IAM.

Analizzatore criteri può aiutarti a rispondere a domande come queste:

• Chi può accedere a questo account di servizio IAM?
• Chi può leggere i dati di questo set di dati BigQuery che contiene che consentono l'identificazione personale (PII)?
• Quali ruoli e autorizzazioni ha il gruppo dev-testers per qualsiasi in questo progetto?
• Quali istanze di macchine virtuali (VM) Compute Engine possono essere eliminate nel progetto A?
• Chi può accedere a questo bucket Cloud Storage alle 19:00?

Come funziona Policy Analyzer

Per utilizzare Policy Analyzer, crea una query di analisi, specifica un ambito per il ed eseguire la query.

Query di analisi

Per utilizzare Policy Analyzer, è necessario creare una query di analisi che specifichi una o più dei seguenti campi:

• Entità: le identità (ad esempio utenti, account di servizio, gruppi e domini) di cui vuoi controllare l'accesso
• Accesso: le autorizzazioni e i ruoli che vuoi verificare
• Risorse: le risorse per le quali vuoi controllare l'accesso
• (Solo API) Contesto della condizione: il contesto, ad esempio l'ora della giorno, sotto il quale vuoi controllare l'accesso.

Generalmente, specifichi uno o due di questi campi nella query di analisi, utilizzare i risultati della query per ottenere maggiori informazioni sui campi che non hai specificare. Ad esempio, se vuoi sapere chi ha una determinata autorizzazione su un risorsa, specifica l'accesso e la risorsa nell'analisi ma non specificheresti l'entità.

Per ulteriori esempi dei tipi di query che puoi creare, consulta Query comune di classificazione.

Ambito dell'analisi

Per eseguire una query di analisi, devi specificare un ambito per e analisi. L'ambito è un'organizzazione, una cartella o un progetto a cui vuoi a limitare la tua analisi. Solo i criteri di autorizzazione IAM collegati a sarà analizzata la risorsa utilizzata come ambito e per i relativi discendenti.

Nell'API REST e in gcloud CLI, specifichi l'ambito manualmente. Nel nella console Google Cloud, l'ambito viene determinato automaticamente in base il progetto, la cartella o l'organizzazione che gestisci attualmente.

Dopo aver creato una query di analisi e specificato l'ambito, puoi eseguire query per analizzare i criteri in quell'ambito.

Risultati delle query

Quando esegui una query di analisi, Policy Analyzer segnala qualsiasi ruolo associazioni che contengono entità, accesso e risorse specificato nella query. Per ogni associazione dei ruoli, indica le entità in l'associazione, l'accesso (ruolo e autorizzazioni) concesso dall'associazione la risorsa a cui l'associazione concede l'accesso.

Puoi esaminare questi risultati per comprendere meglio l'accesso nel tuo progetto, cartella o organizzazione. Ad esempio, se esegui una query per scoprire quale hanno accesso a una risorsa specifica, devi esaminarle nei risultati della query.

Puoi modificare le informazioni nei risultati della query abilitando opzioni.

Tipi di criteri supportati

Analizzatore criteri IAM supporta solo autorizzazioni IAM .

Policy Analyzer non supporta le seguenti forme di controllo dell'accesso:

• Criteri di negazione IAM
• Controllo degli accessi basato su ruoli di Google Kubernetes Engine
• Elenchi di controllo dell'accesso di Cloud Storage
• Prevenzione dell'accesso pubblico di Cloud Storage

I risultati delle query di Policy Analyzer non tengono conto dei tipi di criteri non supportati. Per Ad esempio, immagina che un utente disponga dell'autorizzazione iam.roles.get per un progetto a causa di un criterio di autorizzazione, ma un criterio di negazione impedisce loro di utilizzare autorizzazione. Analizzatore criteri segnalerà che ha iam.roles.get l'autorizzazione, nonostante il criterio di negazione.

Eredità dei criteri

Per tenere conto dell'ereditarietà dei criteri, Analizzatore criteri analizza automaticamente tutte le norme di autorizzazione pertinenti nell'ambito specificato, a prescindere da dove si trovano nella gerarchia delle risorse.

Ad esempio, immagina di voler scoprire chi può accedere a un Account di servizio IAM:

• Se imposti l'ambito della query su un progetto, Policy Analyzer analizza il criterio di autorizzazione dell'account di servizio e il criterio di autorizzazione del progetto.
• Se imposti l'ambito della query su un'organizzazione, Policy Analyzer analizza le autorizzazioni criterio dell'account di servizio, il criterio di autorizzazione del progetto proprietario account di servizio, i criteri di autorizzazione delle cartelle contenenti il progetto e il criterio di autorizzazione dell'organizzazione.

Accesso condizionale

Se un'associazione di ruoli ha una condizione, concede solo un'entità all'accesso quando questa condizione è soddisfatta. Policy Analyzer segnala sempre le condizioni associate alle associazioni di ruoli pertinenti. Le associazioni di ruoli pertinenti sono ruoli associazioni che contengono le entità, l'accesso e le risorse specificate nella query di analisi.

In alcuni casi, Policy Analyzer può anche analizzare la condizione, il che significa che può indicare se la condizione è soddisfatta. Policy Analyzer può analizzare i seguenti tipi di condizioni:

• Condizioni basate su attributi delle risorse, per i tipi di risorse che forniscono un nome risorsa.
• Condizioni data/ora (API e gcloud CLI ). Affinché Policy Analyzer possa analizzare queste condizioni, è necessario fornire l'ora dell'accesso (accessTime) nella query di analisi. Per scoprire come fornire questo contesto. Consulta Determinare l'accesso a un volta.

Se un'associazione dei ruoli pertinente contiene una condizione, Policy Analyzer esegue una delle le seguenti:

• Se Policy Analyzer può analizzare la condizione, esegue una delle seguenti operazioni:

  • Se la condizione restituisce true, Policy Analyzer include il ruolo l'associazione nei risultati della query e contrassegna la valutazione della condizione come TRUE.
  • Se la condizione è false, Policy Analyzer non include i campi nei risultati della query.

• Se Policy Analyzer non riesce ad analizzare una condizione per un'associazione dei ruoli pertinente, include il ruolo nei risultati della query e contrassegna la valutazione della condizione come CONDITIONAL.

Aggiornamento dei dati

Policy Analyzer utilizza l'API Cloud Asset, che garantisce l'aggiornamento dei dati secondo il criterio del "best effort". Sebbene quasi tutti gli aggiornamenti dei criteri vengano visualizzati in Policy Analyzer in pochi minuti, è possibile che Policy Analyzer non includa gli aggiornamenti dei criteri più recenti.

Tipi di query comuni

Questa sezione descrive come utilizzare le query di analisi per rispondere a domande comuni domande relative all'accesso.

Quali entità possono accedere a questa risorsa?

Per determinare quali entità possono accedere a una risorsa, crea una query di analisi che specifica la risorsa e, facoltativamente, i ruoli e le autorizzazioni che vuoi controllare.

Queste query possono aiutarti a rispondere a domande come le seguenti:

• Chi ha accesso a questo account di servizio IAM?
• Chi dispone dell'autorizzazione per impersonare questo servizio IAM account?
• Chi sono gli amministratori della fatturazione del progetto A?
• (Solo API e gcloud CLI): chi può aggiornare il progetto A tramite si spaccia per un account di servizio?

Per informazioni su come creare e inviare queste query, consulta Determinazione delle entità possono accedere a una risorsa.

Quali entità hanno questi ruoli e autorizzazioni?

Per determinare quali entità dispongono di determinati ruoli e autorizzazioni, crea una query di analisi che specifica un'entità e un insieme di ruoli e autorizzazioni che vuoi controllare.

Queste query possono aiutarti a rispondere a domande come le seguenti:

• Chi dispone dell'autorizzazione per impersonare account di servizio nella mia organizzazione?
• Chi sono gli amministratori della fatturazione della mia organizzazione?
• Chi può leggere i dati di questo set di dati BigQuery che contiene che consentono l'identificazione personale (PII)?
• (Solo API e gcloud CLI): chi nella mia organizzazione può leggere un set di dati BigQuery simulando l'identità di un account di servizio?

Per informazioni su come creare e inviare queste query, consulta Determinazione delle entità alcuni ruoli o autorizzazioni.

Quali ruoli e autorizzazioni ha questa entità su questa risorsa?

Per determinare i ruoli e le autorizzazioni di cui dispone un'entità per una risorsa specifica, crea una query di analisi che specifica un'entità e una risorsa per cui vuoi controllare le autorizzazioni.

Queste query possono aiutarti a rispondere a domande come le seguenti:

• Quali ruoli e autorizzazioni ha l'utente Sasha al riguardo set di dati BigQuery?
• Quali ruoli e autorizzazioni ha il gruppo dev-testers per qualsiasi in questo progetto?
• (Solo API e gcloud CLI): quali ruoli e autorizzazioni l'utente Dana su questo set di dati BigQuery se Dana si spaccia per un account di servizio?

Per informazioni su come creare e inviare queste query, consulta Stabilire gli elementi di accesso a un dell'entità su una risorsa.

A quali risorse può accedere questa entità?

Per determinare a quali risorse può accedere un'entità specifica, crea un'analisi che specifica un'entità e i ruoli e le autorizzazioni che controllare.

Queste query possono aiutarti a rispondere a domande come le seguenti:

• Quali set di dati BigQuery ha l'utente Mahan? l'autorizzazione alla lettura?
• Quali set di dati BigQuery sono il gruppo dev-testers proprietario dei dati?
• Quali VM possono eliminare Tal nel progetto A?
• (Solo API e gcloud CLI): quali VM può eliminare l'utente Mario simulando l'identità di un account di servizio?

Per informazioni su come creare e inviare queste query, consulta Determinare le risorse di cui l'entità può accedere.

Query di analisi salvate

Se utilizzi l'API REST, puoi salvare le query di analisi per riutilizzarle o condividerle con gli altri. Puoi eseguire una query salvata proprio come faresti con qualsiasi altra query.

Per scoprire di più sul salvataggio delle query, consulta Gestire le query salvate.

Esporta i risultati della query

Puoi eseguire query in modo asincrono ed esportare i risultati in BigQuery o Cloud Storage utilizzando analyzeIamPolicyLongrunning.

Per scoprire come esportare i risultati delle query in BigQuery, consulta Scrittura l'analisi dei criteri in BigQuery.

Per scoprire come esportare i risultati delle query in Cloud Storage, consulta Scrittura l'analisi dei criteri in Cloud Storage.

Opzioni query

Policy Analyzer offre diverse opzioni che aggiungono ulteriori dettagli alla query che consentono di analizzare i dati e visualizzare i risultati.

Per informazioni su come attivare queste opzioni, vedi Attivare le opzioni.

Espansione del gruppo

Se attivi l'espansione dei gruppi, tutti i gruppi nei risultati della query verranno visualizzati estesa ai singoli membri. Questa espansione è limitata a 1000 membri per gruppo. Se disponi autorizzazioni di gruppo sufficienti, verranno espansi anche i gruppi nidificati. Questa opzione è efficace solo se non specifichi un'entità nella query.

Ad esempio, immagina di abilitare l'espansione del gruppo per la query "Chi ha storage.buckets.delete per l'autorizzazione project-1?" Se Policy Analyzer trova tutti i gruppi con l'autorizzazione storage.buckets.delete, i risultati della query elencherà non solo l'identificatore del gruppo, ma anche tutti i singoli membri nel gruppo.

Questa opzione ti consente di conoscere i singoli utenti di accesso, anche se questo è a seguito della loro appartenenza a un gruppo.

Espansione dei ruoli

Se attivi l'espansione dei ruoli, nei risultati della query vengono elencate tutte le autorizzazioni all'interno di ogni oltre al ruolo stesso. Questa opzione è disponibile solo e specificare eventuali autorizzazioni o ruoli nella query.

Ad esempio, immagina di abilitare l'espansione dei ruoli per la query "Che accesso my-user@example.com nel bucket bucket-1?" Se Policy Analyzer trova qualsiasi ruolo che dà a my-user@example.com l'accesso a bucket-1, la query nei risultati verranno elencati non solo il nome del ruolo, ma anche tutte le autorizzazioni incluse nel ruolo.

Questa opzione ti consente di vedere esattamente le autorizzazioni di cui dispongono le entità.

Espansione delle risorse

Se abiliti l'espansione delle risorse per una query di Policy Analyzer, i risultati Elenca tutte le risorse discendenti pertinenti per qualsiasi elemento padre di risorse (progetti, cartelle e organizzazioni) nei risultati della query. Questo l'espansione è limitata a 1000 per risorsa padre per le query di Policy Analyzer e 100.000 risorse per risorsa padre per le query a lunga esecuzione di Policy Analyzer.

Ad esempio, considera in che modo l'espansione delle risorse potrebbe influire sulle seguenti query:

• Chi ha l'autorizzazione storage.buckets.delete per project-1?

  Se abiliti l'espansione delle risorse per questa query, la sezione delle risorse del i risultati della query elencheranno non solo il progetto, ma anche tutti i bucket all'interno del progetto.

• Quali risorse ha my-user@example.com Autorizzazione compute.instances.setIamPolicy attivata?

  Se abiliti l'espansione delle risorse per questa query e Policy Analyzer rileva che my-user@example.com ha un ruolo a livello di progetto che contiene questa autorizzazione, la sezione delle risorse dei risultati della query elencherà non solo il progetto, e tutte le istanze di Compute Engine nel progetto.

Questa opzione ti consente di ottenere una comprensione dettagliata delle risorse che a cui possono accedere le entità.

Simulazione dell'identità degli account di servizio

Se utilizzi l'API REST o gcloud CLI, puoi abilitare l'analisi relative al furto d'identità degli account di servizio.

Se questa opzione è abilitata, Policy Analyzer esegue ulteriori query di analisi per determinare chi può impersonare gli account di servizio che hanno l'accesso alle risorse specificate. Policy Analyzer esegue una query per ogni l'account di servizio nei risultati della query. Queste query analizzano chi ha uno qualsiasi dei seguenti autorizzazioni per l'account di servizio:

• iam.serviceAccounts.actAs
• iam.serviceAccounts.getAccessToken
• iam.serviceAccounts.getOpenIdToken
• iam.serviceAccounts.implicitDelegation
• iam.serviceAccounts.signBlob
• iam.serviceAccounts.signJwt

Quote e limiti

Cloud Asset Inventory applica la frequenza delle richieste in entrata, inclusi i criteri di analisi, in base al progetto del consumatore. Cloud Asset Inventory offre inoltre limita l'espansione del gruppo all'interno delle iscrizioni e dell'espansione delle risorse all'interno della gerarchia delle risorse.

Per visualizzare le quote e i limiti predefiniti per Policy Analyzer, consulta Quote e limiti nella documentazione di Cloud Asset Inventory.

Prezzi

Ogni organizzazione può eseguire fino a 20 di analisi al giorno senza costi aggiuntivi. Questo limite include entrambi i criteri di autorizzazione e analisi dei criteri dell'organizzazione.

Se vuoi eseguire più di 20 analisi al giorno, è necessaria un'attivazione a livello di organizzazione del piano livello di Security Command Center. Per ulteriori informazioni, consulta la sezione Fatturazione domande.

Passaggi successivi

• Scopri come utilizzare Policy Analyzer per analizzare un'autorizzazione .
• Scopri come puoi utilizzare l'API REST per salvare l'analisi dei criteri query.