Policy Analyzer für IAM-Richtlinien

Mit Policy Analyzer können Sie herausfinden, welche Hauptkonten (z. B. Nutzer, Dienst Konten, Gruppen und Domains) haben welchen Zugriff auf welche Google Cloud-Ressourcen basierend auf Ihren IAM-Zulassungsrichtlinien.

Mit Policy Analyzer können Sie Fragen wie die folgenden beantworten:

  • Wer kann auf dieses IAM-Dienstkonto zugreifen?
  • Wer kann Daten in diesem BigQuery-Dataset lesen, die personenidentifizierbare Informationen enthalten?
  • Welche Rollen und Berechtigungen hat die Gruppe dev-testers auf einer Ressource in diesem Projekt?
  • Welche Compute Engine-VM-Instanzen kann Tal in Projekt A löschen?
  • Wer kann um 19:00 Uhr auf diesen Cloud Storage-Bucket zugreifen?

Funktionsweise von Policy Analyzer

Zur Verwendung von Policy Analyzer erstellen Sie eine Analyseabfrage und geben einen Bereich für die Analyse und führen dann die Abfrage aus.

Analyseabfragen

Um Policy Analyzer zu verwenden, erstellen Sie eine Analyseabfrage und geben Sie mindestens eine folgenden Feldern hinzu:

  • Hauptkonten: Die Identitäten (z. B. Nutzer, Dienstkonten, Gruppen, und Domains), deren Zugriff Sie prüfen möchten
  • Zugriff: Die Berechtigungen und Rollen, die Sie überprüfen möchten.
  • Ressourcen: Die Ressourcen, für die Sie den Zugriff prüfen möchten
  • (Nur API) Kontextbedingung: Der Kontext, z. B. die Tageszeit, unter dem der Zugriff geprüft werden soll

Üblicherweise geben Sie ein oder zwei dieser Felder in der Analyseabfrage an. Verwenden Sie die Abfrageergebnisse, um weitere Informationen zu den Feldern zu erhalten, die Sie nicht eingegeben haben. angeben. Wenn Sie z. B. wissen möchten, wer eine bestimmte Berechtigung für eine eine bestimmte Ressource haben, würden Sie den Zugriff und die Ressource in der Analyse angeben. Abfrage, geben aber das Hauptkonto nicht an.

Weitere Beispiele für die Arten von Abfragen, die Sie erstellen können, finden Sie unter Häufig verwendete Abfragen .

Analyseumfang

Wenn Sie eine Analyseabfrage ausführen möchten, müssen Sie einen Gültigkeitsbereich angeben. Der Umfang ist eine Organisation, ein Ordner oder ein Projekt, auf das Sie die Analyse beschränken möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die mit der als Umfang verwendeten Ressource und ihren untergeordneten Elementen verknüpft sind.

In der REST API und der gcloud CLI geben Sie den Bereich manuell an. In der Google Cloud Console wird der Umfang automatisch anhand des Projekts, des Ordners oder der Organisation bestimmt, die Sie derzeit verwalten.

Nachdem Sie eine Analyseabfrage erstellt und den Bereich angegeben haben, können Sie die Abfrage Abfrage, um Richtlinien in diesem Bereich zu analysieren.

Abfrageergebnisse

Beim Ausführen einer Analyseabfrage meldet Policy Analyzer jede Rolle Bindungen, die die Hauptkonten, den Zugriff und die Ressourcen enthalten, die die Sie in der Abfrage angegeben haben. Für jede Rollenbindung werden die Hauptkonten in die Bindung, den Zugriff (Rolle und Berechtigungen), den die Bindung gewährt, und Die Ressource, auf die die Bindung Zugriff gewährt.

Sie können diese Ergebnisse überprüfen, um den Zugang in Ihrem Projekt besser zu verstehen. Ordner oder Organisation. Wenn Sie beispielsweise eine Abfrage ausführen, um herauszufinden, welche Hauptkonten Zugriff auf eine bestimmte Ressource haben, sehen Sie sich die Hauptkonten in den Abfrageergebnissen an.

Sie können die Informationen in den Abfrageergebnissen anpassen, indem Sie die Abfrageoptionen aktivieren.

Unterstützte Richtlinientypen

Der IAM Policy Analyzer unterstützt nur IAM-Zulassungsrichtlinien.

Die folgenden Formen der Zugriffssteuerung werden von Policy Analyzer nicht unterstützt:

In den Abfrageergebnissen des Policy Analyzers werden keine nicht unterstützten Richtlinientypen berücksichtigt. Für Angenommen, ein Nutzer hat die Berechtigung iam.roles.get für ein Projekt aufgrund einer Zulassungsrichtlinie, aber eine Ablehnungsrichtlinie verhindert, dass sie die Berechtigung. Policy Analyzer meldet, dass er die iam.roles.get hat der Ablehnungsrichtlinie zu.

Übernahme von Richtlinien

Um die Richtlinienübernahme zu berücksichtigen, analysiert Policy Analyzer automatisch alle relevanten Zulassungsrichtlinien im angegebenen Umfang, unabhängig davon, wo sie sich in der Ressourcenhierarchie befinden.

Angenommen, Sie möchten herausfinden, wer auf ein IAM-Dienstkonto zugreifen kann:

  • Wenn Sie die Abfrage auf ein Projekt beschränken, analysiert Policy Analyzer die „Zulassen“-Richtlinie des Dienstkontos und die „Zulassen“-Richtlinie des Projekts.
  • Wenn Sie die Abfrage auf eine Organisation beschränken, analysiert Policy Analyzer die Zulassungsrichtlinie des Dienstkontos, die Zulassungsrichtlinie des Projekts, dem das Dienstkonto zugewiesen ist, die Zulassungsrichtlinien aller Ordner, die das Projekt enthalten, und die Zulassungsrichtlinie der Organisation.

Bedingter Zugriff

Wenn eine Rollenbindung eine Bedingung hat, wird einem Hauptkonto nur dann Zugriff gewährt, wenn diese Bedingung erfüllt ist. Policy Analyzer meldet Bedingungen immer die mit relevanten Rollenbindungen verknüpft sind. Relevante Rollenbindungen sind Rollenbindungen, die die Hauptkonten, den Zugriff und die Ressourcen enthalten, die Sie in der Analyseabfrage angegeben haben.

In einigen Fällen kann Policy Analyzer auch die Bedingung analysieren und angeben, ob sie erfüllt wird. Policy Analyzer kann die folgenden Arten von Bedingungen:

Wenn eine relevante Rollenbindung eine Bedingung enthält, führt Policy Analyzer einen der folgenden Schritte aus:

  • Wenn Policy Analyzer die Bedingung analysieren kann, geschieht Folgendes:

    • Wenn die Bedingung als wahr ausgewertet wird, nimmt Policy Analyzer die Rollenbindung in die Abfrageergebnisse auf und kennzeichnet die Bedingungsauswertung als TRUE.
    • Wenn die Bedingung zu „falsch“ führt, wird die Rolle in der Richtlinienanalyse nicht in die Abfrageergebnisse einbezogen.
  • Wenn Policy Analyzer eine Bedingung für eine relevante Rollenbindung nicht analysieren kann, Sie enthält die Rolle in den Abfrageergebnissen und markiert die Bedingungsauswertung. als CONDITIONAL.

Datenaktualität

Policy Analyzer verwendet die Cloud Asset API, die eine bestmögliche Datenaktualität bietet. Fast alle Richtlinienaktualisierungen werden innerhalb weniger Minuten in Policy Analyzer angezeigt. Es kann jedoch sein, dass Policy Analyzer nicht die neuesten Richtlinienaktualisierungen enthält.

Gängige Abfragetypen

In diesem Abschnitt wird beschrieben, wie Sie mithilfe von Analyseabfragen häufig gestellte Fragen zum Zugriff beantworten.

Welche Hauptkonten können auf diese Ressource zugreifen?

Wenn Sie ermitteln möchten, welche Hauptkonten auf eine Ressource zugreifen können, erstellen Sie eine Analyseabfrage, in der die Ressource und optional die Rollen und Berechtigungen angegeben werden, nach denen Sie suchen möchten.

Mit diesen Abfragen können Sie beispielsweise folgende Fragen beantworten:

  • Wer hat Zugriff auf dieses IAM-Dienstkonto?
  • Wer hat die Berechtigung, die Identität dieses IAM-Dienstes zu übernehmen Konto?
  • Wer sind die Abrechnungsadministratoren für Projekt A?
  • (Nur API und gcloud CLI): Wer kann Projekt A aktualisieren durch Identitätsdiebstahl eines Dienstkontos?

Informationen zum Erstellen und Senden dieser Abfragen finden Sie unter Bestimmen, welche Hauptkonten auf eine Ressource zugreifen können.

Welche Hauptkonten haben diese Rollen und Berechtigungen?

Wenn Sie ermitteln möchten, welche Hauptkonten bestimmte Rollen und Berechtigungen haben, erstellen Sie Eine Analyseabfrage, die ein Hauptkonto sowie eine Reihe von Rollen und Berechtigungen angibt die Sie überprüfen möchten.

Mit diesen Abfragen können Sie beispielsweise folgende Fragen beantworten:

  • Wer hat die Berechtigung, die Identität von Dienstkonten in meiner Organisation zu übernehmen?
  • Wer sind die Abrechnungsadministratoren in meiner Organisation?
  • Wer kann Daten in diesem BigQuery-Dataset lesen, das personenidentifizierbare Informationen enthält?
  • (Nur API und gcloud CLI): Wer in meiner Organisation kann ein BigQuery-Dataset lesen, indem er die Identität eines Dienstkontos annimmt?

Informationen zum Erstellen und Senden dieser Abfragen finden Sie unter Bestimmen, welche Hauptkonten bestimmte Rollen oder Berechtigungen haben.

Welche Rollen und Berechtigungen hat dieses Hauptkonto für diese Ressource?

Um zu bestimmen, welche Rollen und Berechtigungen ein Hauptkonto für eine bestimmte Ressource hat, Erstellen Sie eine Analyseabfrage, die ein Hauptkonto und eine Ressource angibt, die Sie auf Berechtigungen prüfen möchten.

Mit diesen Abfragen können Sie Fragen wie die folgenden beantworten:

  • Welche Rollen und Berechtigungen hat Nutzerin Sasha dabei? BigQuery-Dataset?
  • Welche Rollen und Berechtigungen hat die Gruppe dev-testers auf einer Ressource in diesem Projekt?
  • (Nur API und gcloud-Befehlszeile): Welche Rollen und Berechtigungen hat der Nutzer Dana in diesem BigQuery-Dataset, wenn Dana die Identität eines Dienstkontos übernommen hat?

Informationen zum Erstellen und Senden dieser Abfragen finden Sie unter Zugriff eines Hauptkontos auf eine Ressource ermitteln.

Auf welche Ressourcen kann dieses Hauptkonto zugreifen?

Wenn Sie ermitteln möchten, auf welche Ressourcen ein bestimmtes Hauptkonto zugreifen kann, erstellen Sie eine Analyseabfrage, in der ein Hauptkonto und die Rollen und Berechtigungen angegeben werden, die Sie prüfen möchten.

Mit diesen Abfragen können Sie Fragen wie die folgenden beantworten:

  • Welche BigQuery-Datasets hat der Nutzer Mahan? Leseberechtigung?
  • Welche BigQuery-Datasets ist die dev-testers-Gruppe, deren Inhaber der Dateninhaber ist?
  • Welche VMs können in Projekt A gelöscht werden?
  • (Nur API und gcloud CLI): Welche VMs kann der Nutzer John löschen? die Identität eines Dienstkontos übernehmen?

Unter Bestimmen, welche Ressourcen ein Hauptkonto hat Zugriff.

Gespeicherte Analyseabfragen

Wenn Sie die REST API verwenden, können Sie Analyseabfragen speichern, um sie wiederzuverwenden oder für andere freizugeben. Sie können eine gespeicherte Abfrage wie jede andere Abfrage ausführen.

Weitere Informationen zum Speichern von Abfragen finden Sie unter Gespeicherte Abfragen verwalten.

Abfrageergebnisse exportieren

Mit analyzeIamPolicyLongrunning können Sie Abfragen asynchron ausführen und Abfrageergebnisse nach BigQuery oder Cloud Storage exportieren.

Informationen zum Exportieren von Abfrageergebnissen nach BigQuery finden Sie unter Write Richtlinienanalyse für BigQuery.

Informationen zum Exportieren von Abfrageergebnissen nach Cloud Storage finden Sie unter Richtlinienanalyse in Cloud Storage schreiben.

Abfrageoptionen

Policy Analyzer bietet mehrere Optionen, mit denen Sie die Abfrageergebnisse detaillierter gestalten können.

Wie Sie diese Optionen aktivieren, erfahren Sie unter Optionen aktivieren.

Gruppenerweiterung

Wenn Sie die Gruppenerweiterung aktivieren, werden alle Gruppen in den Abfrageergebnissen in einzelne Mitglieder maximiert. Die maximale Anzahl der Mitglieder pro Gruppe ist auf 1.000 begrenzt. Wenn Sie ausreichend Gruppenberechtigungen haben, werden auch verschachtelte Gruppen erweitert. Diese Option ist nur wirksam, wenn Sie in Ihrer Abfrage keinen Hauptberechtigten angeben.

Angenommen, Sie aktivieren die Gruppenerweiterung für die Abfrage "Wer hat storage.buckets.delete-Berechtigung für project-1?“ Wenn Policy Analyzer Folgendes findet: an alle Gruppen mit der Berechtigung storage.buckets.delete, die Abfrageergebnisse werden nicht nur die Gruppen-ID, sondern auch alle einzelnen Mitglieder im Gruppe.

Mit dieser Option können Sie den Zugriff einzelner Nutzer nachvollziehen, auch wenn dieser Zugriff aufgrund ihrer Gruppenmitgliedschaft erfolgt.

Rollenerweiterung

Wenn Sie die Rollenerweiterung aktivieren, werden in den Abfrageergebnissen neben der Rolle selbst auch alle Berechtigungen innerhalb der einzelnen Rollen aufgeführt. Diese Option ist nur verfügbar, wenn Sie in Ihrer Abfrage keine Berechtigungen oder Rollen angeben.

Angenommen, Sie aktivieren die Rollenerweiterung für die Abfrage „Welcher Zugriff my-user@example.com im Bucket bucket-1?“ Wenn Policy Analyzer Folgendes findet: alle Rollen, die my-user@example.com Zugriff auf bucket-1 gewähren, die Abfrage werden nicht nur der Rollenname, sondern auch alle enthaltenen Berechtigungen für diese Rolle.

Mit dieser Option können Sie genau sehen, welche Berechtigungen Ihre Hauptkonten haben.

Ressourcenerweiterung

Wenn Sie die Ressourcenerweiterung für eine Policy Analyzer-Abfrage aktivieren, werden die Abfrageergebnisse Listen Sie alle relevanten Nachfolgerressourcen für alle übergeordneten Ressourcen auf. Ressourcen (Projekte, Ordner und Organisationen) in den Abfrageergebnissen. Diese Ausweitung ist für Policy Analyzer-Abfragen auf 1.000 Ressourcen pro übergeordnete Ressource und für langlaufende Policy Analyzer-Abfragen auf 100.000 Ressourcen pro übergeordnete Ressource begrenzt.

Betrachten Sie beispielsweise, wie sich die Ressourcenerweiterung auf die folgenden Abfragen auswirken würde:

  • Wer hat die Berechtigung storage.buckets.delete für project-1?

    Wenn Sie die Ressourcenerweiterung für diese Abfrage aktivieren, werden im Abschnitt „Ressourcen“ der Abfrageergebnisse nicht nur das Projekt, sondern auch alle Speicher-Buckets im Projekt aufgeführt.

  • Welche Ressourcen hat my-user@example.com die Berechtigung „compute.instances.setIamPolicy“ aktiviert?

    Wenn Sie die Ressourcenerweiterung für diese Abfrage aktivieren und Policy Analyzer feststellt, dass my-user@example.com hat eine Rolle auf Projektebene, die diese Berechtigung enthält. wird im Ressourcenabschnitt der Abfrageergebnisse nicht nur das Projekt, sondern auch alle Compute Engine-Instanzen innerhalb des Projekts.

Mit dieser Option erhalten Sie einen detaillierten Überblick über die Ressourcen, Hauptkonten haben Zugriff.

Identitätsübertragung für ein Dienstkonto

Wenn Sie die REST API oder die gcloud CLI verwenden, können Sie die Analyse aktivieren der Identitätsübernahme des Dienstkontos.

Wenn diese Option aktiviert ist, führt Policy Analyzer zusätzliche Analyseabfragen aus, Bestimmen Sie, wer die Identität der Dienstkonten mit den angegebenen Zugriff auf die angegebenen Ressourcen. Policy Analyzer führt pro Abfrage eine Abfrage aus Dienstkonto in Abfrageergebnissen. Mit diesen Abfragen wird analysiert, wer Berechtigungen für das Dienstkonto:

  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.implicitDelegation
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt

Kontingente und Limits

Cloud Asset Inventory erzwingt die Rate eingehender Anfragen, einschließlich Richtlinien Analyseanfragen basierend auf dem Nutzerprojekt erstellen. Cloud Asset Inventory beschränkt die Gruppenerweiterung innerhalb der Gruppenmitgliedschaften und Ressourcenerweiterung innerhalb der Ressourcenhierarchie.

Informationen zu den Standardkontingenten und -limits für Policy Analyzer finden Sie unter Kontingente und Limits für in der Dokumentation zu Cloud Asset Inventory.

Preise

Jede Organisation kann bis zu 20 Analyseabfragen pro Tag kostenlos. Dieses Limit umfasst sowohl Zulassungsrichtlinien Analyse und Analyse von Organisationsrichtlinien.

Wenn Sie mehr als 20 Analysen ausführen möchten Abfragen pro Tag ausführen, müssen Sie eine Aktivierung der Premium-Mitgliedschaft auf Organisationsebene Stufe von Security Command Center. Weitere Informationen finden Sie unter Fragen zur Abrechnung.

Nächste Schritte