Policy-Intelligence-Tools

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Große Organisationen haben oft eine umfassende Auswahl an Google Cloud-Richtlinien, mit denen sie Ressourcen kontrollieren und den Zugriff verwalten können. Policy Intelligence-Tools helfen Ihnen, Ihre Richtlinien zu verstehen und zu verwalten, damit Sie Ihre Sicherheitskonfiguration proaktiv verbessern können.

In den folgenden Abschnitten wird erläutert, was Sie mit Policy Intelligence-Tools tun können.

Informationen zu Richtlinien und Nutzung

Es gibt mehrere Policy Intelligence-Tools, mit denen Sie nachvollziehen können, was Zugriff auf Ihre Richtlinien zulässt und wie sie verwendet werden.

Zugriff analysieren

Cloud Asset Inventory bietet das Policy Analyzer-Tool, mit dem Sie ermitteln können, welche Hauptkonten über Ihre IAM-Zulassungsrichtlinien auf welche Google Cloud-Ressourcen zugreifen können.

Das Policy Analyzer-Tool unterstützt Sie bei der Beantwortung folgender Fragen:

  • „Wer hat Zugriff auf dieses IAM-Dienstkonto?“
  • "Welche Rollen und Berechtigungen hat dieser Nutzer in diesem BigQuery-Dataset?'
  • „Welche BigQuery-Datasets darf dieser Nutzer lesen?“

Das Policy Analyzer-Tool hilft Ihnen bei der Beantwortung dieser Fragen und ermöglicht Ihnen eine effektive Verwaltung des Zugriffs. Das Policy Analyzer-Tool eignet sich auch für Audit- und Compliance-Aufgaben.

Weitere Informationen zu Policy Analyzer finden Sie unter Richtlinienanalyse.

Mehr Informationen über die Verwendung des Richtlinien-Analysetools finden Sie unter IAM-Richtlinien analysieren.

Zugriffsprobleme beheben

Policy Intelligence bietet die folgenden Möglichkeiten zur Fehlerbehebung an:

  • Richtlinien-Fehlerbehebung für Richtlinien zur Zulassung von Identitäts- und Zugriffsverwaltung
  • Fehlerbehebung für VPC Service Controls
  • Richtlinien-Fehlerbehebung für BeyondCorp Enterprise

Mit der Fehlerbehebung können Sie Fragen wie die folgenden beantworten:

  • „Warum hat dieser Nutzer die Berechtigung bigquery.datasets.create für dieses BigQuery-Dataset?“
  • &Warum kann dieser Nutzer die Berechtigungsrichtlinie dieses Cloud Storage-Buckets aufrufen{/7}

Weitere Informationen zu diesen Fehlerbehebungen finden Sie unter Zugriffsbezogene Fehlerbehebungen.

Informationen zur Nutzung und Berechtigungen von Dienstkonten

Dienstkonten sind ein besonderes Hauptkonto, mit dem Sie Anwendungen in Google Cloud authentifizieren können.

Damit Sie die Nutzung des Dienstkontos besser nachvollziehen können, bietet Policy Intelligence die folgenden Funktionen:

  • Aktivitätsanalyse: Mit diesem Tool können Sie sehen, wann Ihre Dienstkonten und Schlüssel zuletzt zum Aufrufen einer Google API verwendet wurden. Informationen zur Verwendung des Aktivitätsanalysators finden Sie unter Aktuelle Nutzung von Dienstkonten und Schlüsseln ansehen.

  • Dienstkontostatistiken: Dienstkonto-Statistiken sind eine Art von Statistik, die angibt, welche Dienstkonten in Ihrem Projekt in den letzten 90 Tagen nicht verwendet wurden. Informationen zum Verwalten von Dienstkontostatistiken finden Sie unter Nicht verwendete Dienstkonten suchen.

Damit Sie die Berechtigungen von Dienstkonten besser nachvollziehen können, bietet Policy Intelligence Statistiken zu seitlicher Bewegung. Seitliche Bewegungsstatistiken sind eine Art von Einblick, mit der Rollen identifiziert werden, die es einem Dienstkonto in einem Projekt ermöglichen, die Identität eines Dienstkontos in einem anderen Projekt zu übernehmen. Weitere Informationen zu Statistiken zu seitlicher Bewegung findest du hier. Informationen zum Verwalten von Informationen zu seitlichen Bewegungen finden Sie unter Dienstkonten mit Berechtigungen für seitliche Bewegungen identifizieren.

Statistiken zu seitlichen Bewegungen werden manchmal mit Rollenempfehlungen verknüpft. Mit Rollenempfehlungen werden Maßnahmen empfohlen, mit denen du die durch seitliche Bewegungsstatistiken ermittelten Probleme beheben kannst.

Richtlinien optimieren

Sie können Ihre IAM-Zulassungsrichtlinien mithilfe von Rollenempfehlungen verbessern. Mit Rollenempfehlungen können Sie das Prinzip der geringsten Berechtigung erzwingen, da Hauptkonten nur die Berechtigungen haben, die sie tatsächlich benötigen. Jede Rollenempfehlung schlägt vor, eine IAM-Rolle zu entfernen oder zu ersetzen, die den Hauptkonten nicht erforderliche Berechtigungen gewährt.

Weitere Informationen zu Rollenempfehlungen, einschließlich der Generierung von Rollen, findest du unter Minimale Berechtigung mit Rollenempfehlungen erzwingen.

Informationen zum Verwalten von Rollenempfehlungen finden Sie unter Rollenempfehlungen für Projekte, Ordner und Organisationen prüfen und anwenden oder Rollenempfehlungen für Cloud Storage-Buckets prüfen und anwenden.

Fehlkonfigurationen von Richtlinien verhindern

Mit Policy Simulator können Sie prüfen, wie sich eine Änderung an einer IAM-Zulassungsrichtlinie auf den Zugriff eines Hauptkontos auswirken kann, bevor Sie die Änderung übernehmen. Mit Policy Simulator können Sie dafür sorgen, dass die Änderungen, die Sie vornehmen, dazu führen, dass ein Hauptkonto nicht mehr den erforderlichen Zugriff erhält.

Damit ermittelt wird, wie sich eine Änderung an einer IAM-Richtlinie auf den Zugriff eines Hauptkontos auswirken kann, bestimmt der Richtliniensimulator, welche Zugriffsversuche in den letzten 90 Tagen unter der vorgeschlagenen Zulassungsrichtlinie und der aktuellen Zulassungsrichtlinie unterschiedliche Ergebnisse haben. Die Ergebnisse werden dann als Zugriffsliste aufgeführt.

Weitere Informationen zum Policy Simulator finden Sie unter IAM Policy Simulator – Übersicht.

Informationen zum Testen von Rollenänderungen mithilfe von Policy Simulator finden Sie unter Änderungen an Rollen mit IAM Policy Simulator testen.