Herramientas de Policy Intelligence

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

A menudo, las organizaciones grandes tienen un amplio conjunto de políticas de Google Cloud para controlar los recursos y administrar el acceso. Las herramientas de Policy Intelligence te ayudan a comprender y administrar las políticas para mejorar de forma proactiva la configuración de seguridad.

En las siguientes secciones, se explica qué puedes hacer con las herramientas de Policy Intelligence.

Comprende las políticas y el uso

Existen varias herramientas de Policy Intelligence que te ayudan a comprender qué acceso tienen tus políticas y cómo se las utiliza.

Analiza el acceso

Cloud Asset Inventory proporciona el analizador de políticas, que te permite saber qué principales tienen acceso a qué recursos de Google Cloud según tus políticas de IAM permitidas.

El Analizador de políticas te ayuda a responder preguntas como las siguientes:

  • "¿Quién tiene acceso a esta cuenta de servicio de IAM?"
  • "¿Qué funciones y permisos tiene este usuario en este conjunto de datos de BigQuery?
  • "¿En qué conjuntos de datos de BigQuery el usuario tiene permiso para leer?"

Cuando te ayuda a responder estas preguntas, el Analizador de políticas te permite administrar el acceso de forma eficaz. También puedes usar el Analizador de políticas para tareas relacionadas con la auditoría y el cumplimiento.

Para obtener más información sobre el Analizador de políticas, consulta Descripción general del Analizador de políticas.

Para obtener información sobre cómo usar el Analizador de políticas, consulta Analiza las políticas de IAM.

Soluciona problemas de acceso

Para ayudarte a comprender y solucionar los problemas de acceso, Policy Intelligence ofrece los siguientes solucionadores de problemas:

  • Solucionador de problemas de políticas de administración de identidades y accesos
  • Solucionador de problemas de los Controles del servicio de VPC
  • Solucionador de problemas de políticas para BeyondCorp Enterprise

Los solucionadores de problemas de acceso ayudan a responder a preguntas como las siguientes:

  • ¿Por qué el usuario tiene el permiso bigquery.datasets.create en este conjunto de datos de BigQuery?
  • "¿Por qué este usuario no puede ver la política de permisos de este bucket de Cloud Storage?\quot;

Para obtener más información sobre estos solucionadores de problemas, consulta la sección Solucionadores de problemas de acceso.

Información sobre el uso y los permisos de las cuentas de servicio

Las cuentas de servicio son un tipo especial de principal que puedes usar para autenticar aplicaciones en Google Cloud.

Para ayudarte a comprender el uso de la cuenta de servicio, Policy Intelligence ofrece las siguientes funciones:

  • Analizador de actividad: El Analizador de actividad te permite ver cuándo se usaron por última vez tus cuentas de servicio y claves para llamar a una API de Google. Para obtener información sobre cómo usar el Analizador de actividades, consulta Visualiza el uso reciente de las cuentas de servicio y las claves.

  • Estadísticas de cuentas de servicio: Son un tipo de estadística que identifica qué cuentas de servicio de tu proyecto no se usaron en los últimos 90 días. Para obtener más información sobre cómo administrar estadísticas de cuentas de servicio, consulta Encuentra cuentas de servicio sin usar.

Para ayudarte a comprender los permisos de la cuenta de servicio, Policy Intelligence ofrece estadísticas de movimiento lateral. Las estadísticas de movimiento posteriores son un tipo de estadística que identifica las funciones que permiten que una cuenta de servicio de un proyecto se haga pasar por una cuenta de servicio de otro. Para obtener más información sobre las estadísticas de movimiento lateral, consulta Cómo se generan las estadísticas de movimiento lateral. Para obtener información sobre cómo administrar las estadísticas de movimiento lateral, consulta Cómo identificar las cuentas de servicio con permisos de movimiento laterales.

Las estadísticas de movimiento lateral a veces están vinculadas a recomendaciones de función. Las recomendaciones de funciones sugieren acciones que puedes realizar para solucionar los problemas identificados por las estadísticas de movimiento lateral.

Mejora tus políticas

Puedes mejorar tus políticas de IAM mediante las recomendaciones de funciones. Las recomendaciones de funciones te ayudan a aplicar el principio de privilegio mínimo, ya que garantizan que las principales solo tengan los permisos que en verdad necesitan. En cada recomendación de función, se sugiere que quites o reemplaces una función de IAM que le otorga a tu principal permisos no utilizados.

Para obtener más información sobre las recomendaciones de funciones, incluida la forma en que se generan, consulta Aplicar el privilegio mínimo con recomendaciones de funciones.

Para obtener información sobre cómo administrar las recomendaciones de funciones, consulta Revisa y aplica recomendaciones de funciones para proyectos, carpetas y organizaciones o Revisa y aplica recomendaciones de funciones para los buckets de Cloud Storage.

Evite las configuraciones incorrectas de políticas

Policy Simulator te permite ver cómo un cambio en una política de permiso de IAM podría afectar el acceso de una principal antes de que te comprometes a realizar el cambio. Puedes usar el simulador de política para asegurarte de que los cambios que hagas no hagan que una principal pierda el acceso que necesita.

Para descubrir cómo un cambio en una política de permiso de IAM podría afectar al acceso de una principal, el simulador de políticas determina qué intentos de acceso de los últimos 90 días tienen resultados diferentes según la política de permisos propuesta y la política de permiso actual. Luego, informa estos resultados como una lista de cambios de acceso.

Para obtener más información sobre el simulador de políticas, consulta la descripción general del simulador de políticas de IAM.

Si deseas obtener información sobre cómo usar el simulador de políticas para probar los cambios de funciones, consulta Prueba los cambios de funciones con el simulador de políticas de IAM.