Outils Policy Intelligence

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Les grandes organisations disposent souvent d'un grand nombre de règles Google Cloud pour contrôler les ressources et gérer les accès. Les outils Policy Intelligence vous aident à comprendre et à gérer vos règles pour améliorer proactivement votre configuration de sécurité.

Les sections suivantes expliquent ce que vous pouvez faire avec les outils Policy Intelligence.

Comprendre les règles et l'utilisation

Différents outils Policy Intelligence vous aident à comprendre quels accès sont autorisés par vos règles et comment elles sont utilisées.

Analyser les accès

L'inventaire des éléments cloud fournit Policy Analyzer, qui vous permet de savoir quels comptes principaux ont accès aux ressources Google Cloud en fonction de vos règles d'autorisation IAM.

Policy Analyzer vous aide à répondre aux questions suivantes:

  • "Qui a accès à ce compte de service IAM ?"
  • "Quels rôles et autorisations ont cet utilisateur sur cet ensemble de données BigQuery ?
  • "Quels ensembles de données BigQuery cet utilisateur a-t-il l'autorisation de lire ?"

En vous aidant à répondre à ces questions, Policy Analyzer vous permet d'administrer efficacement l'accès. Vous pouvez également utiliser Policy Analyzer pour les tâches liées à l'audit et à la conformité.

Pour en savoir plus sur Policy Analyzer, consultez la page Présentation de Policy Analyzer.

Pour apprendre à utiliser Policy Analyzer, consultez la page Analyser des stratégies IAM.

Résoudre les problèmes d'accès

Pour vous aider à comprendre et à résoudre les problèmes d'accès, Policy Intelligence propose les outils de dépannage suivants:

  • Règles d'autorisation de Policy Troubleshooter pour Identity and Access Management
  • Outil de dépannage de VPC Service Controls
  • Policy Troubleshooter pour BeyondCorp Enterprise

Ces outils permettent de répondre aux questions suivantes:

  • "Pourquoi cet utilisateur dispose-t-il de l'autorisation bigquery.datasets.create sur cet ensemble de données BigQuery ?"
  • "Pourquoi cet utilisateur ne peut-il pas afficher la stratégie d'autorisation de ce bucket Cloud Storage ?

Pour en savoir plus sur ces outils de dépannage, consultez la page Outils de dépannage liés aux accès.

Comprendre l'utilisation et les autorisations des comptes de service

Les comptes de service sont un type spécial de compte principal que vous pouvez utiliser pour authentifier des applications dans Google Cloud.

Pour vous aider à comprendre l'utilisation des comptes de service, Policy Intelligence propose les fonctionnalités suivantes:

  • Analyseur d'activité: l'outil d'analyse d'activité vous permet de savoir quand vos comptes de service et vos clés ont été utilisés pour appeler une API Google pour la dernière fois. Pour savoir comment utiliser l'outil d'analyse d'activité, consultez la section Afficher l'utilisation récente des comptes de service et des clés.

  • Insights sur les comptes de service : les insights sur les comptes de service sont un type de statistiques qui identifient les comptes de service de votre projet qui n'ont pas été utilisés au cours des 90 derniers jours. Pour savoir comment gérer les insights sur les comptes de service, consultez la section Rechercher les comptes de service inutilisés.

Pour vous aider à comprendre les autorisations des comptes de service, Policy Intelligence propose des insights sur les mouvements latéraux. Les insights sur les mouvements latéraux sont un type de statistiques qui identifient les rôles permettant à un compte de service d'un projet d'emprunter l'identité d'un compte de service d'un autre projet. Pour en savoir plus sur les statistiques concernant les mouvements latéraux, consultez la section Génération d'insights sur les mouvements latéraux. Pour savoir comment gérer les insights liés aux mouvements latéraux, consultez la section Identifier les comptes de service disposant d'autorisations de mouvement latérales.

Les insights sur les mouvements latéraux sont parfois associés à des recommandations de rôles. Les recommandations de rôles suggèrent des mesures à prendre pour résoudre les problèmes identifiés par les insights sur le mouvement latéral.

Améliorer vos règles

Vous pouvez améliorer vos stratégies d'autorisation IAM en utilisant les recommandations de rôle. Les recommandations de rôle vous aident à appliquer le principe du moindre privilège en vous assurant que les comptes principaux ne disposent que des autorisations dont ils ont réellement besoin. Chaque recommandation de rôle suggère de supprimer ou de remplacer un rôle IAM qui accorde des autorisations supplémentaires à vos comptes principaux.

Pour en savoir plus sur les recommandations de rôle, y compris sur la façon dont elles sont générées, consultez Appliquer le principe du moindre privilège avec les recommandations de rôle.

Pour apprendre à gérer les recommandations de rôle, consultez Examiner et appliquer des recommandations de rôle pour les projets, dossiers et organisations ou Examiner et appliquer des recommandations de rôle pour les buckets Cloud Storage.

Éviter les erreurs de configuration des règles

Le simulateur de stratégie vous permet de voir l'effet d'une modification d'une stratégie d'autorisation IAM sur l'accès d'un compte principal avant d'apporter une modification. Vous pouvez utiliser Policy Simulator pour garantir que les modifications apportées ne permettront pas à un compte principal de perdre l'accès dont il a besoin.

Pour savoir comment une modification d'une stratégie d'autorisation IAM peut avoir un impact sur l'accès d'un compte principal, Policy Simulator détermine les tentatives d'accès des 90 derniers jours qui ont des résultats différents selon la stratégie d'autorisation proposée et la stratégie d'autorisation actuelle. Il affiche ensuite ces résultats sous la forme d'une liste de modifications d'accès.

Pour en savoir plus sur Policy Simulator, consultez Présentation du simulateur de stratégie IAM.

Pour savoir comment utiliser Policy Simulator pour tester des modifications de rôle, consultez Tester les modifications de rôle avec IAM Policy Simulator.