Les grandes organisations disposent souvent d'un vaste ensemble de règles Google Cloud pour contrôler les ressources et gérer les accès. Les outils Policy Intelligence vous aident à comprendre et à gérer vos stratégies pour améliorer votre configuration de sécurité de manière proactive.
Les sections suivantes expliquent ce que vous pouvez faire avec les outils Policy Intelligence.
Comprendre les règles et l'utilisation
Plusieurs outils Policy Intelligence peuvent vous aider à comprendre l'accès autorisé par vos stratégies et leur utilisation.
Analyser les accès
L'inventaire des éléments cloud fournit Policy Analyzer pour les stratégies d'autorisation IAM, qui vous permet d'identifier quels comptes principaux ont accès à quelles ressources Google Cloud en fonction de vos stratégies d'autorisation IAM.
Policy Analyzer vous aide à répondre aux questions suivantes:
- "Qui a accès à ce compte de service IAM ?"
- "Quels rôles et autorisations possède cet utilisateur sur cet ensemble de données BigQuery ?"
- "Quels ensembles de données BigQuery cet utilisateur a-t-il l'autorisation de lire ?"
En vous aidant à répondre à ces questions, Policy Analyzer vous permet d'administrer l'accès de manière efficace. Vous pouvez également utiliser Policy Analyzer pour les tâches liées à l'audit et à la conformité.
Pour en savoir plus sur Policy Analyzer pour les règles d'autorisation, consultez la présentation de Policy Analyzer.
Pour savoir comment utiliser Policy Analyzer pour les stratégies d'autorisation, consultez Analyser les stratégies IAM.
Analyser les règles d'administration
Policy Intelligence fournit Policy Analyzer pour les règles d'administration, que vous pouvez utiliser pour créer une requête d'analyse afin d'obtenir des informations sur les règles d'administration personnalisées et prédéfinies.
Vous pouvez utiliser Policy Analyzer pour renvoyer une liste de règles d'administration associées à une contrainte particulière, ainsi que les ressources auxquelles ces règles sont associées.
Pour savoir comment utiliser Policy Analyzer pour les règles d'administration, consultez Analyser les règles d'administration existantes.
Résoudre les problèmes d'accès
Pour vous aider à comprendre et à résoudre les problèmes d'accès, Policy Intelligence propose les outils de dépannage suivants:
- Policy Troubleshooter pour Identity and Access Management
- Outil de dépannage de VPC Service Controls
- Policy Troubleshooter pour BeyondCorp Enterprise
Les outils de dépannage d'accès vous aident à répondre aux questions de type "pourquoi" :
- "Pourquoi cet utilisateur dispose-t-il de l'autorisation
bigquery.datasets.createsur cet ensemble de données BigQuery ?" - "Pourquoi cet utilisateur ne peut-il pas afficher la stratégie d'autorisation de ce bucket Cloud Storage ?"
Pour en savoir plus sur ces outils de dépannage, consultez la section Outils de dépannage liés à l'accès.
Comprendre l'utilisation et les autorisations des comptes de service
Les comptes de service constituent un type particulier de compte principal que vous pouvez utiliser pour authentifier des applications dans Google Cloud.
Pour vous aider à comprendre l'utilisation des comptes de service, Policy Intelligence propose les fonctionnalités suivantes:
Analyseur d'activité: Activity Analyzer vous permet de voir quand vos comptes de service et vos clés ont été utilisés pour la dernière fois pour appeler une API Google. Pour savoir comment utiliser l'analyseur d'activités, consultez la section Afficher l'utilisation récente des comptes de service et des clés.
Insights sur les comptes de service: les insights sur les comptes de service sont un type d'insight qui identifie les comptes de service de votre projet qui n'ont pas été utilisés au cours des 90 derniers jours. Pour savoir comment gérer les insights sur les comptes de service, consultez la section Rechercher les comptes de service inutilisés.
Pour vous aider à comprendre les autorisations de compte de service, Policy Intelligence propose des insights sur les mouvements latéraux. Les insights sur les mouvements latéraux sont un type d'insight qui identifie les rôles qui autorisent un compte de service d'un projet à emprunter l'identité d'un compte de service d'un autre projet. Pour en savoir plus sur les insights sur les mouvements latéraux, consultez Comment les insights sur les mouvements latéraux sont-ils générés. Pour en savoir plus sur la gestion des informations sur les mouvements latéraux, consultez la section Identifier les comptes de service disposant d'autorisations de mouvements latéraux.
Les insights sur les mouvements latéraux sont parfois liés à des recommandations de rôle. Les recommandations de rôle suggèrent des mesures que vous pouvez prendre pour résoudre les problèmes identifiés par les informations sur les mouvements latéraux.
Améliorer vos règles
Vous pouvez améliorer vos stratégies d'autorisation IAM à l'aide des recommandations de rôle. Les recommandations de rôle vous aident à appliquer le principe du moindre privilège en vous assurant que les comptes principaux ne disposent que des autorisations dont ils ont réellement besoin. Chaque recommandation de rôle vous suggère de supprimer ou de remplacer un rôle IAM qui accorde à vos comptes principaux des autorisations en excès.
Pour en savoir plus sur les recommandations de rôle, y compris sur la façon dont elles sont générées, consultez la page Appliquer le moindre privilège avec les recommandations de rôle.
Pour apprendre à gérer les recommandations de rôle, consultez l'un des guides suivants:
- Examiner et appliquer les recommandations de rôle pour les projets, les dossiers et les organisations
- Examiner et appliquer les recommandations de rôle pour les buckets Cloud Storage
- Examiner et appliquer les recommandations de rôle pour les ensembles de données BigQuery
Éviter les erreurs de configuration des règles
Plusieurs outils Policy Intelligence vous permettent de déterminer l'impact des modifications apportées aux stratégies sur votre organisation. Après avoir constaté l'effet des modifications, vous pouvez décider de les effectuer ou non.
Tester les modifications des stratégies d'autorisation IAM
Policy Simulator pour les stratégies d'autorisation IAM vous permet de voir comment une modification d'une stratégie d'autorisation IAM peut avoir un impact sur l'accès d'un compte principal avant de vous engager à effectuer la modification. Vous pouvez utiliser Policy Simulator pour vous assurer que les modifications que vous apportez n'empêchent pas un compte principal d'accéder aux ressources dont il a besoin.
Pour savoir comment une modification apportée à une stratégie d'autorisation IAM peut avoir un impact sur l'accès d'un compte principal, Policy Simulator détermine les tentatives d'accès des 90 derniers jours qui ont des résultats différents selon la règle d'autorisation proposée et la règle d'autorisation actuelle. Ensuite, il signale ces résultats sous la forme d'une liste de modifications d'accès.
Pour en savoir plus sur Policy Simulator, consultez la présentation d'IAM Policy Simulator.
Pour apprendre à utiliser Policy Simulator afin de tester les modifications de rôle, consultez la page Tester les modifications de rôle avec le simulateur de stratégie IAM.
Tester les modifications apportées aux règles d'administration
Policy Simulator pour les règles d'administration vous permet de prévisualiser l'impact d'une nouvelle contrainte personnalisée ou d'une nouvelle règle d'administration qui applique une contrainte personnalisée avant qu'elle ne soit appliquée à votre environnement de production.
Policy Simulator fournit une liste des ressources qui enfreignent la règle proposée avant son application, ce qui vous permet de reconfigurer ces ressources, de demander des exceptions ou de modifier le champ d'application de votre règle d'administration, le tout sans perturber vos développeurs ni désactiver votre environnement.
Pour apprendre à utiliser Policy Simulator afin de tester les modifications apportées aux règles d'administration d'administration, consultez la section Tester les modifications des règles d'administration avec Policy Simulator.