Panoramica di Policy Intelligence

Le grandi organizzazioni hanno spesso un set completo di criteri Google Cloud per controllare le risorse e gestire l'accesso. Gli strumenti di Policy Intelligence ti aiutano a comprendere e gestire i tuoi criteri per migliorare in modo proattivo la tua configurazione di sicurezza.

Le seguenti sezioni spiegano cosa puoi fare con gli strumenti Policy Intelligence.

Informazioni sui criteri e sull'utilizzo

Esistono diversi strumenti di Policy Intelligence che consentono di comprendere quale accesso consente l'accesso ai criteri e come vengono utilizzati.

Analizza l'accesso

Cloud Asset Inventory offre un analizzatore dei criteri per i criteri di autorizzazione IAM, che consente di scoprire quali entità hanno accesso a determinate risorse Google Cloud in base ai criteri di autorizzazione IAM.

Policy Analyzer consente di rispondere a domande come le seguenti:

• "Chi ha accesso a questo account di servizio IAM?"
• "Quali ruoli e autorizzazioni ha questo utente in questo set di dati BigQuery?"
• "Quali set di dati BigQuery ha l'autorizzazione di lettura dell'utente?"

Aiutandoti a rispondere a queste domande, Policy Analyzer consente di amministrare in modo efficace l'accesso. Puoi anche utilizzare Policy Analyzer per attività correlate ai controlli e alla conformità.

Per saperne di più su Policy Analyzer per i criteri di autorizzazione, consulta la Panoramica di Policy Analyzer.

Per informazioni su come utilizzare Policy Analyzer per i criteri di autorizzazione, consulta Analisi dei criteri IAM.

Analizza i criteri dell'organizzazione

Policy Intelligence fornisce l'analizzatore dei criteri per i criteri dell'organizzazione, che puoi utilizzare per creare una query di analisi per ottenere informazioni sui criteri dell'organizzazione personalizzati e predefiniti.

Puoi utilizzare Policy Analyzer per restituire un elenco dei criteri dell'organizzazione con un determinato vincolo e le risorse a cui sono associati.

Per scoprire come utilizzare Policy Analyzer per il criterio dell'organizzazione, vedi Analizzare i criteri dell'organizzazione esistenti.

Risolvere i problemi di accesso

Per aiutarti a comprendere e risolvere i problemi di accesso, Policy Intelligence offre i seguenti strumenti per la risoluzione dei problemi:

• Strumento per la risoluzione dei problemi relativi ai criteri per Identity and Access Management
• Strumento per la risoluzione dei problemi relativi ai Controlli di servizio VPC
• Strumento per la risoluzione dei problemi relativi ai criteri per BeyondCorp Enterprise

Gli strumenti per la risoluzione dei problemi di accesso ti aiutano a rispondere a domande del tipo "perché" come le seguenti:

• "Perché questo utente ha l'autorizzazione bigquery.datasets.create per questo set di dati BigQuery?"
• "Perché questo utente non è in grado di visualizzare il criterio di autorizzazione di questo bucket Cloud Storage?"

Per scoprire di più su questi strumenti per la risoluzione dei problemi, consulta l'articolo Strumenti per la risoluzione dei problemi relativi all'accesso.

Informazioni sull'utilizzo e sulle autorizzazioni degli account di servizio

Gli account di servizio sono un tipo speciale di entità che puoi utilizzare per autenticare le applicazioni in Google Cloud.

Per aiutarti a comprendere l'utilizzo dell'account di servizio, Policy Intelligence offre le seguenti funzionalità:

• Analizzatore attività: l'Analizzatore attività consente di sapere quando le chiavi e gli account di servizio sono stati utilizzati l'ultima volta per chiamare un'API di Google. Per scoprire come utilizzare Activity Analyzer, consulta Visualizzare l'utilizzo recente di chiavi e account di servizio.

• Approfondimenti sugli account di servizio: gli insight sugli account di servizio sono un tipo di approfondimento che identifica quali account di servizio nel tuo progetto non sono stati utilizzati negli ultimi 90 giorni. Per scoprire come gestire gli insight sugli account di servizio, consulta Trovare gli account di servizio inutilizzati.

Per comprendere le autorizzazioni degli account di servizio, Policy Intelligence offre insight sul movimento laterale. Gli insight sul movimento laterale sono un tipo di approfondimento che identifica i ruoli che consentono a un account di servizio in un progetto di impersonare un account di servizio in un altro progetto. Per saperne di più sugli insight sul movimento laterale, consulta Come vengono generati gli insight sul movimento laterale. Per scoprire come gestire gli insight sul movimento laterale, consulta Identificare gli account di servizio con autorizzazioni di spostamento laterale.

Le informazioni sul movimento laterale a volte sono collegate a consigli sui ruoli. I suggerimenti sui ruoli suggeriscono azioni che puoi intraprendere per risolvere i problemi identificati dalle informazioni sul movimento laterale.

Migliora le norme

Puoi migliorare i criteri di autorizzazione IAM utilizzando i suggerimenti sui ruoli. I suggerimenti sui ruoli consentono di applicare il principio del privilegio minimo assicurando che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno. Ogni suggerimento per il ruolo ti consiglia di rimuovere o sostituire un ruolo IAM che concede autorizzazioni in eccesso alle entità.

Per saperne di più sui suggerimenti sui ruoli, incluso il modo in cui vengono generati, consulta Applicare il privilegio minimo con i suggerimenti sui ruoli.

Per scoprire come gestire i suggerimenti sui ruoli, consulta una delle seguenti guide:

• Esaminare e applicare i suggerimenti sui ruoli per progetti, cartelle e organizzazioni
• Esamina e applica i suggerimenti sui ruoli per i bucket Cloud Storage
• Esamina e applica i suggerimenti sui ruoli per i set di dati BigQuery

Previeni gli errori di configurazione dei criteri

Esistono diversi strumenti di Policy Intelligence che puoi utilizzare per vedere l'impatto delle modifiche ai criteri sulla tua organizzazione. Dopo aver visto l'effetto delle modifiche, puoi decidere se apportarle o meno.

Testa le modifiche ai criteri di autorizzazione IAM

Policy Simulator per i criteri di autorizzazione IAM consente di vedere in che modo una modifica a un criterio di autorizzazione IAM potrebbe influire sull'accesso di un'entità prima di impegnarti ad apportare la modifica. Puoi utilizzare Policy Simulator per assicurarti che le modifiche che stai apportando non causino la perdita dell'accesso necessario a un'entità.

Per scoprire in che modo una modifica a un criterio di autorizzazione IAM potrebbe influire sull'accesso di un'entità, Policy Simulator determina quali tentativi di accesso negli ultimi 90 giorni hanno risultati diversi in base al criterio di autorizzazione proposto e all'attuale criterio di autorizzazione. Quindi, registra questi risultati come elenco di modifiche di accesso.

Per saperne di più su Policy Simulator, consulta la Panoramica del Simulatore di criteri IAM.

Per informazioni su come utilizzare Policy Simulator per testare le modifiche ai ruoli, consulta Testare le modifiche ai ruoli con il Simulatore di criteri IAM.

Testare le modifiche ai criteri dell'organizzazione

Policy Simulator per criterio dell'organizzazione consente di visualizzare in anteprima l'impatto di un nuovo vincolo personalizzato o di un criterio dell'organizzazione che applica un vincolo personalizzato prima che venga applicato nell'ambiente di produzione.

Policy Simulator fornisce un elenco di risorse che violano il criterio proposto prima dell'applicazione, consentendoti di riconfigurarle, richiedere eccezioni o modificare l'ambito del criterio dell'organizzazione, il tutto senza interrompere per gli sviluppatori o arrestare l'ambiente.

Per informazioni su come utilizzare Policy Simulator per testare le modifiche ai criteri dell'organizzazione, vedi Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.