Strumenti di Policy Intelligence

Le grandi organizzazioni spesso hanno un insieme ampio di criteri Google Cloud per controllare le risorse e gestire l'accesso. Gli strumenti di intelligence delle norme ti consentono di comprendere e gestire le norme per migliorare proattivamente la configurazione della sicurezza.

Le seguenti sezioni spiegano cosa puoi fare con gli strumenti di Policy Intelligence.

Comprendere i criteri e l'utilizzo

Esistono diversi strumenti di Policy Intelligence che ti consentono di comprendere cosa viene consentito dai criteri e come vengono utilizzati.

Analisi dell'accesso

Cloud Asset Inventory offre lo strumento di analisi dei criteri, che consente di determinare quali entità hanno accesso alle risorse Google Cloud in base ai criteri di autorizzazione IAM.

Policy Analyzer consente di rispondere a domande come le seguenti:

  • "Chi ha accesso a questo account di servizio IAM{5/}quot;
  • "Quali ruoli e autorizzazioni ha questo utente in questo set di dati BigQuery?"
  • "Quali set di dati BigQuery sono autorizzati a leggere da questo utente

Grazie all'aiuto di queste domande, Analizzatore criteri ti consente di gestire in modo efficace l'accesso. Puoi utilizzare Analizzatore criteri anche per attività correlate al controllo e alla conformità.

Per saperne di più sull'Analizzatore criteri, consulta la panoramica dello Strumento di analisi criteri.

Per informazioni su come utilizzare lo strumento di analisi dei criteri, consulta Analisi dei criteri IAM.

Risolvere i problemi di accesso

Per aiutarti a comprendere e risolvere i problemi di accesso, Policy Intelligence offre i seguenti strumenti per la risoluzione dei problemi:

  • Strumento per la risoluzione dei problemi relativi ai criteri di gestione di identità e accessi
  • Strumento per la risoluzione dei problemi dei controlli di servizio VPC
  • Strumento per la risoluzione dei problemi relativi ai criteri per BeyondCorp Enterprise

Gli strumenti per la risoluzione dei problemi di accesso contribuiscono a rispondere a domande come:

  • "Perché questo utente ha l'autorizzazione bigquery.datasets.create per questo set di dati BigQuery?"
  • "perché questo utente non può visualizzare il criterio di autorizzazione di questo bucket Cloud Storage?{/1}

Per scoprire di più su questi strumenti per la risoluzione dei problemi, consulta gli strumenti per la risoluzione dei problemi relativi all'accesso.

Informazioni sull'utilizzo e sulle autorizzazioni dell'account di servizio

Gli account di servizio sono un tipo speciale di entità che puoi utilizzare per autenticare le applicazioni in Google Cloud.

Per aiutarti a comprendere l'utilizzo degli account di servizio, Policy Intelligence offre le seguenti funzionalità:

  • Strumento di analisi delle attività: ti permette di sapere quando le chiavi e gli account di servizio sono stati utilizzati l'ultima volta per chiamare un'API di Google. Per informazioni sull'utilizzo dello Strumento di analisi delle attività, consulta la sezione Visualizzare l'utilizzo recente di account e chiavi di servizio.

  • Approfondimenti sull'account di servizio: gli insight sull'account di servizio sono un tipo di insight che identifica quali account di servizio nel progetto non sono stati utilizzati negli ultimi 90 giorni. Per informazioni su come gestire gli insight sugli account di servizio, consulta l'articolo Trovare gli account di servizio inutilizzati.

Per aiutarti a comprendere le autorizzazioni dell'account di servizio, Policy Intelligence offre approfondimenti sul movimento laterale. Le informazioni sullo spostamento laterale sono un tipo di insight che identifica i ruoli che consentono a un account di servizio in un progetto di impersonare un account di servizio in un altro. Per ulteriori informazioni sugli spostamenti laterali, consulta la sezione Come vengono generate le informazioni sugli spostamenti laterali. Per informazioni su come gestire gli insight sui movimenti laterali, consulta Identificare gli account di servizio con le autorizzazioni di spostamento laterale.

Talvolta gli approfondimenti sul movimento laterale sono collegati ai consigli sul ruolo. I consigli sui ruoli suggeriscono azioni che puoi intraprendere per risolvere i problemi identificati dalle informazioni sui movimenti laterali.

Migliorare le norme

Puoi migliorare i criteri di autorizzazione IAM utilizzando i consigli sui ruoli. I suggerimenti dei ruoli ti aiutano ad applicare il principio del privilegio minimo assicurandoti che le entità dispongano solo delle autorizzazioni necessarie. Ogni suggerimento sui ruoli suggerisce di rimuovere o sostituire un ruolo IAM che concede le entità in eccesso.

Per saperne di più sui suggerimenti sui ruoli, incluso il modo in cui vengono generati, vedi Applicare il privilegio minimo con i suggerimenti sui ruoli.

Per informazioni su come gestire i suggerimenti sui ruoli, consulta Esaminare e applicare i suggerimenti sui ruoli per progetti, cartelle e organizzazioni o Esaminare e applicare i suggerimenti sui ruoli per i bucket Cloud Storage.

Impedisci gli errori di configurazione dei criteri

Policy Simulator ti consente di vedere in che modo una modifica a un criterio di autorizzazione IAM potrebbe influire sull'accesso di un'entità prima di impegnarti a modificarla. Puoi utilizzare Policy Simulator per assicurarti che le modifiche che stai apportando non causeranno la perdita dell'accesso di cui hanno bisogno.

Per scoprire in che modo una modifica a un criterio di autorizzazione IAM può influire sull'accesso di un provider, Policy Simulator determina quali tentativi di accesso degli ultimi 90 giorni hanno risultati diversi rispetto al criterio consentito e al criterio di autorizzazione corrente. Quindi, segnala questi risultati come un elenco delle modifiche di accesso.

Per scoprire di più su Policy Simulator, consulta la panoramica del Simulatore di criteri IAM.

Per informazioni su come utilizzare Policy Simulator per testare le modifiche dei ruoli, vedi Testare le modifiche dei ruoli con IAM Policy Simulator.