大規模な組織には、多くの場合、リソースを制御し、アクセスを管理するための広範な Google Cloud ポリシーのセットが存在します。Policy Intelligence ツールを使用すると、ポリシーを把握して管理でき、セキュリティ構成を事前に改善できます。
以降のセクションでは、Policy Intelligence ツールで可能な操作について説明します。
ポリシーと使用状況について
ポリシーで許可されているアクセスとポリシーの使用方法を把握する際に活用できる Policy Intelligence ツールがいくつか用意されています。
アクセスの分析
Cloud Asset Inventory は、IAM 許可ポリシー用の Policy Analyzer を提供します。これによって、IAM 許可ポリシーに基づいて、どのようなプリンシパルに対してどの Google Cloud リソースへのアクセス権が付与されているかを調べることができます。
Policy Analyzer によって、次のような疑問に答えることができます。
- 「この IAM サービス アカウントにアクセスできるユーザーは誰か」
- 「この BigQuery データセットに対してこのユーザーが持つロールと権限は何か」
- 「このユーザーが読み取りの権限を持つ BigQuery データセットはどれか」
Policy Analyzer は、これらの質問に答えることで、アクセスを効果的に管理できます。Policy Analyzer は、監査関連のタスクやコンプライアンス関連のタスクにも使用できます。
許可ポリシー用の Policy Analyzer の詳細については、Policy Analyzer の概要をご覧ください。
Policy Analyzer を使用して許可ポリシーを有効にする方法については、IAM ポリシーの分析をご覧ください。
組織のポリシーを分析
Policy Intelligence は、組織のポリシー用の Policy Analyzer を提供します。これを使用して分析クエリを作成し、カスタムおよび事前定義の組織のポリシーの両方に関する情報を取得できます。
Policy Analyzer を使用して、特定の制約を持つ組織ポリシーのリストと、それらのポリシーが適用されるリソースを返すことができます。
組織のポリシーに Policy Analyzer を使用する方法については、既存の組織のポリシーを分析するをご覧ください。
アクセス権に関する問題のトラブルシューティング
Policy Intelligence には、アクセス権に関する問題を理解し、解決するため、次のトラブルシューティングが用意されています。
- Identity and Access Management のポリシーに関するトラブルシューティング
- VPC Service Controls のトラブルシューティング
- BeyondCorp Enterprise のポリシーに関するトラブルシューティング
アクセス権のトラブルシューティングでは、次のような「理由」に関する疑問に答えることができます。
- 「この BigQuery データセットに対する
bigquery.datasets.create権限がこのユーザーに付与されているのはなぜか」 - 「このユーザーが、この Cloud Storage バケットの許可ポリシーを表示できないのはなぜか」
これらのトラブルシューティングの詳細については、アクセス権関連のトラブルシューティングをご覧ください。
サービス アカウントの使用状況と権限について
サービス アカウントは、Google Cloud でアプリケーションの認証に使用できる特別なタイプのプリンシパルです。
Policy Intelligence は、サービス アカウントの使用状況を把握する際に活用できる次の機能を備えています。
Activity Analyzer: Activity Analyzer を使用すると、サービス アカウントとキーが Google API の呼び出しに最後に使用されたのがいつかを確認できます。Activity Analyzer の使用方法については、サービス アカウントとキーの最近の使用状況を表示するをご覧ください。
サービス アカウントの分析情報: サービス アカウントの分析情報は、プロジェクトで過去 90 日間に使用されていないサービス アカウントを識別する分析情報の一種です。サービス アカウントの分析情報を管理する方法については、使用されていないサービス アカウントを見つけるをご覧ください。
Policy Intelligence は、サービス アカウントの権限を理解できるよう、ラテラル ムーブメントに関する分析情報を提供します。ラテラル ムーブメントに関する分析情報は、あるプロジェクトのサービス アカウントが、別のプロジェクトのサービス アカウントになりすますことを可能にするロールを識別する分析情報の一種です。ラテラル ムーブメントの分析情報の詳細については、ラテラル ムーブメントの分析情報の生成方法をご覧ください。ラテラル ムーブメントの分析情報を管理する方法については、ラテラル ムーブメントの権限があるサービス アカウントを特定するをご覧ください。
ラテラル ムーブメントの分析情報は、ロールの推奨事項とリンクされる場合があります。ロールの推奨事項は、ラテラル ムーブメントの分析情報によって特定された問題を修正するために実行できるアクションを提案します。
ポリシーを改善する
ロールに関する推奨事項を使用すると、IAM 許可ポリシーを改善できます。ロールの推奨事項により、プリンシパルが実際に必要な権限のみを持つようにすることで、最小権限の原則を徹底できます。各ロールの推奨事項によって、プリンシパルに過剰な権限を付与している IAM ロールの削除または置換が提案されます。
ロールの推奨事項とその生成方法について詳しくは、ロールの推奨事項を使用して最小権限を適用するをご覧ください。
ロールの推奨事項を管理する方法については、次のいずれかのガイドをご覧ください。
- プロジェクト、フォルダ、組織に対するロールの推奨事項を確認して適用する
- Cloud Storage バケットのロールの推奨事項を確認して適用する
- BigQuery データセットのロールの推奨事項を確認して適用する
ポリシーの構成ミスを防止する
ポリシーの変更が組織に与える影響を確認するために、いくつかの Policy Intelligence ツールを使用できます。変更の効果を確認したら、変更を行うかどうかを決定できます。
IAM 許可ポリシーの変更をテストする
IAM 許可ポリシーの Policy Simulator では、変更を commit する前に、IAM 許可ポリシーへの変更がプリンシパルのアクセス権にどのように影響するかを確認できます。Policy Simulator を使用して、変更を行うことによりプリンシパルが必要なアクセス権を失わないようにできます。
IAM 許可ポリシーへの変更がプリンシパルのアクセス権にどのように影響するかを確認するため、Policy Simulator は、提案した許可ポリシーと現在の許可ポリシーで過去 90 日間のどのアクセス試行の結果が異なるかを判断します。その後、結果がアクセス権の変更のリストとしてレポートされます。
Policy Simulator の詳細については、IAM Policy Simulator の概要をご覧ください。
Policy Simulator を使用してロールの変更をテストする方法については、IAM Policy Simulator でロールの変更をテストするをご覧ください。
組織のポリシーの変更をテストする
組織のポリシー用の Policy Simulator を使用すると、本番環境に適用する前に、新しいカスタム制約またはカスタム制約を適用する組織のポリシーの影響をプレビューできます。
Policy Simulator は、提案されたポリシーに違反する前に適用されるリソースのリストを提供します。これにより、これらのリソースを再構成し、例外をリクエストし、組織ポリシーの範囲を中断することなく、デベロッパーと連携するなどして、環境をダウンさせます。
Policy Simulator を使用して組織のポリシーへの変更をテストする方法については、Policy Simulator で組織のポリシーへの変更をテストするをご覧ください。