As grandes organizações geralmente têm um conjunto extenso de políticas do Google Cloud para controlar recursos e gerenciar o acesso. As ferramentas do Policy Intelligence ajudam você a entender e gerenciar suas políticas para melhorar proativamente a configuração de segurança.
As seções a seguir explicam o que é possível fazer com as ferramentas do Policy Intelligence.
Entender as políticas e o uso
Há várias ferramentas do Policy Intelligence que ajudam você a entender qual acesso suas políticas permitem e como elas estão sendo usadas.
Analisar acesso
O Inventário de recursos do Cloud fornece a ferramenta Análise de políticas políticas para políticas de permissão do IAM, que permite descobrir quais principais têm acesso a quais recursos do Google Cloud com base nas políticas de permissão do IAM.
A ferramenta Análise de políticas políticas ajuda a responder perguntas como estas:
- "Quem tem acesso a esta conta de serviço do IAM?"
- "Quais papéis e permissões este usuário tem no conjunto de dados do BigQuery?"
- "Quais conjuntos de dados do BigQuery esse usuário tem permissão para ler?"
Ao ajudar a responder a essas perguntas, a ferramenta Análise de políticas políticas permite administrar o acesso de maneira eficaz. Também é possível usar a ferramenta Análise de políticas políticas para tarefas relacionadas a auditoria e conformidade.
Para saber mais sobre a ferramenta Análise de políticas para políticas de permissão, consulte Visão geral da ferramenta Análise de políticas políticas.
Para saber como usar a ferramenta Análise de políticas de permissão, consulte Como analisar políticas do IAM.
Analisar políticas da organização
O Policy Intelligence fornece a ferramenta Análise de políticas da organização, que pode ser usada para criar uma consulta de análise para conseguir informações sobre políticas personalizadas e predefinidas da organização.
Use a ferramenta Análise de políticas políticas para retornar uma lista de políticas da organização com uma restrição específica e os recursos aos quais essas políticas estão anexadas.
Para saber como usar a ferramenta Análise de políticas da organização, consulte Analisar políticas da organização existentes.
Resolver problemas de acesso
Para ajudar você a entender e corrigir problemas de acesso, o Policy Intelligence oferece os seguintes solucionadores de problemas:
- Solucionador de problemas de políticas para o Identity and Access Management
- Solucionador de problemas do VPC Service Controls
- Solucionador de problemas de políticas para BeyondCorp Enterprise
Os solucionadores de problemas de acesso ajudam a responder perguntas do tipo "por que" como as seguintes:
- "Por que este usuário tem a permissão
bigquery.datasets.createneste conjunto de dados do BigQuery?" - "Por que este usuário não consegue visualizar a política de permissão deste bucket do Cloud Storage?"
Para saber mais sobre esses solucionadores de problemas, consulte Solucionadores de problemas relacionados ao acesso.
Entender o uso e as permissões da conta de serviço
As contas de serviço são um tipo especial de principal que pode ser usado para autenticar aplicativos no Google Cloud.
Para ajudar você a entender o uso da conta de serviço, o Policy Intelligence oferece os seguintes recursos:
Analisador de atividades: o Analisador de atividades permite conferir quando suas contas e chaves de serviço foram usadas pela última vez para chamar uma API do Google. Para saber como usar o Activity Analyzer, consulte Visualizar o uso recente de contas de serviço e chaves.
Insights da conta de serviço: são um tipo de insight que identifica quais contas de serviço no projeto não foram usadas nos últimos 90 dias. Para saber como gerenciar insights de conta de serviço, consulte Encontrar contas de serviço não usadas.
Para ajudar você a entender as permissões da conta de serviço, o Policy Intelligence oferece insights de movimentação lateral. Os insights de movimentação lateral são um tipo de insight que identificam papéis que permitem que uma conta de serviço em um projeto represente uma conta de serviço em outro. Para mais informações sobre insights de movimentação lateral, consulte Como os insights de movimentação lateral são gerados. Para saber como gerenciar insights de movimentação lateral, consulte Identificar contas de serviço com permissões de movimentação lateral.
Os insights de movimentação lateral às vezes estão vinculados a recomendações de papéis. As recomendações de papéis sugerem ações que podem ser tomadas para corrigir os problemas identificados pelos insights de movimentação lateral.
Melhore suas políticas
É possível melhorar as políticas de permissão do IAM usando recomendações de papéis. As recomendações de papéis ajudam a aplicar o princípio de privilégio mínimo, garantindo que os principais tenham apenas as permissões de que realmente precisam. Cada recomendação de papel sugere que você remova ou substitua um papel do IAM que conceda permissões excessivas aos principais.
Para saber mais sobre recomendações de papéis, incluindo como elas são geradas, consulte Aplicar privilégio mínimo com recomendações de papéis.
Para saber como gerenciar recomendações de papéis, consulte um dos seguintes guias:
- Revisar e aplicar recomendações de papéis para projetos, pastas e organizações
- Analisar e aplicar recomendações de papéis nos buckets do Cloud Storage
- Revise e aplique recomendações de papéis para conjuntos de dados do BigQuery
Evitar configurações incorretas de políticas
Há várias ferramentas Policy Intelligence que podem ser usadas para ver como as alterações nas políticas afetarão sua organização. Depois de ver o efeito das mudanças, você pode decidir se quer ou não fazer isso.
Testar alterações na política de permissão do IAM
O Simulador de política para políticas de permissão do IAM permite ver como uma alteração em uma política de permissão do IAM pode afetar o acesso de um principal antes de se comprometer a fazer a alteração. É possível usar o Simulador de política para verificar se as alterações feitas não causarão a perda do acesso necessário.
Para descobrir como uma alteração em uma política de permissão do IAM pode afetar o acesso de um principal, o Simulador de política determina quais tentativas de acesso dos últimos 90 dias têm resultados diferentes de acordo com a política de permissão proposta e a atual. Em seguida, ele informa esses resultados como uma lista de alterações de acesso.
Para saber mais sobre o Simulador de política, consulte a Visão geral do simulador de política do IAM.
Para saber como usar o Simulador de política para testar alterações de papel, consulte Testar alterações de papel com o Simulador de política do IAM.
Testar mudanças na política da organização
Simulador de política para políticas da organização permite visualizar o impacto de uma nova restrição personalizada ou política da organização que aplica uma restrição personalizada antes que ela seja aplicada no ambiente de produção.
O Simulador de política oferece uma lista de recursos que violam a política proposta antes que ela seja aplicada. Assim, é possível reconfigurar esses recursos, solicitar exceções ou alterar o escopo da política da organização, tudo sem interromper os desenvolvedores ou desativar seu ambiente.
Para aprender a usar o Simulador de política para testar alterações nas políticas da organização, consulte Testar alterações na política da organização com o Simulador de política.