Policy Intelligence 工具

大型组织通常拥有大量 Google Cloud 政策来控制资源和管理访问权限。Policy Intelligence 工具可帮助您了解和管理政策,以便主动改进安全配置。

以下部分介绍了您可以使用 Policy Intelligence 工具执行哪些操作。

了解政策和用法

多种 Policy Intelligence 工具可帮助您了解政策允许访问的内容以及政策的使用方式。

分析访问权限

Cloud Asset Inventory 提供了政策分析器,可让您根据 IAM 允许政策了解哪些主帐号有权访问哪些 Google Cloud 资源。

政策分析器可帮助您回答如下问题:

  • “谁有权访问此 IAM 服务帐号?”
  • "此用户对此 BigQuery 数据集拥有哪些角色和权限?`
  • “此用户有权读取哪些 BigQuery 数据集?”

通过帮助您回答这些问题,Policy Analyzer 可帮助您有效管理访问权限。此外,您还可以使用 Policy Analyzer 处理与审核相关的任务和合规相关的任务。

如需详细了解政策分析器,请参阅政策分析器概览

如需了解如何使用 Policy Analyzer,请参阅分析 IAM 政策

排查访问权限问题

为帮助您了解和解决访问权限问题,Policy Intelligence 提供了以下问题排查工具:

  • 适用于 Identity and Access Management 允许政策的政策问题排查工具
  • VPC Service Controls 问题排查工具
  • BeyondCorp Enterprise 的政策问题排查工具

访问权限问题排查工具可解答以下问题:

  • “为什么该用户对此 BigQuery 数据集具有 bigquery.datasets.create 权限?”
  • 为什么用户不能查看此 Cloud Storage 存储分区的允许政策?

如需详细了解这些问题排查工具,请参阅与访问权限相关的问题排查工具

了解服务帐号的使用情况和权限

服务帐号是一种特殊类型的主帐号,可用于在 Google Cloud 中对应用进行身份验证。

为了帮助您了解服务帐号的使用情况,Policy Intelligence 提供了以下功能:

  • 活动分析器:通过活动分析器,您可以了解上一次使用服务帐号和密钥来调用 Google API 的时间。如需了解如何使用 Activity 分析器,请参阅查看服务帐号和密钥的近期使用情况

  • 服务帐号数据分析:服务帐号数据分析是一种数据分析,可标识项目中的哪些服务帐号在过去 90 天内未使用。如需了解如何管理服务帐号数据分析,请参阅查找未使用的服务帐号

为帮助您了解服务帐号权限,Policy Intelligence 提供横向移动数据分析。横向移动数据分析是一种数据分析,可识别允许一个项目中的服务帐号模拟另一个项目中的服务帐号的角色。如需详细了解横向移动数据分析,请参阅如何生成侧边移动数据分析。如需了解如何管理横向移动数据分析,请参阅识别具有横向移动权限的服务帐号

Lateral movement insights are sometimes linked to [role

建议](#improve)。角色建议可建议您可以采取哪些措施来修复横向移动数据分析所发现的问题。

改进政策

您可以使用角色建议来改进 IAM 允许政策。角色建议可确保主帐号仅具有其实际需要的权限,从而帮助您强制执行最小权限原则。每项角色建议都建议您移除或替换向主帐号授予额外权限的 IAM 角色

如需详细了解角色建议(包括其生成方式),请参阅使用角色建议强制执行最低权限

如需了解如何管理角色建议,请参阅查看和应用角色建议

防止政策配置错误

通过政策模拟器,您可以先看看对 IAM 允许政策的更改可能会对主帐号的访问权限有何影响,然后再决定是否做出更改。您可以使用政策模拟器来确保所做的更改不会使主帐号失去其所需的访问权限。

为了了解 IAM 允许政策的变化可能会对主帐号的访问权限造成影响,政策模拟器会确定在建议的允许政策和当前允许政策下,过去 90 天内的哪些访问尝试结果有所不同。然后,它会以访问权限变更列表的形式报告这些结果。

如需详细了解政策模拟器,请参阅 IAM 政策模拟器概览

如需了解如何使用政策模拟器测试角色更改,请参阅使用 IAM 政策模拟器测试角色更改