Policy Intelligence – Übersicht

Große Organisationen haben oft eine umfangreiche Reihe von Google Cloud-Richtlinien, um Ressourcen zu steuern und den Zugriff zu verwalten. Mit Policy Intelligence-Tools können Sie Ihre Richtlinien nachvollziehen und verwalten, um Ihre Sicherheitskonfiguration proaktiv zu verbessern.

In den folgenden Abschnitten wird erläutert, was Sie mit den Policy Intelligence-Tools tun können.

Richtlinien und Nutzung

Es gibt mehrere Policy Intelligence-Tools, die Ihnen helfen, zu verstehen, welchen Zugriff Ihre Richtlinien zulassen und wie sie verwendet werden.

Zugriff analysieren

Cloud Asset Inventory bietet den Richtlinien-Analyzer für IAM-Zulassungsrichtlinien, mit dem Sie anhand Ihrer IAM-Zulassungsrichtlinien herausfinden können, welche Hauptkonten Zugriff auf welche Google Cloud-Ressourcen haben.

Mit dem Richtlinien-Analyzer erhalten Sie Antworten auf Fragen wie die folgenden:

• „Wer hat Zugriff auf dieses IAM-Dienstkonto?“
• „Welche Rollen und Berechtigungen hat dieser Nutzer für dieses BigQuery-Dataset?“
• „Welche BigQuery-Datasets darf dieser Nutzer lesen?“

Mit dem Richtlinien-Analyzer können Sie diese Fragen beantworten und so den Zugriff effektiv verwalten. Sie können den Richtlinien-Analyzer auch für Audit- und Compliance-Aufgaben verwenden.

Weitere Informationen zu Policy Analyzer für „allow“-Richtlinien finden Sie unter Policy Analyzer – Übersicht.

Informationen zur Verwendung des Richtlinien-Analysetools für Zulassungsrichtlinien finden Sie unter IAM-Richtlinien analysieren.

Organisationsrichtlinien analysieren

Policy Intelligence bietet den Richtlinien-Analyzer für die Organisationsrichtlinie. Mit diesem können Sie eine Analyseabfrage erstellen, um Informationen zu benutzerdefinierten und vordefinierten Organisationsrichtlinien zu erhalten.

Mit der Richtlinienanalyse können Sie eine Liste von Organisationsrichtlinien mit einer bestimmten Einschränkung und den Ressourcen zurückgeben, an die diese Richtlinien angehängt sind.

Informationen zur Verwendung des Richtlinien-Analysetools für Organisationsrichtlinien finden Sie unter Vorhandene Organisationsrichtlinien analysieren.

Fehler beim Zugriff beheben

Policy Intelligence bietet die folgenden Tools zur Fehlerbehebung, mit denen Sie Zugriffsprobleme besser verstehen und beheben können:

• Richtlinien-Problembehandlung für Identity and Access Management
• VPC Service Controls-Fehlerbehebung
• Policy Troubleshooter für Chrome Enterprise Premium

Mit den Fehlerbehebungen für den Zugriff können Sie „Warum“-Fragen wie die folgenden beantworten:

• „Warum hat dieser Nutzer die Berechtigung bigquery.datasets.create für dieses BigQuery-Dataset?“
• „Warum kann dieser Nutzer die Zulassungsrichtlinie dieses Cloud Storage-Bucket nicht aufrufen?“

Weitere Informationen zu diesen Problembehandlungen finden Sie unter Zugriffsbezogene Problembehandlungen.

Informationen zur Verwendung und Berechtigungen von Dienstkonten

Dienstkonten sind eine spezielle Art von Identität, mit der Sie Anwendungen in Google Cloud authentifizieren können.

Policy Intelligence bietet die folgenden Funktionen, mit denen Sie die Nutzung von Dienstkonten besser nachvollziehen können:

• Aktivitätsanalyse: Mit der Aktivitätsanalyse können Sie sehen, wann Ihre Dienstkonten und Schlüssel zuletzt zum Aufrufen einer Google API verwendet wurden. Informationen zur Verwendung der Aktivitätsanalyse finden Sie unter Aktuelle Nutzung von Dienstkonten und Schlüsseln ansehen.

• Dienstkontostatistiken: Dienstkontostatistiken sind eine Art von Statistik, mit der Sie ermitteln können, welche Dienstkonten in Ihrem Projekt in den letzten 90 Tagen nicht verwendet wurden. Informationen zum Verwalten von Dienstkontostatistiken finden Sie unter Nicht verwendete Dienstkonten finden.

Policy Intelligence bietet Statistiken zu lateralen Bewegungen, die Ihnen helfen können, die Berechtigungen von Dienstkonten besser zu verstehen. Statistiken zum „Lateral Movement“ sind eine Art von Statistik, mit denen Rollen identifiziert werden, mit denen ein Dienstkonto in einem Projekt die Identität eines Dienstkontos in einem anderen Projekt übernehmen kann. Weitere Informationen zu Statistiken zum „Lateral Movement“ finden Sie unter Statistiken zum „Lateral Movement“ generieren. Informationen zum Verwalten von Statistiken für „Lateral Movement“ finden Sie unter Dienstkonten mit Berechtigungen für „Lateral Movement“ identifizieren.

Statistiken zum „Lateral Movement“ sind manchmal mit Rollenempfehlungen verknüpft. In Rollenempfehlungen werden Maßnahmen vorgeschlagen, mit denen Sie die Probleme beheben können, die in den Statistiken zum „Lateral Movement“ identifiziert wurden.

Richtlinien verbessern

Mithilfe von Rollenempfehlungen können Sie Ihre IAM-Zulassungsrichtlinien optimieren. Mit Rollenempfehlungen können Sie das Prinzip der geringsten Berechtigung erzwingen und Hauptkonten nur die Berechtigungen erteilen, die sie tatsächlich benötigen. Bei jeder Rollenempfehlung wird empfohlen, eine IAM-Rolle zu entfernen oder zu ersetzen, die Ihren Hauptkonten unnötige Berechtigungen gewährt.

Weitere Informationen zu Rollenempfehlungen, einschließlich ihrer Generierung, finden Sie unter Geringste Berechtigung mit Rollenempfehlungen erzwingen.

Informationen zum Verwalten von Rollenempfehlungen finden Sie in den folgenden Anleitungen:

• Rollenempfehlungen für Projekte, Ordner und Organisationen prüfen und anwenden
• Rollenempfehlungen für Cloud Storage-Buckets prüfen und anwenden
• Rollenempfehlungen für BigQuery-Datasets prüfen und anwenden

Fehlerhafte Richtlinienkonfigurationen verhindern

Es gibt mehrere Policy Intelligence-Tools, mit denen Sie sehen können, wie sich Änderungen an Richtlinien auf Ihre Organisation auswirken. Nachdem Sie die Auswirkungen der Änderungen gesehen haben, können Sie entscheiden, ob Sie sie vornehmen möchten.

Änderungen an IAM-Zulassungsrichtlinien testen

Mit dem Policy Simulator für IAM-Zulassungsrichtlinien können Sie sehen, wie sich eine Änderung an einer IAM-Zulassungsrichtlinie auf den Zugriff eines Hauptkontos auswirken kann, bevor Sie die Änderung vornehmen. Mit dem Richtliniensimulator können Sie dafür sorgen, dass Änderungen nicht dazu führen, dass ein Hauptkonto den erforderlichen Zugriff verliert.

Um herauszufinden, wie sich eine Änderung an einer IAM-Zulassungsrichtlinie auf den Zugriff eines Hauptkontos auswirken kann, ermittelt der Policy Simulator, welche Zugriffsversuche in den letzten 90 Tagen unter der vorgeschlagenen Zulassungsrichtlinie und der aktuellen Zulassungsrichtlinie zu unterschiedlichen Ergebnissen führen. Die Ergebnisse werden als Liste der Zugriffsänderungen gemeldet.

Weitere Informationen zum Richtliniensimulator finden Sie unter IAM Policy Simulator – Übersicht.

Weitere Informationen zum Testen von Rollenänderungen mit dem Policy Simulator finden Sie unter Rollenänderungen mit dem IAM-Richtliniensimulator testen.

Änderungen an Organisationsrichtlinien testen

Mit dem Policy Simulator für Organisationsrichtlinien können Sie sich eine Vorschau der Auswirkungen einer neuen benutzerdefinierten Einschränkung oder einer Organisationsrichtlinie ansehen, die eine benutzerdefinierte Einschränkung erzwingt, bevor sie in Ihrer Produktionsumgebung erzwungen wird.

Der Policy Simulator stellt eine Liste der Ressourcen bereit, die gegen die vorgeschlagene Richtlinie verstoßen, bevor sie erzwungen wird. So können Sie diese Ressourcen neu konfigurieren, Ausnahmen beantragen oder den Geltungsbereich Ihrer Organisationsrichtlinie ändern, ohne die Entwickler zu beeinträchtigen oder Ihre Umgebung zu beeinträchtigen.

Weitere Informationen dazu, wie Sie mit dem Policy Simulator Änderungen an Organisationsrichtlinien testen, finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.