Große Organisationen haben oft eine umfangreiche Reihe von Google Cloud Richtlinien, um Ressourcen zu steuern und den Zugriff zu verwalten. Mit Policy Intelligence-Tools können Sie Ihre Richtlinien nachvollziehen und verwalten, um Ihre Sicherheitskonfiguration proaktiv zu verbessern.
In den folgenden Abschnitten wird erläutert, was Sie mit den Policy Intelligence-Tools tun können.
Richtlinien und Nutzung
Es gibt mehrere Policy Intelligence-Tools, mit denen Sie nachvollziehen können, welchen Zugriff Ihre Richtlinien zulassen und wie die Richtlinien verwendet werden.
Zugriff analysieren
Cloud Asset Inventory bietet den Richtlinien-Analyzer für IAM-Zulassungsrichtlinien. Damit können Sie anhand Ihrer IAM-Zulassungsrichtlinien herausfinden, welche Hauptkonten Zugriff auf welcheGoogle Cloud -Ressourcen haben.
Mit dem Richtlinien-Analyzer erhalten Sie Antworten auf Fragen wie die folgenden:
- „Wer hat Zugriff auf dieses IAM-Dienstkonto?“
- „Welche Rollen und Berechtigungen hat dieser Nutzer für dieses BigQuery-Dataset?“
- „Welche BigQuery-Datasets darf dieser Nutzer lesen?“
Mit dem Richtlinien-Analyzer können Sie diese Fragen beantworten und so den Zugriff effektiv verwalten. Sie können den Richtlinien-Analyzer auch für Audit- und Compliance-Aufgaben verwenden.
Weitere Informationen zu Policy Analyzer für Zulassungsrichtlinien finden Sie unter Policy Analyzer – Übersicht.
Informationen zur Verwendung von Policy Analyzer für Zulassungsrichtlinien finden Sie unter IAM-Richtlinien analysieren.
Organisationsrichtlinien analysieren
Policy Intelligence bietet den Policy Analyzer für Organisationsrichtlinien. Damit können Sie eine Analyseabfrage erstellen, um Informationen zu benutzerdefinierten und vordefinierten Organisationsrichtlinien zu erhalten.
Mit der Richtlinienanalyse können Sie eine Liste von Organisationsrichtlinien mit einer bestimmten Einschränkung und die Ressourcen zurückgeben, an die diese Richtlinien angehängt sind.
Informationen zur Verwendung von Policy Analyzer für Organisationsrichtlinien finden Sie unter Vorhandene Organisationsrichtlinien analysieren.
Fehler beim Zugriff beheben
Policy Intelligence bietet die folgenden Tools zur Fehlerbehebung, mit denen Sie Zugriffsprobleme besser nachvollziehen und beheben können:
- Richtlinien-Fehlerbehebung für Identity and Access Management
- Fehlerbehebung für VPC Service Controls
- Policy Troubleshooter für Chrome Enterprise Premium
Mit den Fehlerbehebungen für den Zugriff können Sie „Warum“-Fragen wie die folgenden beantworten:
- „Warum hat dieser Nutzer die Berechtigung
bigquery.datasets.createfür dieses BigQuery-Dataset?“ - „Warum kann dieser Nutzer die Zulassungsrichtlinie dieses Cloud Storage-Bucket nicht aufrufen?“
Weitere Informationen zu diesen Tools zur Fehlerbehebung finden Sie unter Tools zur Fehlerbehebung im Zusammenhang mit dem Zugriff.
Informationen zur Verwendung von Dienstkonten und Berechtigungen
Dienstkonten sind eine spezielle Art von Prinzipal, mit der Sie Anwendungen in Google Cloudauthentifizieren können.
Policy Intelligence bietet die folgenden Funktionen, mit denen Sie die Nutzung von Dienstkonten besser nachvollziehen können:
Aktivitätsanalyse: Mit der Aktivitätsanalyse können Sie sehen, wann Ihre Dienstkonten und Schlüssel zuletzt zum Aufrufen einer Google API verwendet wurden. Informationen zur Verwendung der Aktivitätsanalyse finden Sie unter Aktuelle Nutzung von Dienstkonten und Schlüsseln ansehen.
Dienstkontostatistiken: Dienstkontostatistiken sind eine Art von Statistiken, die angeben, welche Dienstkonten in Ihrem Projekt in den letzten 90 Tagen nicht verwendet wurden. Informationen zum Verwalten von Dienstkontostatistiken finden Sie unter Nicht verwendete Dienstkonten finden.
Policy Intelligence bietet Statistiken zu Lateral Movement, damit Sie die Berechtigungen von Dienstkonten besser nachvollziehen können. Statistiken zum „Lateral Movement“ sind eine Art von Statistik, die Rollen identifizieren, mit denen ein Dienstkonto in einem Projekt die Identität eines Dienstkontos in einem anderen Projekt übernehmen kann. Weitere Informationen zu Statistiken zum „Lateral Movement“ finden Sie unter Statistiken zum „Lateral Movement“ generieren. Informationen zum Verwalten von Statistiken zum „Lateral Movement“ finden Sie unter Dienstkonten mit Berechtigungen für „Lateral Movement“ identifizieren.
Statistiken zum „Lateral Movement“ sind manchmal mit Rollenempfehlungen verknüpft. Rollenempfehlungen enthalten Vorschläge für Maßnahmen, die Sie ergreifen können, um die durch Statistiken zum „Lateral Movement“ ermittelten Probleme zu beheben.
Richtlinien verbessern
Sie können Ihre IAM-Zulassungsrichtlinien mithilfe von Rollempfehlungen verbessern. Mit Rollenempfehlungen können Sie das Prinzip der geringsten Berechtigung erzwingen und Hauptkonten nur die Berechtigungen erteilen, die sie tatsächlich benötigen. Jede Rollenempfehlung schlägt vor, eine IAM-Rolle zu entfernen oder zu ersetzen, die Ihren Hauptkonten unnötige Berechtigungen gewährt.
Weitere Informationen zu Rollenempfehlungen, einschließlich ihrer Generierung, finden Sie unter Geringste Berechtigung mit Rollenempfehlungen erzwingen.
Informationen zum Verwalten von Rollenempfehlungen finden Sie in einem der folgenden Leitfäden:
- Rollenempfehlungen für Projekte, Ordner und Organisationen prüfen und anwenden
- Rollenempfehlungen für Cloud Storage-Buckets prüfen und anwenden
- Rollempfehlungen für BigQuery-Datasets prüfen und anwenden
Fehlerhafte Richtlinienkonfigurationen verhindern
Es gibt mehrere Policy Intelligence-Tools, mit denen Sie sehen können, wie sich Änderungen an Richtlinien auf Ihre Organisation auswirken. Nachdem Sie die Auswirkungen der Änderungen gesehen haben, können Sie entscheiden, ob Sie sie vornehmen möchten.
Änderungen an zugriffsbezogenen Richtlinien testen
Damit Sie sehen können, wie sich eine Änderung an einer zugriffsbezogenen Richtlinie auf den Zugriff Ihrer Hauptkonten auswirken kann, bietet Policy Intelligence die folgenden Richtliniensimulatoren:
- Policy Simulator für Zulassungsrichtlinien
- Policy Simulator für Ablehnungsrichtlinien
- Policy Simulator für Principal Access Boundary-Richtlinien
Mit jedem dieser Simulatoren können Sie sehen, wie sich eine Änderung an einer Richtlinie dieses Typs auf den Zugriff Ihrer Hauptkonten auswirken würde, bevor Sie die Änderung vornehmen. In jedem Simulator wird nur ein Richtlinientyp ausgewertet. Es wird nicht berücksichtigt, ob andere Richtlinientypen den Zugriff erlauben oder blockieren würden.
Änderungen an Organisationsrichtlinien testen
Mit dem Policy Simulator für Organisationsrichtlinien können Sie sich eine Vorschau der Auswirkungen einer neuen benutzerdefinierten Einschränkung oder einer Organisationsrichtlinie ansehen, die eine benutzerdefinierte Einschränkung erzwingt, bevor sie in Ihrer Produktionsumgebung erzwungen wird.
Der Policy Simulator bietet eine Liste der Ressourcen, die gegen die vorgeschlagene Richtlinie verstoßen, bevor sie erzwungen wird. So können Sie diese Ressourcen neu konfigurieren, Ausnahmen anfordern oder den Bereich Ihrer Organisationsrichtlinie ändern, ohne Ihre Entwickler zu stören oder Ihre Umgebung zu beeinträchtigen.
Informationen zur Verwendung des Policy Simulator zum Testen von Änderungen an Organisationsrichtlinien finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.