Descripción general de Policy Intelligence

Las grandes organizaciones suelen tener un amplio conjunto de políticas para controlar los recursos y administrar el acceso. Herramientas de Policy Intelligence ayudarte a comprender y administrar tus políticas para mejorar de forma proactiva la configuración de seguridad de tu organización.

En las siguientes secciones, se explica lo que puedes hacer con las herramientas de Policy Intelligence.

Comprende las políticas y su uso

Existen varias herramientas de Policy Intelligence que te ayudan a comprender qué accesos permiten tus políticas y cómo se usan.

Analiza el acceso

Cloud Asset Inventory proporciona los permisos de Analizador de políticas para IAM de servicio, lo que te permite descubrir qué principales tienen acceso a cuáles recursos de Google Cloud basados en tus Políticas de permisos de IAM.

El Analizador de políticas te ayuda a responder preguntas como las siguientes:

• "¿Quién tiene acceso a esta cuenta de servicio de IAM?"
• “¿Qué funciones y permisos tiene el usuario en este conjunto de datos de BigQuery?”
• "¿En qué conjuntos de datos de BigQuery el usuario tiene permiso para leer?"

Al ayudarte a responder estas preguntas, el Analizador de políticas te permite administrar el acceso de forma eficaz. También puedes usar el Analizador de políticas para tareas relacionadas con la auditoría y el cumplimiento.

Si quieres obtener más información sobre el Analizador de políticas para las políticas de permisos, consulta Descripción general del Analizador de políticas.

Si quieres obtener información sobre cómo usar el Analizador de políticas para las políticas de permisos, consulta Analiza las políticas de IAM.

Analiza las políticas de la organización

Policy Intelligence proporciona un Analizador de políticas para Política de la organización, que puedes usar para crear una consulta de análisis para obtener información sobre políticas de la organización personalizadas y predefinidas.

Puedes usar el Analizador de políticas para mostrar una lista de las políticas de la organización con una restricción en particular y los recursos a los que se adjuntan esas políticas.

Si quieres saber cómo usar el Analizador de políticas para la política de la organización, consulta Analiza las políticas de la organización existentes.

Cómo solucionar problemas de acceso

Para ayudarte a comprender y solucionar problemas de acceso, Policy Intelligence ofrece los siguientes solucionadores de problemas:

• Solucionador de problemas de políticas para Identity and Access Management
• Solucionador de problemas de los Controles del servicio de VPC
• Solucionador de problemas de políticas para Chrome Enterprise Premium

El solucionador de problemas de acceso ayuda a responder "por qué" preguntas como las siguientes:

• ¿Por qué el usuario tiene el permiso bigquery.datasets.create en este conjunto de datos de BigQuery?
• "¿Por qué este usuario no puede ver la política de permisos de esta de bucket de Cloud Storage?”.

Para obtener más información sobre estos solucionadores de problemas, consulta el artículo Contenido relacionado con el acceso solucionadores de problemas.

Comprende el uso y los permisos de las cuentas de servicio

Las cuentas de servicio son un tipo especial de principal que puedes usar para autenticar aplicaciones en Google Cloud.

Para ayudarte a comprender el uso de las cuentas de servicio, Policy Intelligence ofrece las siguientes funciones:

• Analizador de actividad: El Analizador de actividad te permite ver cuándo tu servicio. se usaron por última vez para llamar a una API de Google. Para aprender a usar del Analizador de actividad, consulta Visualiza el uso reciente de las cuentas de servicio y claves.

• Estadísticas de cuenta de servicio: Las estadísticas de cuenta de servicio son un tipo de estadísticas que identifiquen qué cuentas de servicio del proyecto tienen no se usó en los últimos 90 días. Para aprender a administrar Estadísticas de cuentas de servicio, consulta Encuentra cuentas de servicio sin usar.

Para ayudarte a comprender los permisos de las cuentas de servicio, Policy Intelligence ofrece información de movimientos laterales. Lado lateral Las estadísticas del movimiento son un tipo de información que identifica los roles que permite que una cuenta de servicio en un proyecto actúe en nombre de una cuenta de servicio en otro proyecto. Para obtener más información sobre las estadísticas de desplazamiento lateral, consulta Cómo se generan estadísticas de desplazamientos laterales. Para obtener información sobre cómo administrar las estadísticas de movimiento lateral, consulta Cómo identificar cuentas de servicio con permisos de movimiento lateral.

A veces, las estadísticas de movimiento lateral se vinculan a las recomendaciones de roles. Las recomendaciones de roles sugieren acciones que puedes realizar para remediar los problemas que identifican las estadísticas de movimiento lateral.

Mejora tus políticas

Puedes mejorar tus políticas de permisos de IAM si haces lo siguiente: con las recomendaciones de roles. Las recomendaciones de roles te ayudan a aplicar el principio de privilegio mínimo, ya que garantiza que las principales solo tengan que realmente necesitan. Cada recomendación de rol sugiere que quites o reemplaces un rol de IAM que otorgue a tus principales exceso permisos.

Para obtener más información sobre las recomendaciones de roles, incluida la forma en que se generan, consulta Aplica el privilegio mínimo con recomendaciones de roles.

Si quieres obtener información para administrar recomendaciones de roles, consulta una de las siguientes guías:

• Revisa y aplica recomendaciones de roles para proyectos, carpetas y organizaciones
• Revisa y aplica las recomendaciones de roles para Cloud Storage buckets
• Revisa y aplica las recomendaciones de roles para BigQuery conjuntos de datos

Evita los parámetros de configuración incorrectos de políticas

Existen varias herramientas de Policy Intelligence que puedes usar para ver cómo los cambios en las políticas afectarán a tu organización. Después de ver efecto de los cambios, puedes decidir si deseas realizarlos o no.

Prueba cambios en las políticas de permisos de IAM

Policy Simulator para políticas de permisos de IAM te permite ver cómo cambio en una política de permisos de IAM puede afectar el acceso de la principal antes de que te comprometas a realizar el cambio. Puedes usarlo para asegurarte de que los cambios que realices no harán que una principal pierda el acceso que necesita.

Para descubrir cómo un cambio en una política de permisos de IAM puede afectar a de la principal, Policy Simulator determina qué intentos de acceso de los últimos 90 días tienen resultados diferentes según la y la política de permisos actual. Luego, informa estos resultados como una una lista de cambios de acceso.

Para obtener más información sobre Policy Simulator, consulta la descripción general del simulador de políticas de IAM.

Si quieres aprender a usar Policy Simulator para probar los cambios de rol, consulta Prueba el rol. cambios con el simulador de políticas de IAM.

Prueba los cambios en las políticas de la organización

Policy Simulator para la política de la organización te permite obtener una vista previa del impacto de una nueva restricción personalizada o política de la organización que aplica una restricción personalizada antes de que se aplique en tu entorno de producción.

Policy Simulator proporciona una lista de los recursos que infringen la política propuesta antes de que se aplique, lo que te permite reconfigurar esos recursos, solicitar excepciones o cambios en el alcance de la política de tu organización, todo sin perturbar a los desarrolladores ni perjudicar el entorno.

A fin de aprender a usar Policy Simulator para probar cambios en las políticas de la organización, consulta Prueba los cambios en las políticas de la organización Simulador.