Las grandes organizaciones suelen tener un amplio conjunto de Google Cloud políticas para controlar los recursos y gestionar el acceso. Las herramientas de Policy Intelligence te ayudan a comprender y gestionar tus políticas para mejorar de forma proactiva tu configuración de seguridad.
En las siguientes secciones se explica qué puedes hacer con las herramientas de Estadísticas de políticas.
Información sobre las políticas y el uso
Hay varias herramientas de Policy Intelligence que te ayudan a entender a qué pueden acceder tus políticas y cómo se están usando.
Analizar el acceso
Cloud Asset Inventory proporciona Analizador de políticas para las políticas de permisos de gestión de identidades y accesos, lo que te permite saber qué principales tienen acceso a quéGoogle Cloud recursos en función de tus políticas de permisos de gestión de identidades y accesos.
Analizador de políticas te ayuda a responder preguntas como las siguientes:
- "¿Quién tiene acceso a esta cuenta de servicio de gestión de identidades y accesos?"
- "¿Qué roles y permisos tiene este usuario en este conjunto de datos de BigQuery?"
- "¿A qué conjuntos de datos de BigQuery tiene permiso para leer este usuario?"
Al ayudarte a responder estas preguntas, Analizador de políticas te permite gestionar el acceso de forma eficaz. También puedes usar Analizador de políticas para realizar tareas relacionadas con auditorías y cumplimiento.
Para obtener más información sobre el Analizador de políticas de las políticas de permiso, consulte la descripción general del Analizador de políticas.
Para saber cómo usar el analizador de políticas en las políticas de permiso, consulta Analizar políticas de gestión de identidades y accesos.
Analizar políticas de organización
Policy Intelligence proporciona Policy Analyzer para políticas de organización, que puedes usar para crear una consulta de análisis y obtener información sobre políticas de organización personalizadas y predefinidas.
Puedes usar Analizador de políticas para obtener una lista de políticas de la organización con una restricción concreta y los recursos a los que están asociadas esas políticas.
Para saber cómo usar Analizador de políticas para la política de organización, consulta Analizar políticas de organización actuales.
Solucionar problemas de acceso
Para ayudarte a comprender y solucionar los problemas de acceso, Policy Intelligence ofrece las siguientes herramientas:
- Solucionador de problemas de políticas de gestión de identidades y accesos
- Herramienta para solucionar problemas de Controles de Servicio de VPC
- Solucionador de problemas de políticas de Chrome Enterprise Premium
Las herramientas para solucionar problemas de acceso te ayudan a responder preguntas como las siguientes:
- "¿Por qué tiene este usuario el permiso
bigquery.datasets.createen este conjunto de datos de BigQuery?" - "¿Por qué este usuario no puede ver la política de permisos de este contenedor de Cloud Storage?"
Para obtener más información sobre estas herramientas, consulta Herramientas para solucionar problemas relacionados con el acceso.
Información sobre el uso y los permisos de las cuentas de servicio
Las cuentas de servicio son un tipo especial de principal que puedes usar para autenticar aplicaciones en Google Cloud.
Para ayudarte a entender el uso de las cuentas de servicio, Estadísticas de políticas ofrece las siguientes funciones:
Analizador de actividad: te permite ver cuándo se usaron por última vez tus cuentas de servicio y claves para llamar a una API de Google. Para saber cómo usar el analizador de actividad, consulta Ver el uso reciente de claves y cuentas de servicio.
Información valiosa sobre cuentas de servicio: este tipo de información valiosa identifica las cuentas de servicio de tu proyecto que no se han usado en los últimos 90 días. Para saber cómo gestionar las estadísticas de las cuentas de servicio, consulta el artículo Buscar cuentas de servicio sin usar.
Para ayudarte a entender los permisos de las cuentas de servicio, Policy Intelligence ofrece información valiosa sobre los movimientos laterales. Las estadísticas de movimiento lateral son un tipo de estadísticas que identifican los roles que permiten que una cuenta de servicio de un proyecto suplante la identidad de una cuenta de servicio de otro proyecto. Para obtener más información sobre las estadísticas de movimientos laterales, consulta el artículo Cómo se generan las estadísticas de movimientos laterales. Para saber cómo gestionar la información valiosa sobre movimientos laterales, consulta Identificar cuentas de servicio con permisos de movimiento lateral.
En ocasiones, las estadísticas de movimiento lateral se vinculan a recomendaciones de roles. Las recomendaciones de roles sugieren acciones que puedes llevar a cabo para solucionar los problemas identificados por la información valiosa sobre movimientos laterales.
Mejorar tus políticas
Puedes mejorar tus políticas de permiso de gestión de identidades y accesos usando recomendaciones de roles. Las recomendaciones de roles te ayudan a aplicar el principio de mínimos accesos, ya que aseguran que las entidades de seguridad solo tengan los permisos que realmente necesitan. Cada recomendación de rol sugiere que elimines o sustituyas un rol de gestión de identidades y accesos que otorga a tus principales permisos excesivos.
Para obtener más información sobre las recomendaciones de roles, incluido cómo se generan, consulta el artículo Implementar obligatoriamente los mínimos accesos con recomendaciones de roles.
Para saber cómo gestionar las recomendaciones de roles, consulta una de las siguientes guías:
- Revisar y aplicar recomendaciones de roles para proyectos, carpetas y organizaciones
- Revisar y aplicar recomendaciones de roles para segmentos de Cloud Storage
- Revisar y aplicar recomendaciones de roles para conjuntos de datos de BigQuery
Evitar errores de configuración de las políticas
Hay varias herramientas de Estadísticas de políticas que puedes usar para ver cómo afectarán los cambios en las políticas a tu organización. Después de ver el efecto de los cambios, puede decidir si los aplica o no.
Probar los cambios en las políticas relacionadas con el acceso
Para que puedas ver cómo puede afectar a los principales un cambio en una política relacionada con el acceso, la función Estadísticas de políticas ofrece los siguientes simuladores de políticas:
- Simulador de política para políticas de permiso
- Simulador de política para políticas de denegación
- Simulador de política para políticas de límites de acceso de principales
Cada uno de estos simuladores te permite ver cómo afectaría un cambio en una política de ese tipo al acceso de tus principales antes de confirmar el cambio. Cada simulador solo evalúa un tipo de política, por lo que no tiene en cuenta si otros tipos de políticas permitirían o bloquearían el acceso.
Probar los cambios en las políticas de organización
El simulador de políticas de la organización te permite previsualizar el impacto de una nueva restricción personalizada o de una política de la organización que aplique una restricción personalizada antes de que se aplique en tu entorno de producción.
El simulador de políticas proporciona una lista de recursos que infringen la política propuesta antes de que se aplique, lo que te permite reconfigurar esos recursos, solicitar excepciones o cambiar el ámbito de tu política de la organización, todo ello sin interrumpir el trabajo de tus desarrolladores ni provocar que tu entorno deje de funcionar.
Para saber cómo usar el simulador de políticas para probar los cambios en las políticas de la organización, consulta el artículo Probar los cambios en las políticas de la organización con el simulador de políticas.