Las organizaciones grandes suelen tener un conjunto extenso de políticas para controlar los recursos y administrar el acceso. Google Cloud Las herramientas de Policy Intelligence te ayudan a comprender y administrar tus políticas para mejorar de forma proactiva la configuración de seguridad.
En las siguientes secciones, se explica lo que puedes hacer con las herramientas de Policy Intelligence.
Comprende las políticas y el uso
Existen varias herramientas de Policy Intelligence que te ayudan a comprender qué acceso permiten tus políticas y cómo se usan.
Analiza el acceso
Cloud Asset Inventory proporciona el Analizador de políticas para las políticas de permisos de IAM, que te permite averiguar qué principales tienen acceso a quéGoogle Cloud recursos según tus políticas de permisos de IAM.
El Analizador de políticas te ayuda a responder preguntas como las siguientes:
- "¿Quién tiene acceso a esta cuenta de servicio de IAM?"
- “¿Qué roles y permisos tiene el usuario en este conjunto de datos de BigQuery?”
- "¿En qué conjuntos de datos de BigQuery el usuario tiene permiso para leer?"
Al ayudarte a responder estas preguntas, el Analizador de políticas te permite administrar el acceso de manera eficaz. También puedes usar el Analizador de políticas para tareas relacionadas con la auditoría y el cumplimiento.
Para obtener más información sobre el Analizador de políticas para las políticas de permisos, consulta la Descripción general del Analizador de políticas.
Para obtener información sobre cómo usar el Analizador de políticas para las políticas de permiso, consulta Analiza las políticas de IAM.
Analiza las políticas de la organización
Policy Intelligence proporciona el Analizador de políticas para la política de la organización, que puedes usar para crear una consulta de análisis y obtener información sobre las políticas de la organización personalizadas y predefinidas.
Puedes usar el Analizador de políticas para devolver una lista de políticas de la organización con una restricción en particular y los recursos a los que se adjuntan esas políticas.
Para obtener información sobre cómo usar el Analizador de políticas para la política de la organización, consulta Analiza las políticas de la organización existentes.
Cómo solucionar problemas de acceso
Para ayudarte a comprender y solucionar los problemas de acceso, Policy Intelligence ofrece los siguientes solucionadores de problemas:
- Solucionador de problemas de políticas de Identity and Access Management
- Solucionador de problemas de los Controles del servicio de VPC
- Solucionador de problemas de políticas para Chrome Enterprise Premium
Los solucionadores de problemas de acceso ayudan a responder preguntas de tipo "por qué", como las siguientes:
- ¿Por qué el usuario tiene el permiso
bigquery.datasets.createen este conjunto de datos de BigQuery? - “¿Por qué el usuario no puede ver la política de permisos de este bucket de Cloud Storage?”
Para obtener más información sobre estos solucionadores de problemas, consulta Solucionadores de problemas relacionados con el acceso.
Comprende el uso y los permisos de las cuentas de servicio
Las cuentas de servicio son un tipo especial de principal que puedes usar para autenticar aplicaciones en Google Cloud.
Para ayudarte a comprender el uso de las cuentas de servicio, Policy Intelligence ofrece las siguientes funciones:
Analizador de actividad: El Analizador de actividad te permite ver cuándo se usaron por última vez tus cuentas de servicio y claves para llamar a una API de Google. Para obtener información sobre cómo usar el Analizador de actividad, consulta Ve el uso reciente de cuentas de servicio y claves.
Estadísticas de cuentas de servicio: Las estadísticas de cuentas de servicio son un tipo de estadística que identifica las cuentas de servicio de tu proyecto que no se usaron en los últimos 90 días. Para obtener información sobre cómo administrar las estadísticas de las cuentas de servicio, consulta Cómo encontrar cuentas de servicio sin usar.
Para ayudarte a comprender los permisos de las cuentas de servicio, Policy Intelligence ofrece estadísticas de movimiento lateral. Las estadísticas de movimiento lateral son un tipo de estadística que identifica los roles que permiten que una cuenta de servicio en un proyecto actúe en nombre de una cuenta de servicio en otro proyecto. Para obtener más información sobre las estadísticas de movimiento lateral, consulta Cómo se generan las estadísticas de movimiento lateral. Para obtener información sobre cómo administrar las estadísticas de movimiento lateral, consulta Cómo identificar cuentas de servicio con permisos de movimiento lateral.
A veces, las estadísticas de movimiento lateral se vinculan a las recomendaciones de roles. Las recomendaciones de roles sugieren acciones que puedes realizar para corregir los problemas identificados por las estadísticas de movimiento lateral.
Mejora tus políticas
Puedes mejorar tus políticas de permisos de IAM con las recomendaciones de roles. Las recomendaciones de roles te ayudan a aplicar el principio de privilegio mínimo, ya que garantizan que las principales solo tengan los permisos que en verdad necesitan. Cada recomendación de rol sugiere que quites o reemplaces un rol de IAM que otorgue permisos excesivos a tus principales.
Para obtener más información sobre las recomendaciones de roles, incluida la forma en que se generan, consulta Aplica el principio de privilegio mínimo con recomendaciones de roles.
Para obtener información sobre cómo administrar las recomendaciones de roles, consulta una de las siguientes guías:
- Revisa y aplica recomendaciones de roles para proyectos, carpetas y organizaciones
- Revisa y aplica recomendaciones de roles para buckets de Cloud Storage
- Revisa y aplica las recomendaciones de roles para los conjuntos de datos de BigQuery
Evita configuraciones incorrectas de políticas
Existen varias herramientas de Policy Intelligence que puedes usar para ver cómo los cambios en las políticas afectarán a tu organización. Después de ver el efecto de los cambios, puedes decidir si los aplicas o no.
Prueba cambios en las políticas relacionadas con el acceso
Para que puedas ver cómo un cambio en una política relacionada con el acceso puede afectar el acceso de tus principales, Policy Intelligence proporciona los siguientes simuladores de políticas:
- Simulador de política para políticas de permisos
- Simulador de política para políticas de denegación
- Simulador de políticas para las Políticas de Límite de Acceso de las Principales
Cada uno de estos simuladores te permite ver cómo un cambio en una política de ese tipo afectaría el acceso de tus principales antes de que confirmes el cambio. Cada simulador solo evalúa un tipo de política, y no tiene en cuenta si otros tipos de políticas permitirían o bloquearían el acceso.
Prueba los cambios en la política de la organización
Policy Simulator para la política de la organización te permite obtener una vista previa del impacto de una nueva restricción personalizada o política de la organización que aplique una restricción personalizada antes de que se aplique en tu entorno de producción.
Policy Simulator proporciona una lista de los recursos que incumplen la política propuesta antes de que se aplique, lo que te permite reconfigurar esos recursos, solicitar excepciones o cambiar el alcance de tu política de la organización, todo sin interrumpir a tus desarrolladores ni inhabilitar tu entorno.
Para obtener información sobre cómo usar Policy Simulator para probar cambios en las políticas de la organización, consulta Prueba los cambios en las políticas de la organización con Policy Simulator.