Organisasi besar sering kali memiliki serangkaian kebijakan yang luas untuk mengontrol resource dan mengelola akses. Google Cloud Alat Policy Intelligence membantu Anda memahami dan mengelola kebijakan untuk meningkatkan konfigurasi keamanan secara proaktif.
Bagian berikut menjelaskan apa yang dapat Anda lakukan dengan alat Policy Intelligence.
Memahami kebijakan dan penggunaan
Ada beberapa alat Policy Intelligence yang membantu Anda memahami akses yang diizinkan oleh kebijakan dan cara penggunaan kebijakan tersebut.
Menganalisis akses
Inventaris Aset Cloud menyediakan Penganalisis Kebijakan untuk kebijakan izinkan IAM, yang memungkinkan Anda mengetahui akun utama mana yang memiliki akses keGoogle Cloud resource mana berdasarkan kebijakan izinkan IAM Anda.
Penganalisis Kebijakan membantu Anda menjawab pertanyaan seperti berikut:
- "Siapa yang memiliki akses ke akun layanan IAM ini?"
- "Apa saja peran dan izin yang dimiliki pengguna ini pada set data BigQuery ini?"
- "Set data BigQuery mana yang izin bacanya dimiliki pengguna ini?"
Dengan membantu Anda menjawab pertanyaan ini, Penganalisis Kebijakan memungkinkan Anda mengelola akses secara efektif. Anda juga dapat menggunakan Penganalisis Kebijakan untuk tugas terkait audit dan kepatuhan.
Untuk mempelajari lebih lanjut Penganalisis Kebijakan untuk kebijakan izin, lihat Ringkasan Penganalisis Kebijakan.
Untuk mempelajari cara menggunakan Penganalisis Kebijakan untuk kebijakan izinkan, lihat Menganalisis kebijakan IAM.
Menganalisis kebijakan organisasi
Policy Intelligence menyediakan Penganalisis Kebijakan untuk Kebijakan Organisasi, yang dapat Anda gunakan untuk membuat kueri analisis guna mendapatkan informasi tentang kebijakan organisasi khusus dan standar.
Anda dapat menggunakan Penganalisis Kebijakan untuk menampilkan daftar kebijakan organisasi dengan batasan tertentu dan resource yang terlampir pada kebijakan tersebut.
Untuk mempelajari cara menggunakan Penganalisis Kebijakan untuk Kebijakan Organisasi, lihat Menganalisis kebijakan organisasi yang ada.
Memecahkan masalah akses
Untuk membantu Anda memahami dan mengatasi masalah akses, Policy Intelligence menawarkan pemecah masalah berikut:
- Pemecah Masalah Kebijakan untuk Identity and Access Management
- Pemecah masalah Kontrol Layanan VPC
- Pemecah Masalah Kebijakan untuk Chrome Enterprise Premium
Pemecah masalah akses membantu menjawab pertanyaan "mengapa" seperti berikut:
- "Mengapa pengguna ini memiliki izin
bigquery.datasets.createpada set data BigQuery ini?" - "Mengapa pengguna ini tidak dapat melihat kebijakan izin bucket Cloud Storage ini?"
Untuk mempelajari pemecah masalah ini lebih lanjut, lihat Pemecah masalah terkait akses.
Memahami penggunaan dan izin akun layanan
Akun layanan adalah jenis utama khusus yang dapat Anda gunakan untuk mengautentikasi aplikasi di Google Cloud.
Untuk membantu Anda memahami penggunaan akun layanan, Policy Intelligence menawarkan fitur berikut:
Activity Analyzer: Activity Analyzer memungkinkan Anda melihat kapan kunci dan akun layanan Anda terakhir digunakan untuk memanggil Google API. Untuk mempelajari cara menggunakan Activity Analyzer, lihat Melihat penggunaan terbaru untuk akun dan kunci layanan.
Insight akun layanan: Insight akun layanan adalah jenis insight yang mengidentifikasi akun layanan mana di project Anda yang tidak digunakan dalam 90 hari terakhir. Untuk mempelajari cara mengelola insight akun layanan, lihat Menemukan akun layanan yang tidak digunakan.
Untuk membantu Anda memahami izin akun layanan, Policy Intelligence menawarkan insight pergerakan lateral. Insight pergerakan lateral adalah jenis insight yang mengidentifikasi peran yang memungkinkan akun layanan dalam satu project meniru identitas akun layanan di project lain. Untuk mengetahui informasi selengkapnya tentang analisis gerakan lateral, lihat Cara analisis gerakan lateral dihasilkan. Untuk mempelajari cara mengelola insight gerakan lateral, lihat Mengidentifikasi akun layanan dengan izin gerakan lateral.
Analisis pergerakan lateral terkadang ditautkan ke rekomendasi peran. Rekomendasi peran menyarankan tindakan yang dapat Anda lakukan untuk memperbaiki masalah yang diidentifikasi oleh insight pergerakan lateral.
Meningkatkan kebijakan Anda
Anda dapat meningkatkan kualitas kebijakan izin IAM dengan menggunakan rekomendasi peran. Rekomendasi peran membantu Anda menerapkan prinsip hak istimewa terendah dengan memastikan bahwa akun utama hanya memiliki izin yang benar-benar dibutuhkan. Setiap rekomendasi peran menyarankan agar Anda menghapus atau mengganti peran IAM yang memberikan izin berlebih kepada akun utama Anda.
Untuk mempelajari lebih lanjut rekomendasi peran, termasuk cara pembuatannya, lihat artikel Menerapkan hak istimewa terendah dengan rekomendasi peran.
Untuk mempelajari cara mengelola rekomendasi peran, lihat salah satu panduan berikut:
- Meninjau dan menerapkan rekomendasi peran untuk project, folder, dan organisasi
- Meninjau dan menerapkan rekomendasi peran untuk bucket Cloud Storage
- Meninjau dan menerapkan rekomendasi peran untuk set data BigQuery
Mencegah kesalahan konfigurasi kebijakan
Ada beberapa alat Policy Intelligence yang dapat Anda gunakan untuk melihat pengaruh perubahan kebijakan terhadap organisasi Anda. Setelah melihat efek perubahan, Anda dapat memutuskan apakah akan menerapkannya atau tidak.
Menguji perubahan pada kebijakan terkait akses
Untuk memungkinkan Anda melihat bagaimana perubahan pada kebijakan terkait akses dapat memengaruhi akses akun utama Anda, Policy Intelligence menyediakan simulator kebijakan berikut:
- Policy Simulator untuk kebijakan izin
- Policy Simulator untuk kebijakan penolakan
- Policy Simulator untuk kebijakan batas akses utama
Setiap simulator ini memungkinkan Anda melihat pengaruh perubahan pada kebijakan jenis tersebut terhadap akses akun utama Anda sebelum Anda berkomitmen untuk melakukan perubahan. Setiap simulator hanya mengevaluasi satu jenis kebijakan—simulator tidak mempertimbangkan apakah jenis kebijakan lain akan mengizinkan atau memblokir akses.
Menguji perubahan kebijakan organisasi
Policy Simulator untuk Kebijakan Organisasi memungkinkan Anda melihat pratinjau dampak dari batasan kustom baru atau kebijakan organisasi yang menerapkan batasan kustom sebelum diterapkan di lingkungan produksi Anda.
Policy Simulator memberikan daftar resource yang melanggar kebijakan yang diusulkan sebelum kebijakan tersebut diterapkan, sehingga Anda dapat mengonfigurasi ulang resource tersebut, meminta pengecualian, atau mengubah cakupan kebijakan organisasi Anda, semuanya tanpa mengganggu developer atau menghentikan lingkungan Anda.
Untuk mempelajari cara menggunakan Policy Simulator guna menguji perubahan pada kebijakan organisasi, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.