Le grandi organizzazioni spesso dispongono di un ampio insieme di criteri Google Cloud per controllare le risorse e gestire l'accesso. Gli strumenti di Policy Intelligence ti aiutano a comprendere e gestire i tuoi criteri per migliorare in modo proattivo la configurazione della sicurezza.
Le sezioni seguenti spiegano cosa puoi fare con gli strumenti di Policy Intelligence.
Informazioni su criteri e utilizzo
Esistono diversi strumenti di Policy Intelligence che ti aiutano a comprendere l'accesso consentito dai tuoi criteri e come vengono utilizzati.
Analizza l'accesso
Cloud Asset Inventory fornisce Policy Analyzer per i criteri di autorizzazione IAM, che ti consente di scoprire quali entità hanno accesso a quali risorse Google Cloud in base ai criteri di autorizzazione IAM.
Policy Analyzer ti aiuta a rispondere a domande come:
- "Chi ha accesso a questo account di servizio IAM?"
- "Quali ruoli e autorizzazioni ha questo utente su questo set di dati BigQuery?"
- "Quali set di dati BigQuery ha l'autorizzazione di lettura?"
Aiutandoti a rispondere a queste domande, Policy Analyzer ti consente di gestire efficacemente l'accesso. Puoi utilizzare Policy Analyzer anche per attività relative a audit e conformità.
Per scoprire di più su Policy Analyzer per i criteri di autorizzazione, consulta la Panoramica di Policy Analyzer.
Per scoprire come utilizzare Analizzatore criteri per i criteri di autorizzazione, consulta Analisi dei criteri IAM.
Analizza le policy dell'organizzazione
Policy Intelligence fornisce lo strumento di analisi dei criteri per i criteri dell'organizzazione, che puoi utilizzare per creare una query di analisi al fine di ottenere informazioni sui criteri dell'organizzazione personalizzati e predefiniti.
Puoi utilizzare l'Analizzatore policy per restituire un elenco di criteri dell'organizzazione con un determinato vincolo e le risorse a cui sono associati.
Per scoprire come utilizzare l'Analizzatore policy per i criteri dell'organizzazione, consulta Analizzare i criteri dell'organizzazione esistenti.
Risolvere i problemi di accesso
Per aiutarti a comprendere e risolvere i problemi di accesso, Policy Intelligence offre i seguenti strumenti per la risoluzione dei problemi:
- Strumento per la risoluzione dei problemi relativi ai criteri per Identity and Access Management
- Strumento per la risoluzione dei problemi di Controlli di servizio VPC
- Policy Troubleshooter per Chrome Enterprise Premium
I risolutori dei problemi di accesso aiutano a rispondere a domande del tipo "Perché", ad esempio:
- "Perché questo utente dispone dell'autorizzazione
bigquery.datasets.createsu questo set di dati BigQuery?" - "Perché questo utente non è in grado di visualizzare il criterio di autorizzazione di questo bucket Cloud Storage?"
Per scoprire di più su questi strumenti per la risoluzione dei problemi, consulta Strumenti per la risoluzione dei problemi correlati all'accesso.
Informazioni sull'utilizzo e sulle autorizzazioni degli account di servizio
Gli account di servizio sono un tipo speciale di entità che puoi utilizzare per autenticare le applicazioni in Google Cloud.
Per aiutarti a comprendere l'utilizzo degli account di servizio, Policy Intelligence offre le seguenti funzionalità:
Activity Analyzer: ti consente di vedere quando le chiavi e i service account sono stati utilizzati l'ultima volta per chiamare un'API Google. Per scoprire come utilizzare Activity Analyzer, consulta Visualizzare l'utilizzo recente di chiavi e account di servizio.
Approfondimenti sugli account di servizio: gli approfondimenti sugli account di servizio sono un tipo di approfondimento che consente di identificare gli account di servizio nel progetto che non sono stati utilizzati negli ultimi 90 giorni. Per scoprire come gestire gli approfondimenti sugli account di servizio, vedi Trovare account di servizio inutilizzati.
Per aiutarti a comprendere le autorizzazioni degli account di servizio, Policy Intelligence offre informazioni sui movimenti laterali. Gli insight sul movimento laterale sono un tipo di insight che identificano i ruoli che consentono a un account di servizio in un progetto di simulare l'identità di un account di servizio in un altro progetto. Per ulteriori informazioni sugli approfondimenti sul movimento laterale, consulta Come vengono generati gli approfondimenti sul movimento laterale. Per scoprire come gestire gli insight sul lateral movement, consulta Identificare gli account di servizio con autorizzazioni di lateral movement.
Gli approfondimenti sui movimenti laterali sono a volte collegati ai consigli per i ruoli. I consigli sui ruoli suggeriscono le azioni che puoi intraprendere per risolvere i problemi identificati dagli approfondimenti sul lateral movement.
Migliorare le norme
Puoi migliorare i criteri di autorizzazione IAM utilizzando i consigli sui ruoli. I suggerimenti sui ruoli ti aiutano ad applicare il principio del privilegio minimo assicurando che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno. Ogni suggerimento per il ruolo ti consiglia di rimuovere o sostituire un ruolo IAM che concede autorizzazioni in eccesso alle entità.
Per saperne di più sui suggerimenti sui ruoli, incluso il modo in cui vengono generati, consulta Applicare il principio del privilegio minimo ai suggerimenti sui ruoli.
Per scoprire come gestire i consigli sui ruoli, consulta una delle seguenti guide:
- Esaminare e applicare i consigli sui ruoli per progetti, cartelle e organizzazioni
- Esaminare e applicare i suggerimenti sui ruoli per i bucket Cloud Storage
- Esaminare e applicare i consigli sui ruoli per i set di dati BigQuery
Evitare configurazioni errate dei criteri
Esistono diversi strumenti di Policy Intelligence che puoi utilizzare per vedere l'impatto delle modifiche ai criteri sulla tua organizzazione. Dopo aver visto l'effetto delle modifiche, puoi decidere se apportarle o meno.
Testare le modifiche ai criteri di autorizzazione IAM
Policy Simulator per i criteri di autorizzazione IAM ti consente di vedere in che modo una modifica a un criterio di autorizzazione IAM potrebbe influire sull'accesso di un entità prima di impegnarti a apportare la modifica. Puoi utilizzare Policy Simulator per assicurarti che le modifiche apportate non causino la perdita di accesso da parte di un principale.
Per scoprire in che modo una modifica a un criterio di autorizzazione IAM potrebbe influire sull'accesso di un'entità, Policy Simulator determina quali tentativi di accesso degli ultimi 90 giorni hanno risultati diversi in base al criterio di autorizzazione proposto e a quello corrente. Poi, genera un report con questi risultati come elenco di modifiche all'accesso.
Per scoprire di più su Policy Simulator, consulta la panoramica di Policy Simulator IAM.
Per scoprire come utilizzare Policy Simulator per testare le modifiche ai ruoli, consulta Testare le modifiche ai ruoli con il simulatore di criteri IAM.
Testare le modifiche ai criteri dell'organizzazione
Policy Simulator per i criteri dell'organizzazione ti consente di visualizzare l'impatto di un nuovo vincolo personalizzato o di un criterio dell'organizzazione che applica un vincolo personalizzato prima che venga applicato nell'ambiente di produzione.
Policy Simulator fornisce un elenco di risorse che violano il criterio proposto prima dell'applicazione, consentendoti di riconfigurarle, richiedere eccezioni o modificare l'ambito del criterio dell'organizzazione, il tutto senza interrompere gli sviluppatori o arrestare l'ambiente.
Per scoprire come utilizzare Policy Simulator per testare le modifiche ai criteri dell'organizzazione, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.