Le grandi organizzazioni spesso dispongono di un ampio insieme di Google Cloud norme per controllare le risorse e gestire l'accesso. Gli strumenti Policy Intelligence ti aiutano a comprendere e gestire i tuoi criteri per migliorare in modo proattivo la tua configurazione di sicurezza.
Le sezioni seguenti spiegano cosa puoi fare con gli strumenti Policy Intelligence.
Comprendere le norme e l'utilizzo
Esistono diversi strumenti di Policy Intelligence che ti aiutano a comprendere a cosa consentono l'accesso i tuoi criteri e come vengono utilizzati.
Analizzare l'accesso
Cloud Asset Inventory fornisce Policy Analyzer per i criteri di autorizzazione IAM, che consente di scoprire quali entità hanno accesso a quali risorseGoogle Cloud in base ai criteri di autorizzazione IAM.
Policy Analyzer ti aiuta a rispondere a domande come le seguenti:
- "Chi ha accesso a questo account di servizio IAM?"
- "Quali ruoli e autorizzazioni ha questo utente in questo set di dati BigQuery?"
- "Quali set di dati BigQuery ha l'autorizzazione a leggere questo utente?"
Aiutandoti a rispondere a queste domande, Policy Analyzer ti consente di gestire l'accesso in modo efficace. Puoi anche utilizzare Policy Analyzer per attività relative ad audit e conformità.
Per scoprire di più sull'Analizzatore policy per le policy di autorizzazione, consulta la Panoramica dell'Analizzatore policy.
Per scoprire come utilizzare Analizzatore policy per i criteri di autorizzazione, consulta Analizzare i criteri IAM.
Analizza le policy dell'organizzazione
Policy Intelligence fornisce Policy Analyzer per i criteri dell'organizzazione, che puoi utilizzare per creare una query di analisi per ottenere informazioni sui criteri dell'organizzazione personalizzati e predefiniti.
Puoi utilizzare l'Analizzatore policy per restituire un elenco di policy dell'organizzazione con un determinato vincolo e le risorse a cui sono associate.
Per scoprire come utilizzare l'analizzatore policy per le policy dell'organizzazione, consulta Analizzare le policy dell'organizzazione esistenti.
Risolvi i problemi di accesso
Per aiutarti a comprendere e risolvere i problemi di accesso, Policy Intelligence offre i seguenti strumenti per la risoluzione dei problemi:
- Policy Troubleshooter per Identity and Access Management
- Strumento per la risoluzione dei problemi di Controlli di servizio VPC
- Policy Troubleshooter per Chrome Enterprise Premium
Gli strumenti per la risoluzione dei problemi di accesso aiutano a rispondere a domande sul "perché" come le seguenti:
- "Perché questo utente dispone dell'autorizzazione
bigquery.datasets.createper questo set di dati BigQuery?" - "Perché questo utente non riesce a visualizzare il criterio di autorizzazione di questo bucket Cloud Storage?"
Per scoprire di più su questi strumenti per la risoluzione dei problemi, consulta Strumenti per la risoluzione dei problemi relativi all'accesso.
Comprendere l'utilizzo e le autorizzazioni dei account di servizio
I service account sono un tipo speciale di principal che puoi utilizzare per autenticare le applicazioni in Google Cloud.
Per aiutarti a comprendere l'utilizzo dei account di servizio, Policy Intelligence offre le seguenti funzionalità:
Analizzatore attività: l'Analizzatore attività ti consente di vedere quando i tuoi service account e le tue chiavi sono stati utilizzati l'ultima volta per chiamare un'API di Google. Per scoprire come utilizzare l'analizzatore attività, consulta Visualizzazione dell'utilizzo recente di chiavi e service account.
Insight sui service account: gli insight sui service account sono un tipo di insight che identificano i service account del tuo progetto che non sono stati utilizzati negli ultimi 90 giorni. Per scoprire come gestire gli approfondimenti sugli account di servizio, vedi Trovare service account inutilizzati.
Per aiutarti a comprendere le autorizzazioni del account di servizio, Policy Intelligence offre approfondimenti sul movimento laterale. Gli insight sul movimento laterale sono un tipo di insight che identificano i ruoli che consentono a un account di servizio in un progetto di rappresentare un account di servizio in un altro progetto. Per ulteriori informazioni sugli insight sul lateral movement, consulta la sezione Come vengono generati gli insight sul lateral movement. Per scoprire come gestire gli insight sul lateral movement, consulta Identificare i service account con autorizzazioni di lateral movement.
A volte gli approfondimenti sul movimento laterale sono collegati ai consigli sui ruoli. I suggerimenti sui ruoli propongono azioni che puoi intraprendere per risolvere i problemi identificati dagli approfondimenti sul movimento laterale.
Migliorare le norme
Puoi migliorare le tue policy di autorizzazione IAM utilizzando i suggerimenti per i ruoli. I suggerimenti sui ruoli ti aiutano ad applicare il principio del privilegio minimo assicurando che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno. Ogni suggerimento per il ruolo ti consiglia di rimuovere o sostituire un ruolo IAM che concede autorizzazioni in eccesso alle entità.
Per saperne di più sui suggerimenti sui ruoli, incluso il modo in cui vengono generati, vedi Applicazione del principio del privilegio minimo ai suggerimenti sui ruoli.
Per scoprire come gestire i consigli sui ruoli, consulta una delle seguenti guide:
- Esaminare e applicare i consigli sui ruoli per progetti, cartelle e organizzazioni
- Esamina e applica i suggerimenti sui ruoli per i bucket Cloud Storage
- Esaminare e applicare i suggerimenti sui ruoli per i set di dati BigQuery
Prevenire configurazioni errate dei criteri
Esistono diversi strumenti di Policy Intelligence che puoi utilizzare per vedere l'impatto delle modifiche ai criteri sulla tua organizzazione. Dopo aver visualizzato l'effetto delle modifiche, puoi decidere se implementarle o meno.
Testare le modifiche alle norme relative all'accesso
Per mostrarti in che modo una modifica a un criterio correlato all'accesso potrebbe influire sull'accesso delle tue entità, Policy Intelligence fornisce i seguenti simulatori di criteri:
- Policy Simulator per i criteri di autorizzazione
- Simulatore di criteri per le policy di negazione
- Policy Simulator per le policy di Principal Access Boundary
Ciascuno di questi simulatori ti consente di vedere in che modo una modifica a un criterio di quel tipo influirebbe sull'accesso per le tue entità prima di eseguire il commit della modifica. Ogni simulatore valuta un solo tipo di policy e non tiene conto se altri tipi di policy consentirebbero o bloccherebbero l'accesso.
Testare le modifiche alle policy dell'organizzazione
Policy Simulator per i criteri dell'organizzazione ti consente di visualizzare l'anteprima dell'impatto di un nuovo vincolo personalizzato o di un criterio dell'organizzazione che applica un vincolo personalizzato prima che venga applicato al tuo ambiente di produzione.
Policy Simulator fornisce un elenco di risorse che violano la policy proposta prima dell'applicazione, consentendoti di riconfigurare queste risorse, richiedere eccezioni o modificare l'ambito della policy dell'organizzazione, il tutto senza interrompere il lavoro degli sviluppatori o disattivare l'ambiente.
Per scoprire come utilizzare Policy Simulator per testare le modifiche alle policy dell'organizzazione, consulta Testare le modifiche alle policy dell'organizzazione con Policy Simulator.