As grandes organizações geralmente têm um conjunto extenso de políticas de Google Cloud para controlar recursos e gerenciar o acesso. As ferramentas do Policy Intelligence ajudam você a entender e gerenciar suas políticas para melhorar proativamente sua configuração de segurança.
As seções a seguir explicam o que é possível fazer com as ferramentas de inteligência de política.
Entender as políticas e o uso
Há várias ferramentas de inteligência de política que ajudam você a entender qual acesso suas políticas permitem e como elas estão sendo usadas.
Analisar acesso
O Inventário de recursos do Cloud oferece a ferramenta Análise de políticas para políticas de permissão do IAM, que permite descobrir quais principais têm acesso a quais recursos doGoogle Cloud com base nas políticas de permissão do IAM.
A ferramenta Análise de políticas ajuda a responder perguntas como estas:
- "Quem tem acesso a esta conta de serviço do IAM?"
- "Quais papéis e permissões esse usuário tem neste conjunto de dados do BigQuery?"
- "Quais conjuntos de dados do BigQuery esse usuário tem permissão para ler?"
Ao ajudar você a responder a essas perguntas, a ferramenta Análise de políticas permite administrar o acesso de maneira eficaz. Também é possível usar a Análise de políticas para tarefas relacionadas a auditoria e compliance.
Para saber mais sobre a Análise de políticas para políticas de permissão, consulte Visão geral da Análise de políticas.
Para saber como usar a ferramenta Análise de políticas para políticas de permissão, consulte Como analisar políticas do IAM.
Analisar políticas da organização
A Política de IA oferece a Análise de políticas para a política da organização, que pode ser usada para criar uma consulta de análise e receber informações sobre políticas da organização personalizadas e predefinidas.
É possível usar o Policy Analyzer para retornar uma lista de políticas da organização com uma restrição específica e os recursos a que essas políticas estão anexadas.
Para saber como usar a ferramenta Análise de políticas para políticas da organização, consulte Analisar políticas da organização atuais.
Resolver problemas de acesso
Para ajudar você a entender e corrigir problemas de acesso, a Inteligência de políticas oferece os seguintes solucionadores de problemas:
- Solução de problemas de políticas do Identity and Access Management
- Solucionador de problemas do VPC Service Controls
- Solucionador de problemas de políticas para Chrome Enterprise Premium
Os solucionadores de problemas de acesso ajudam a responder perguntas como estas:
- "Por que este usuário tem a permissão
bigquery.datasets.createneste conjunto de dados do BigQuery?" - "Por que este usuário não consegue visualizar a política de permissão deste bucket do Cloud Storage?"
Para saber mais sobre esses solucionadores de problemas, consulte Solucionadores de problemas relacionados ao acesso.
Entender o uso e as permissões da conta de serviço
As contas de serviço são um tipo especial de principal que você pode usar para autenticar aplicativos no Google Cloud.
Para ajudar você a entender o uso da conta de serviço, o Policy Intelligence oferece os seguintes recursos:
Activity Analyzer: com o Activity Analyzer, é possível ver quando suas contas de serviço e chaves foram usadas pela última vez para chamar uma API do Google. Para saber como usar o Activity Analyzer, consulte Ver o uso recente de contas de serviço e chaves.
Insights de conta de serviço: são um tipo de insight que identifica quais contas de serviço no projeto não foram usadas nos últimos 90 dias. Para saber como gerenciar insights de conta de serviço, consulte Encontrar contas de serviço não utilizadas.
Para ajudar você a entender as permissões da conta de serviço, a Policy Intelligence oferece insights de movimento lateral. Os insights de movimento lateral são um tipo de insight que identifica papéis que permitem que uma conta de serviço em um projeto represente uma conta de serviço em outro projeto. Para mais informações, consulte Como os insights de movimento lateral são gerados. Para saber como gerenciar insights de movimento lateral, consulte Identificar contas de serviço com permissões de movimento lateral.
Às vezes, os insights de movimento lateral são vinculados a recomendações de função. As recomendações de papéis sugerem ações que você pode tomar para corrigir os problemas identificados pelos insights de movimento lateral.
Melhorar suas políticas
É possível melhorar suas políticas de permissão do IAM usando recomendações de papéis. As recomendações de papéis ajudam a aplicar o princípio de privilégio mínimo, garantindo que os principais tenham apenas as permissões de que realmente precisam. Cada recomendação de papel sugere que você remova ou substitua um papel do IAM que concede permissões em excesso aos principais.
Para saber mais sobre recomendações de papéis, incluindo como elas são geradas, consulte Aplicar privilégio mínimo às recomendações de papéis.
Para saber como gerenciar recomendações de papéis, consulte um dos seguintes guias:
- Revisar e aplicar recomendações de papéis para projetos, pastas e organizações
- Analisar e aplicar recomendações de papéis para buckets do Cloud Storage
- Analisar e aplicar recomendações de função para conjuntos de dados do BigQuery
Evitar configurações incorretas de políticas
Há várias ferramentas de inteligência de política que você pode usar para ver como as mudanças nas políticas vão afetar sua organização. Depois de ver o efeito das mudanças, você pode decidir se quer ou não implementá-las.
Testar mudanças nas políticas relacionadas ao acesso
Para que você veja como uma mudança em uma política relacionada ao acesso pode afetar o acesso dos seus principais, a Política de inteligência fornece os seguintes simuladores de política:
- Simulador de política para políticas de permissão
- Simulador de política para políticas de negação
- Simulador de política para políticas de limite de acesso de principal
Com cada um desses simuladores, é possível ver como uma mudança em uma política desse tipo afetaria o acesso dos seus principais antes de confirmar a mudança. Cada simulador avalia apenas um tipo de política e não considera se outros tipos de políticas permitiriam ou bloqueariam o acesso.
Testar mudanças na política da organização
Com o Simulador de política da organização, é possível visualizar o impacto de uma nova restrição personalizada ou política da organização que aplica uma restrição personalizada antes que ela seja aplicada no ambiente de produção.
O simulador de política fornece uma lista de recursos que violam a política proposta antes da aplicação dela. Assim, é possível reconfigurar esses recursos, solicitar exceções ou mudar o escopo da política da organização sem interromper os desenvolvedores ou derrubar o ambiente.
Para saber como usar o Simulador de política para testar mudanças nas políticas da organização, consulte Testar mudanças nas políticas da organização com o Simulador de políticas.