Policy Intelligence 概览

大型组织通常拥有一整套 Google Cloud 政策来控制资源和管理访问权限。Policy Intelligence 工具可帮助您了解并管理您的政策，以主动改进您的安全配置。

以下部分介绍您可以使用 Policy Intelligence 工具执行的操作。

了解政策和使用情况

您可以借助一些 Policy Intelligence 工具了解您的政策允许的访问权限以及这些政策的使用方式。

分析访问权限

Cloud Asset Inventory 提供 IAM 允许政策的 Policy Analyzer，可让您根据 IAM 允许政策了解哪些主账号有权访问哪些 Google Cloud 资源。

Policy Analyzer 可帮助您回答如下问题：

• “谁有权访问此 IAM 服务账号？”
• “此用户对此 BigQuery 数据集有哪些角色和权限？”
• “此用户有权读取哪些 BigQuery 数据集？”

Policy Analyzer 可帮助您回答这些问题，从而让您能够有效地管理访问权限。您还可以使用政策分析器执行审核和合规性相关任务。

如需详细了解适用于允许政策的 Policy Analyzer，请参阅 Policy Analyzer 概览。

如需了解如何针对允许政策使用 Policy Analyzer，请参阅分析 IAM 政策。

分析组织政策

Policy Intelligence 为组织政策提供了 Policy Analyzer，您可以使用该工具创建分析查询，以获取有关自定义政策和预定义组织政策的信息。

您可以使用政策分析器返回具有特定限制条件的组织政策的列表，以及附加了这些政策的资源。

如需了解如何针对组织政策使用 Policy Analyzer，请参阅分析现有组织政策。

排查访问权限问题

为了帮助您了解和解决访问权限问题，Policy Intelligence 提供了以下问题排查工具：

• Identity and Access Management 政策问题排查工具
• VPC Service Controls 问题排查工具
• Chrome 企业进阶版政策问题排查工具

访问权限问题排查工具可帮助您回答“为什么”问题，例如：

• “为什么该用户对此 BigQuery 数据集具有 bigquery.datasets.create 权限？”
• “为什么此用户无法查看此 Cloud Storage 存储桶的允许政策？”

如需详细了解这些问题排查工具，请参阅与访问权限相关的问题排查工具。

了解服务账号使用和权限

服务账号是一种特殊类型的正文，可用于对 Google Cloud 中的应用进行身份验证。

为帮助您了解服务账号使用情况，政策智能功能提供了以下功能：

• 活动分析器：借助活动分析器，您可以查看上次使用服务账号和密钥调用 Google API 的时间。如需了解如何使用活动分析器，请参阅查看服务账号和密钥的近期使用情况。

• 服务账号数据分析：服务账号数据分析是一种数据分析，可识别项目中过去 90 天内未使用的服务账号。如需了解如何管理服务账号数据分析，请参阅查找未使用的服务账号。

为帮助您了解服务账号权限，Policy Intelligence 提供了横向移动数据分析。横向移动数据分析是一种数据分析，用于标识允许一个项目中的服务账号模拟另一个项目中的服务账号的角色。如需详细了解横向移动数据分析，请参阅如何生成横向移动数据分析。如需了解如何管理横向移动数据分析，请参阅识别具有横向移动权限的服务账号。

横向移动数据分析有时会与角色建议相关联。角色建议会建议您采取哪些措施来解决横向移动数据分析中指出的问题。

改进您的政策

您可以使用角色建议来改进 IAM 允许政策。角色建议可确保主账号仅拥有其实际需要的权限，从而帮助您强制执行最小权限原则。每条角色建议都会针对授予主账号多余权限的 IAM 角色提出移除或替换建议。

如需详细了解角色建议（包括其生成方式），请参阅使用角色建议强制执行最小权限。

如需了解如何管理角色建议，请参阅以下某个指南：

• 查看和应用针对项目、文件夹和组织的角色建议
• 查看并应用 Cloud Storage 存储分区的角色建议
• 查看并应用 BigQuery 数据集的角色建议

防止政策配置错误

您可以使用多种 Policy Intelligence 工具了解更改政策对贵组织的影响。查看更改的影响后，您可以决定是否进行更改。

测试 IAM 允许政策更改

通过 IAM 允许政策的 Policy Simulator，您可以先了解对 IAM 允许政策所做的更改可能会对主账号的访问权限有何影响，然后再决定是否进行更改。您可以使用 Policy Simulator 来确保所做的更改不会导致主账号失去所需的访问权限。

如需了解对 IAM 允许政策的更改可能会对主账号的访问权限有何影响，Policy Simulator 会确定过去 90 天内的哪些访问尝试在建议的允许政策和当前允许政策下具有不同的结果。然后，它会将这些结果作为访问权限更改列表进行报告。

如需详细了解 Policy Simulator，请参阅 IAM Policy Simulator 概览。

如需了解如何使用 Policy Simulator 测试角色更改，请参阅使用 IAM Policy Simulator 测试角色更改。

测试组织政策更改

借助适用于组织政策的 Policy Simulator，您可以在生产环境中强制执行新的自定义限制条件或强制执行自定义限制条件的组织政策之前，预览其影响。

Policy Simulator 会在拟强制执行的政策生效之前提供违反该政策的资源列表，以便您重新配置这些资源、请求例外情况或更改组织政策的适用范围，而不会干扰开发者或使环境崩溃。

如需了解如何使用 Policy Simulator 测试组织政策的更改，请参阅使用 Policy Simulator 测试组织政策更改。