Policy Intelligence 簡介

大型機構通常會設定一系列 Google Cloud 政策來控管資源和管理存取權。Policy Intelligence 工具可協助您瞭解及管理政策，主動改善安全性設定。

以下各節將說明您可以使用政策智慧工具執行哪些操作。

瞭解政策和用法

我們提供多種 Policy Intelligence 工具，協助您瞭解政策允許的存取權限，以及政策的使用方式。

分析存取權

Cloud Asset Inventory 提供可用於 IAM 允許政策的政策分析工具，讓您根據IAM 允許政策，找出哪些主體具備哪些Google Cloud 資源的存取權。

Policy Analyzer 可協助您回答下列問題：

• 「誰可以存取這個 IAM 服務帳戶？」
• 「這個使用者在這個 BigQuery 資料集中擁有哪些角色和權限？」
• 「這個使用者有權讀取哪些 BigQuery 資料集？」

透過協助您回答這些問題，Policy Analyzer 可讓您有效管理存取權。您也可以使用 Policy Analyzer 執行稽核和法規遵循相關工作。

如要進一步瞭解允許政策的 Policy Analyzer，請參閱「Policy Analyzer 總覽」。

如要瞭解如何使用 Policy Analyzer 分析允許政策，請參閱「分析 IAM 政策」。

分析機構政策

Policy Intelligence 提供機構政策的 Policy Analyzer，您可以使用這項工具建立分析查詢，取得自訂和預先定義的機構政策相關資訊。

您可以使用 Policy Analyzer 傳回機構政策清單，其中列出有特定限制的政策，以及附加這些政策的資源。

如要瞭解如何使用 Policy Analyzer 檢查機構政策，請參閱「分析現有的機構政策」。

解決存取權問題

為協助您瞭解及修正存取權問題，Policy Intelligence 提供下列疑難排解工具：

• Identity and Access Management 的政策疑難排解工具
• VPC Service Controls 疑難排解工具
• Chrome Enterprise Premium 政策疑難排解工具

存取權疑難排解工具可協助您回答「為什麼」類的問題，例如：

• 「為什麼這個使用者擁有此 BigQuery 資料集的 bigquery.datasets.create 權限？」
• 「為何這位使用者無法查看這個 Cloud Storage 值區的許可政策？」

如要進一步瞭解這些疑難排解工具，請參閱「存取權相關疑難排解工具」。

瞭解服務帳戶的使用情形和權限

服務帳戶是一種特殊的使用者，可用於驗證 Google Cloud中的應用程式。

為協助您瞭解服務帳戶的用量，政策智慧提供下列功能：

• 活動分析器：您可以使用活動分析器查看服務帳戶和金鑰上次用來呼叫 Google API 的時間。如要瞭解如何使用 Activity Analyzer，請參閱「查看服務帳戶和金鑰的近期使用情形」。

• 服務帳戶深入分析：服務帳戶深入分析是一種深入分析，可找出專案中過去 90 天未使用的服務帳戶。如要瞭解如何管理服務帳戶洞察資料，請參閱「找出未使用的服務帳戶」。

為協助您瞭解服務帳戶權限，政策智慧提供橫向移動洞察資料。橫向移動深入分析是一種洞察資料，可找出可讓某個專案中的服務帳戶模擬其他專案中服務帳戶的角色。如要進一步瞭解水平擴散深入分析，請參閱「如何產生水平擴散深入分析」。如要瞭解如何管理水平擴散深入分析，請參閱「找出具有水平擴散權限的服務帳戶」。

橫向移動洞察資料有時會連結至角色建議。角色建議會建議您採取哪些行動，以便解決橫向移動洞察資料所指出的問題。

改善政策

您可以使用角色最佳化建議來改善 IAM 允許政策。角色建議可協助您強制執行最低權限原則，確保主體只會有實際所需的權限。每個角色建議都會建議您，移除或替換掉給主體過多權限的 IAM 角色。

如要進一步瞭解角色建議 (包括產生方式)，請參閱「依據角色建議強制實行最低權限機制」。

如要瞭解如何管理角色建議，請參閱下列任一指南：

• 查看並套用專案、資料夾和機構的角色建議
• 查看並套用 Cloud Storage 值區的角色建議
• 查看並套用 BigQuery 資料集的角色建議

避免政策設定錯誤

您可以使用多種 Policy Intelligence 工具，瞭解政策異動對貴機構的影響。查看變更效果後，您可以決定是否要進行變更。

測試存取相關政策的變更

為協助您瞭解變更存取相關政策可能會對主體存取權產生哪些影響，政策智慧提供下列政策模擬器：

• 允許政策的政策模擬器
• 拒絕政策的政策模擬器
• 主體存取邊界政策的政策模擬工具

在您提交變更前，這些模擬器可讓您瞭解變更這類政策會對主體存取權產生哪些影響。每個模擬器只會評估一種政策類型，不會考量其他類型的政策是否會允許或封鎖存取權。

測試機構政策變更

您可以使用機構政策的 Policy Simulator，在正式環境中強制執行自訂限制或機構政策之前，預覽新自訂限制或機構政策的影響。

Policy Simulator 會提供違反提議政策的資源清單，讓您在政策生效前重新設定這些資源、要求例外狀況，或變更機構政策範圍，而不會影響開發人員或中斷環境。

如要瞭解如何使用 Policy Simulator 測試組織政策變更，請參閱「使用 Policy Simulator 測試組織政策變更」。