Se usó la API de Cloud Translation para traducir esta página.

Analizador de políticas para políticas de permisos

El Analizador de políticas para políticas de permisos te permite descubrir qué principales (por ejemplo, usuarios, cuentas de servicio, grupos y dominios) tienen qué tipo de acceso a cuáles recursos de Google Cloud en función de tus políticas de permisos de IAM.

El Analizador de políticas para políticas de permiso puede ayudarte a responder preguntas como las siguientes:

¿Quién puede acceder a esta cuenta de servicio de IAM?
¿Quién puede leer datos en este conjunto de datos de BigQuery que contiene información de identificación personal (PII)?
¿Qué roles y permisos tiene el grupo dev-testers para los recursos de este proyecto?
¿Qué instancias de máquina virtual (VM) de Compute Engine puede borrar Tal en el proyecto A?
¿Quién puede acceder a este bucket de Cloud Storage a las 7 p.m.?

Cómo funciona el Analizador de políticas para las políticas de permiso

Para usar el analizador de políticas para las políticas de permiso, debes crear una consulta de análisis, especificar un alcance para el análisis y, luego, ejecutar la consulta.

Consultas de análisis

Para usar el analizador de políticas, debes crear una consulta de análisis en la que especifiques uno o más de los siguientes campos:

Principales: Las identidades (por ejemplo, usuarios, cuentas de servicio, grupos y dominios) cuyo acceso deseas verificar
Acceso: Los permisos y roles que deseas verificar
Recursos: Los recursos a los que deseas verificar el acceso
(Solo para la API) Contexto de la condición: Es el contexto (por ejemplo, la hora del día) en el que deseas verificar el acceso.

Por lo general, especificas uno o dos de estos campos en la consulta de análisis y, luego, usas los resultados de la consulta para obtener más información sobre los campos que no especificaste. Por ejemplo, si quieres saber quién tiene un permiso determinado en un recurso determinado, debes especificar el acceso y el recurso en la consulta de análisis, pero no debes especificar el principal.

Para ver más ejemplos de los tipos de consultas que puedes crear, consulta Tipos de consulta comunes.

Alcance del análisis

Para ejecutar una consulta de análisis, debes especificar un alcance para analizar. El alcance es una organización, una carpeta o un proyecto al que deseas restringir tu análisis. Solo se analizarán las políticas de permiso de IAM adjuntas al recurso que se usa como alcance y a sus descendientes.

En la API de REST y gcloud CLI, especificas el permiso de forma manual. En la consola de Google Cloud, el alcance se determina automáticamente según el proyecto, la carpeta o la organización que administras.

Después de crear una consulta de análisis y especificar el alcance, puedes ejecutar la consulta para analizar las políticas en ese alcance.

Resultados de la consulta

Cuando ejecutas una consulta de análisis, el Analizador de políticas informa las vinculaciones de roles que contienen los principales, el acceso y los recursos que especificaste en la consulta. Para cada vinculación de roles, informa los principales en la vinculación, el acceso (rol y permisos) que otorga la vinculación y el recurso al que otorga acceso.

Puedes revisar estos resultados para comprender mejor el acceso en tu proyecto, carpeta o organización. Por ejemplo, si ejecutaste una consulta para saber qué principales tienen acceso a un recurso específico, revisarías los principales en los resultados de la consulta.

Para ajustar la información de los resultados de la consulta, habilita las opciones de consulta.

Tipos de políticas admitidas

El analizador de políticas para políticas de permisos solo admite políticas de permisos de IAM.

Policy Analyzer para políticas de permiso no admite las siguientes formas de control de acceso:

Los resultados de la búsqueda del Analizador de políticas no tienen en cuenta los tipos de políticas que no se admiten. Por ejemplo, imagina que un usuario tiene el permiso iam.roles.get en un proyecto debido a una política de permisos, pero una política de denegación le impide usarlo. Policy Analyzer informará que tiene el permiso iam.roles.get, a pesar de la política de denegación.

Herencia de políticas

Para tener en cuenta la herencia de políticas, el Analizador de políticas analiza automáticamente todas las políticas de permiso relevantes dentro del alcance especificado, independientemente de dónde se encuentren en la jerarquía de recursos.

Por ejemplo, imagina que intentas averiguar quién puede acceder a una cuenta de servicio de IAM:

Si limitas la consulta a un proyecto, el Analizador de políticas analiza la política de permisos de la cuenta de servicio y la política de permisos del proyecto.
Si limitas la consulta a una organización, el Analizador de políticas analiza la política de permisos de la cuenta de servicio, la política de permisos del proyecto al que pertenece la cuenta de servicio, las políticas de permisos de las carpetas que contienen el proyecto y la política de permisos de la organización.

Acceso condicional

Si una vinculación de roles tiene una condición, solo otorga acceso a un principal cuando se cumple esa condición. El Analizador de políticas siempre informa las condiciones que se adjuntan a las vinculaciones de roles relevantes. Las vinculaciones de roles relevantes son aquellas que contienen los principales, el acceso y los recursos que especificaste en la consulta de análisis.

En algunos casos, Policy Analyzer también puede analizar la condición, lo que significa que puede informar si se cumpliría. El Analizador de políticas puede analizar los siguientes tipos de condiciones:

Condiciones basadas en atributos de recursos para tipos de recursos que proporcionan un nombre de recurso
Condiciones de fecha y hora (solo API y gcloud CLI). Para que el Analizador de políticas analice estas condiciones, debes proporcionar la hora del acceso (accessTime) en tu consulta de análisis. Para obtener información sobre cómo proporcionar este contexto, consulta Cómo determinar el acceso en un momento específico.

Si una vinculación de rol relevante contiene una condición, Policy Analyzer hace una de las siguientes acciones:

Si el Analizador de políticas puede analizar la condición, realiza una de las siguientes acciones:
- Si la condición se evalúa como verdadera, Policy Analyzer incluye la vinculación de roles en los resultados de la consulta y marca la evaluación de la condición como TRUE.
- Si la condición se evalúa como falsa, Policy Analyzer no incluye el rol en los resultados de la consulta.
Si el Analizador de políticas no puede analizar una condición para una vinculación de roles relevante, incluye el rol en los resultados de la consulta y marca la evaluación de la condición como CONDITIONAL.

Actualidad de los datos

Policy Analyzer usa la API de Cloud Asset, que ofrece la actualización de datos del mejor esfuerzo. Si bien casi todas las actualizaciones de políticas aparecen en Policy Analyzer en minutos, es posible que este no incluya las actualizaciones más recientes.

Tipos de consultas comunes

En esta sección, se describe cómo usar las consultas de análisis para responder preguntas comunes relacionadas con el acceso.

¿Qué principales pueden acceder a este recurso?

Para determinar qué principales pueden acceder a un recurso, crea una consulta de análisis que especifique el recurso y, de manera opcional, los roles y permisos que deseas verificar.

Estas consultas pueden ayudarte a responder preguntas como las siguientes:

¿Quién tiene acceso a esta cuenta de servicio de IAM?
¿Quién tiene permiso para actuar en nombre de esta cuenta de servicio de IAM?
¿Quiénes son los administradores de facturación en el proyecto A?
(Solo para la API y gcloud CLI): ¿Quién puede actualizar el proyecto A si actúa en nombre de una cuenta de servicio?

Para obtener información sobre cómo crear y enviar estas consultas, consulta Determina qué principales pueden acceder a un recurso.

¿Qué principales tienen estos roles y permisos?

Para determinar qué principales tienen ciertos roles y permisos, crea una consulta de análisis que especifique una principal y un conjunto de roles y permisos que deseas verificar.

Estas consultas pueden ayudarte a responder preguntas como las siguientes:

¿Quién tiene permiso para actuar en nombre de las cuentas de servicio de mi organización?
¿Quiénes son los administradores de facturación de mi organización?
¿Quién puede leer datos en este conjunto de datos de BigQuery que contiene información de identificación personal (PII)?
(Solo para la API y gcloud CLI): ¿Quién de mi organización puede leer un conjunto de datos de BigQuery si actúa en nombre de una cuenta de servicio?

Para obtener información sobre cómo crear y enviar estas consultas, consulta Determina qué principales tienen ciertos roles o permisos.

¿Qué roles y permisos tiene este principal en este recurso?

Para determinar qué roles y permisos tiene un principal en un recurso específico, crea una consulta de análisis que especifique un principal y un recurso en el que deseas verificar los permisos.

Estas consultas pueden ayudarte a responder preguntas como las siguientes:

¿Qué roles y permisos tiene el usuario Sasha en este conjunto de datos de BigQuery?
¿Qué roles y permisos tiene el grupo dev-testers para los recursos de este proyecto?
(Solo para la API y gcloud CLI): ¿Qué roles y permisos tiene el usuario Dana en este conjunto de datos de BigQuery si actúa en nombre de una cuenta de servicio?

Para obtener información sobre cómo crear y enviar estas consultas, consulta Determina qué tipo de acceso tiene un principal a un recurso.

¿A qué recursos puede acceder este principal?

Para determinar a qué recursos puede acceder una principal específica, crea una consulta de análisis que especifique una principal y los roles y permisos que deseas verificar.

Estas consultas pueden ayudarte a responder preguntas como las siguientes:

¿En qué conjuntos de datos de BigQuery el usuario Mahan tiene permiso para leer?
¿En qué conjuntos de datos de BigQuery posee datos el grupo dev-testers?
¿Qué VMs puede borrar Tal en el proyecto A?
(Solo para la API y gcloud CLI). ¿Qué VMs puede borrar el usuario John si actúa en nombre de una cuenta de servicio?

Para obtener información sobre cómo crear y enviar estas consultas, consulta Determina a qué recursos puede acceder un principal.

Consultas de análisis guardadas

Si usas la API de REST, puedes guardar las consultas de análisis para reutilizarlas o compartirlas con otras personas. Puedes ejecutar una consulta guardada como lo harías con cualquier otra.

Para obtener más información sobre cómo guardar consultas, consulta Cómo administrar consultas guardadas.

Exportar resultados de consultas

Puedes ejecutar consultas de forma asíncrona y exportar los resultados a BigQuery o Cloud Storage con analyzeIamPolicyLongrunning.

Para aprender a exportar resultados de consultas a BigQuery, consulta Cómo escribir análisis de políticas en BigQuery.

Si deseas obtener información para exportar resultados de consultas a Cloud Storage, consulta Cómo escribir análisis de políticas en Cloud Storage.

Opciones de consulta

El Analizador de políticas ofrece varias opciones que agregan más detalles a los resultados de tu consulta.

Para obtener información sobre cómo habilitar estas opciones, consulta Habilita opciones.

Expansión del grupo

Si habilitas la expansión de grupos, los grupos de los resultados de la consulta se expandirán en miembros individuales. Esta expansión tiene un límite de 1,000 miembros por grupo. Si tienes permisos de grupo suficientes, también se expandirán los grupos anidados. Esta opción solo es efectiva si no especificas un principal en tu consulta.

Por ejemplo, imagina que habilitas la expansión de grupos para la consulta "¿Quién tiene el permiso storage.buckets.delete para project-1?". Si Policy Analyzer encuentra algún grupo que tenga el permiso storage.buckets.delete, los resultados de la consulta mostrarán no solo el identificador del grupo, sino también todos los miembros individuales del grupo.

Esta opción te permite comprender el acceso de los usuarios individuales, incluso si ese acceso es el resultado de su membresía en un grupo.

Expansión de roles

Si habilitas la expansión de roles, los resultados de la consulta enumeran todos los permisos dentro de cada rol, además del rol en sí. Esta opción solo está disponible si no especificas ningún permiso o rol en tu consulta.

Por ejemplo, imagina que habilitas la expansión de roles para la consulta "¿Qué acceso tiene my-user@example.com al bucket bucket-1?". Si Policy Analyzer encuentra algún rol que le otorgue acceso a my-user@example.com a bucket-1, los resultados de la consulta mostrarán no solo el nombre del rol, sino también todos los permisos incluidos en él.

Esta opción te permite ver exactamente qué permisos tienen tus principales.

Expansión de recursos

Si habilitas la expansión de recursos para una consulta de Policy Analyzer, los resultados de la consulta enumeran todos los recursos secundarios relevantes para cualquier recurso superior (proyectos, carpetas y organizaciones) en los resultados de la consulta. Esta expansión tiene un límite de 1,000 recursos por recurso superior para las consultas del Analizador de políticas y 100,000 recursos por recurso superior para las consultas de larga duración del Analizador de políticas.

Por ejemplo, considera cómo la expansión de recursos afectaría las siguientes consultas:

¿Quién tiene el permiso storage.buckets.delete para project-1?

Si habilitas la expansión de recursos para esta consulta, la sección de recursos de los resultados de la consulta mostrará no solo el proyecto, sino también todos los buckets de almacenamiento dentro del proyecto.
¿En qué recursos my-user@example.com tiene el permiso compute.instances.setIamPolicy?

Si habilitas la expansión de recursos para esta consulta y el analizador de políticas determina que my-user@example.com tiene un rol a nivel del proyecto que contiene ese permiso, en la sección de recursos de los resultados de la consulta, se mostrará no solo el proyecto, sino también todas las instancias de Compute Engine dentro del proyecto.

Esta opción te permite obtener una comprensión detallada de los recursos a los que pueden acceder tus principales.

Uso de identidad temporal como cuenta de servicio

Si usas la API de REST o gcloud CLI, puedes habilitar el análisis del robo de identidad de la cuenta de servicio.

Si esta opción está habilitada, el Analizador de políticas ejecuta consultas de análisis adicionales para determinar quién puede suplantar la identidad de las cuentas de servicio que tienen el acceso especificado a los recursos especificados. El Analizador de políticas ejecuta una consulta para cada cuenta de servicio en los resultados de la consulta. Estas consultas analizan quién tiene alguno de los siguientes permisos en la cuenta de servicio:

iam.serviceAccounts.actAs
iam.serviceAccounts.getAccessToken
iam.serviceAccounts.getOpenIdToken
iam.serviceAccounts.implicitDelegation
iam.serviceAccounts.signBlob
iam.serviceAccounts.signJwt

Cuotas y límites

Cloud Asset Inventory aplica la frecuencia de solicitudes entrantes, incluidas las solicitudes de análisis de políticas, en función del proyecto de consumidor. Cloud Asset Inventory también limita la expansión de los grupos dentro de las membresías de grupo y la expansión de los recursos dentro de la jerarquía de recursos.

Para ver las cuotas y los límites predeterminados de Policy Analyzer, consulta Cuotas y límites en la documentación de Cloud Asset Inventory.

Precios

Cada organización puede ejecutar hasta 20 consultas de análisis por día sin cargo. Este límite incluye el análisis de políticas de permiso y el análisis de políticas de la organización.

Si deseas ejecutar más de 20 consultas de análisis por día, debes tener una activación a nivel de la organización del nivel premium de Security Command Center. Para obtener más información, consulta Preguntas sobre la facturación.

¿Qué sigue?

Obtén información para usar Policy Analyzer y analizar una política de permiso.
Descubre cómo puedes usar la API de REST para guardar consultas de análisis de políticas.