Policy Intelligence 簡介

大型機構通常會有一整套 Google Cloud 政策，用來控管資源及管理存取權。Policy Intelligence 工具可協助您瞭解及管理政策，主動強化安全設定。

以下各節說明如何使用政策智慧工具。

瞭解政策和使用方式

您可以運用多種 Policy Intelligence 工具，瞭解政策允許的存取權，以及政策的使用方式。

分析存取權

Cloud Asset Inventory 提供 IAM 允許政策的政策分析工具，可讓您根據 IAM 允許政策，瞭解哪些主體具備哪些Google Cloud 資源的存取權。

Policy Analyzer 可協助您解答下列問題：

• 「誰有這個 IAM 服務帳戶的存取權？」
• 「What roles and permissions does this user have on this BigQuery dataset?」(這個使用者在 BigQuery 資料集上擁有哪些角色和權限？)
• 「Which BigQuery datasets does this user have permission to read?」(這個使用者有權讀取哪些 BigQuery 資料集？)

Policy Analyzer 可協助您回答這些問題，進而有效管理存取權。您也可以使用政策分析工具執行稽核和法規遵循相關工作。

如要進一步瞭解允許政策的 Policy Analyzer，請參閱政策分析工具總覽。

如要瞭解如何使用 Policy Analyzer 分析允許政策，請參閱分析 IAM 政策。

分析機構政策

政策智慧提供機構政策的政策分析工具，您可以使用這項工具建立分析查詢，取得自訂和預先定義機構政策的相關資訊。

您可以使用 Policy Analyzer 傳回機構政策清單，其中列出特定限制，以及附加這些政策的資源。

如要瞭解如何使用政策分析工具分析機構政策，請參閱「分析現有的機構政策」。

解決存取權問題

為協助您瞭解及解決存取問題，Policy Intelligence 提供下列疑難排解工具：

• 身分與存取權管理政策疑難排解工具
• VPC Service Controls 疑難排解工具
• Chrome Enterprise Premium 政策疑難排解工具

存取疑難排解工具可協助您解答「為什麼」這類問題，例如：

• 「Why does this user have the bigquery.datasets.create permission on this BigQuery dataset?」(為什麼這位使用者擁有這個 BigQuery 資料集的 bigquery.datasets.create 權限？)
• 「為什麼這位使用者無法查看這個 Cloud Storage 儲存空間的允許政策？」

如要進一步瞭解這些疑難排解工具，請參閱存取權相關疑難排解工具。

瞭解服務帳戶的使用方式和權限

服務帳戶是一種特殊的主體，可用於驗證 Google Cloud中的應用程式。

為協助您瞭解服務帳戶用量，政策智慧提供下列功能：

• 活動分析器：活動分析器可顯示服務帳戶和金鑰上次用於呼叫 Google API 的時間。如要瞭解如何使用活動分析工具，請參閱「查看服務帳戶和金鑰的近期使用情形」。

• 服務帳戶洞察：服務帳戶洞察是一種洞察，可找出專案中過去 90 天內未使用的服務帳戶。如要瞭解如何管理服務帳戶洞察資料，請參閱「找出未使用的服務帳戶」。

為協助您瞭解服務帳戶權限，Policy Intelligence 提供橫向移動洞察資料。「橫向移動洞察」是一種洞察，可找出允許某個專案中的服務帳戶模擬其他專案中服務帳戶的角色。如要進一步瞭解側向移動洞察資料，請參閱「側向移動洞察資料的產生方式」。如要瞭解如何管理側向移動深入分析，請參閱「找出具有側向移動權限的服務帳戶」。

側向移動洞察資料有時會連結至角色建議。角色建議會提供建議做法，協助您解決側向移動洞察資料所發現的問題。

改善政策

您可以運用角色建議，改善 IAM 允許政策。角色建議可協助您強制執行最低權限原則，確保主體只有實際所需的權限。每個角色建議都會建議您，移除或替換掉給主體過多權限的 IAM 角色。

如要進一步瞭解角色建議 (包括產生方式)，請參閱「依據角色建議強制實行最低權限機制」。

如要瞭解如何管理角色建議，請參閱下列其中一篇指南：

• 查看並套用專案、資料夾和機構的角色建議
• 查看並套用 Cloud Storage bucket 的角色建議
• 查看並套用 BigQuery 資料集的角色建議

避免政策設定錯誤

您可以使用多種政策智慧工具，瞭解政策異動對貴機構的影響。查看變更效果後，再決定是否要進行變更。

測試存取相關政策的變更

為協助您瞭解存取權相關政策的變更，可能會對主體的存取權造成哪些影響，Policy Intelligence 提供下列政策模擬器：

• 允許政策的政策模擬器
• 拒絕政策模擬器
• 主體存取邊界政策的 Policy Simulator

您可以使用這些模擬器，在提交變更前，瞭解變更該類型政策會對主體的存取權產生哪些影響。每個模擬工具只會評估一種政策類型，不會考量其他類型的政策是否允許或封鎖存取權。

測試組織政策變更

您可以使用機構政策的 Policy Simulator，在生產環境強制執行新的自訂限制或機構政策之前，預先瞭解這些項目帶來的影響。

Policy Simulator 會列出違反提議政策的資源 (政策尚未強制執行)，方便您重新設定這些資源、要求例外狀況，或變更機構政策範圍，完全不會中斷開發人員作業或導致環境停機。

如要瞭解如何使用 Policy Simulator 測試組織政策變更，請參閱「使用 Policy Simulator 測試組織政策變更」一文。