בארגונים גדולים יש בדרך כלל קבוצה נרחבת של Google Cloud כללי מדיניות לשליטה במשאבים ולניהול הגישה. כלים לבקרת מדיניות עוזרים לכם להבין ולנהל את מדיניות ההרשאות שלכם וכך לשפר את הגדרות האבטחה.
בקטעים הבאים מוסבר מה אפשר לעשות עם הכלים לבקרת מדיניות.
הסבר על המדיניות ועל השימוש
יש כמה כלים לבקרת מדיניות שעוזרים לכם להבין איזו גישה המדיניות מאפשרת ואיך המדיניות נמצאת בשימוש.
ניתוח הגישה
מאגר משאבי הענן כולל את כלי הניתוח למדיניות הרשאות ב-IAM, שמאפשר לכם לגלות לאילו חשבונות משתמשים יש גישה לאילוGoogle Cloud משאבים על סמך מדיניות ההרשאות ב-IAM.
כלי הניתוח למדיניות יכול לעזור לענות על שאלות כמו:
- "למי יש גישה לחשבון השירות הזה של IAM?"
- "אילו תפקידים והרשאות יש למשתמש הזה במערך הנתונים הזה ב-BigQuery?"
- "אילו מערכי נתונים ב-BigQuery יש למשתמש הזה הרשאה לקרוא?"
כלי הניתוח למדיניות עוזר לכם לענות על השאלות האלה, וכך מאפשר לכם לנהל את הגישה בצורה יעילה. אפשר גם להשתמש בכלי הניתוח למדיניות למשימות שקשורות לביקורת ולתאימות.
מידע נוסף על כלי הניתוח למדיניות עבור כללי מדיניות הרשאה זמין במאמר סקירה כללית על כלי הניתוח למדיניות.
מידע נוסף על שימוש בכלי הניתוח למדיניות לצורך ניתוח מדיניות הרשאות מופיע במאמר ניתוח מדיניות IAM.
ניתוח של מדיניות הארגון
התכונה 'בינת מדיניות' מספקת את כלי הניתוח למדיניות עבור מדיניות הארגון, שבעזרתו אפשר ליצור שאילתת ניתוח כדי לקבל מידע על מדיניות ארגון מותאמת אישית ומדיניות ארגון שהוגדרה מראש.
אתם יכולים להשתמש בכלי הניתוח למדיניות כדי לקבל רשימה של מדיניות הארגון עם אילוץ מסוים ושל המשאבים שמצורפים למדיניות הזו.
במאמר ניתוח מדיניות ארגונית קיימת מוסבר איך משתמשים בכלי הניתוח למדיניות ארגונית.
לפתור בעיות שקשורות לגישה
כדי לעזור לכם להבין ולפתור בעיות בגישה, כלים לבקרת מדיניות מציעים את פותרי הבעיות הבאים:
- פותר הבעיות שקשורות למדיניות בנושא ניהול זהויות והרשאות גישה
- פותר הבעיות בנושא VPC Service Controls
- פותר הבעיות שקשורות למדיניות ב-Chrome Enterprise Premium
פותר הבעיות בנושא גישה עוזר לענות על שאלות כמו:
- "למה למשתמש הזה יש הרשאת
bigquery.datasets.createבמערך הנתונים הזה ב-BigQuery?" - "למה המשתמש הזה לא יכול לראות את מדיניות ההרשאה של קטגוריית Cloud Storage הזו?"
מידע נוסף על פותרי הבעיות האלה
הסבר על השימוש בחשבונות שירות ועל ההרשאות שלהם
חשבונות שירות הם סוג מיוחד של חשבון משתמש שאפשר להשתמש בו כדי לאמת אפליקציות ב- Google Cloud.
כדי לעזור לכם להבין את השימוש בחשבונות שירות, כלים לבקרת מדיניות מציע את התכונות הבאות:
Activity Analyzer: בעזרת Activity Analyzer תוכלו לראות מתי היה השימוש האחרון בחשבונות השירות ובמפתחות שלכם כדי לבצע קריאה ל-Google API. במאמר הצגת פרטי השימוש האחרונים בחשבונות שירות ובמפתחות מוסבר איך משתמשים ב-Activity Analyzer.
תובנות לגבי חשבונות שירות: תובנות לגבי חשבונות שירות הן סוג של תובנות שמזהות אילו חשבונות שירות בפרויקט לא היו בשימוש ב-90 הימים האחרונים. במאמר איתור חשבונות שירות שלא נמצאים בשימוש מוסבר איך מנהלים את התובנות לגבי חשבונות שירות.
כדי לעזור לכם להבין את ההרשאות של חשבון השירות, כלים לבקרת מדיניות מציעים תובנות לגבי תנועה רוחבית. תובנות לגבי תנועה רוחבית הן סוג של תובנה שמזהה תפקידים שמאפשרים לחשבון שירות בפרויקט אחד להתחזות לחשבון שירות בפרויקט אחר. מידע נוסף על תובנות לגבי תנועה רוחבית זמין במאמר איך נוצרות תובנות לגבי תנועה רוחבית. במאמר זיהוי חשבונות שירות עם הרשאות לתנועה רוחבית מוסבר איך לנהל תובנות לגבי תנועה רוחבית.
לפעמים התובנות לגבי תנועה רוחבית מקושרות להמלצות לגבי תפקידים. ההמלצות לגבי תפקידים מציעות פעולות שאפשר לבצע כדי לפתור את הבעיות שזוהו בתובנות לגבי תנועה רוחבית.
שיפור המדיניות
כדי לשפר את כללי מדיניות ההרשאה ב-IAM, אפשר להשתמש בהמלצות לתפקידים. ההמלצות לתפקידים עוזרות לכם לאכוף את העיקרון של הרשאות מינימליות, כדי שלחשבונות משתמשים יהיו רק ההרשאות שהם צריכים בפועל. כל המלצה לתפקיד מציעה להסיר או להחליף תפקיד ב-IAM שנותן לחשבונות המשתמשים הרשאות עודפות.
מידע נוסף על המלצות לתפקידים, כולל איך הן נוצרות, זמין במאמר אכיפת הרשאות מינימליות באמצעות המלצות לתפקידים.
כדי ללמוד איך לנהל המלצות לגבי תפקידים, אפשר להיעזר במדריכים הבאים:
- בדיקה ויישום של המלצות לתפקידים בפרויקטים, בתיקיות ובארגונים
- בדיקה ויישום של המלצות לגבי תפקידים בקטגוריות של Cloud Storage
- בדיקה והחלה של המלצות לתפקידים במערכי נתונים ב-BigQuery
מניעת טעויות בהגדרת המדיניות
יש כמה כלים לבקרת מדיניות שבהם אפשר להשתמש כדי לראות איך שינויים במדיניות ישפיעו על הארגון. אחרי שתראו את ההשפעה של השינויים, תוכלו להחליט אם לבצע אותם או לא.
בדיקת שינויים במדיניות שקשורה לגישה
כדי שתוכלו לראות איך שינוי במדיניות שקשורה לגישה עשוי להשפיע על הגישה של ישויות מורשות, כלים לבקרת מדיניות מספקת את סימולטורי המדיניות הבאים:
- סימולטור מדיניות למדיניות הרשאה
- סימולטור מדיניות לכללי מדיניות דחייה
- כלי לסימולציה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)
כל אחד מהסימולטורים האלה מאפשר לכם לראות איך שינוי במדיניות מהסוג הזה ישפיע על הגישה של חשבונות המשתמשים לפני שתאשרו את השינוי. כל סימולטור מעריך רק סוג אחד של מדיניות – הוא לא לוקח בחשבון אם סוגים אחרים של מדיניות יאפשרו או יחסמו גישה.
בדיקת שינויים במדיניות הארגון
סימולטור המדיניות של מדיניות הארגון מאפשר לכם לראות בתצוגה מקדימה את ההשפעה של אילוץ מותאם אישית חדש או של מדיניות ארגון שאוכפת אילוץ מותאם אישית, לפני שהם נאכפים בסביבת הייצור שלכם.
הסימולטור של מדיניות הארגון מספק רשימה של משאבים שמפירים את המדיניות המוצעת לפני שהיא נאכפת. כך אפשר להגדיר מחדש את המשאבים האלה, לבקש חריגים או לשנות את היקף מדיניות הארגון, בלי לשבש את העבודה של המפתחים או להשבית את הסביבה.
כדי ללמוד איך להשתמש בסימולטור המדיניות כדי לבדוק שינויים במדיניות הארגון, אפשר לעיין במאמר בדיקת שינויים במדיניות הארגון באמצעות סימולטור המדיניות.