Les grandes organisations disposent souvent d'un ensemble étendu de Google Cloud règles pour contrôler les ressources et gérer les accès. Les outils Policy Intelligence vous aident à comprendre et à gérer vos stratégies pour améliorer votre configuration de sécurité de manière proactive.
Les sections suivantes expliquent ce que vous pouvez faire avec les outils Policy Intelligence.
Comprendre les stratégies et leur utilisation
Plusieurs outils Policy Intelligence vous aident à comprendre les accès autorisés par vos stratégies et comment elles sont utilisées.
Analyser les accès
Inventaire des éléments cloud fournit Policy Analyzer pour les stratégies d'autorisation IAM, ce qui vous permet de savoir quels comptes principaux ont accès à quelles Google Cloud ressources en fonction de vos stratégies d'autorisation IAM.
Policy Analyzer peut vous aider à répondre aux questions suivantes :
- "Qui a accès à ce compte de service IAM ?"
- "Quels rôles et autorisations sont attribués à cet utilisateur sur cet ensemble de données BigQuery ?"
- "Quels ensembles de données BigQuery cet utilisateur a-t-il l'autorisation de lire ?"
En vous aidant à répondre à ces questions, Policy Analyzer vous permet d'administrer efficacement les accès. Vous pouvez également utiliser Policy Analyzer pour les tâches d'audit et de conformité.
Pour en savoir plus sur Policy Analyzer pour les stratégies d'autorisation, consultez la présentation de Policy Analyzer.
Pour apprendre à utiliser Policy Analyzer pour les stratégies d'autorisation, consultez la page Analyser des stratégies IAM.
Analyser les règles d'administration
Policy Intelligence fournit Policy Analyzer pour les règles d'administration, que vous pouvez utiliser pour créer une requête d'analyse afin d'obtenir des informations sur les règles d'administration personnalisées et prédéfinies.
Vous pouvez utiliser Policy Analyzer pour renvoyer une liste de règles d'administration auxquelles une contrainte particulière est appliquée, ainsi que les ressources auxquelles ces règles sont associées.
Pour savoir comment utiliser Policy Analyzer pour les règles d'administration, consultez la section Analyser les règles d'administration existantes.
Résoudre les problèmes d'accès
Pour vous aider à comprendre et à résoudre les problèmes d'accès, Policy Intelligence propose les outils de dépannage suivants :
- Policy Troubleshooter pour Identity and Access Management
- Outil de dépannage de VPC Service Controls
- Policy Troubleshooter pour Chrome Enterprise Premium
Les outils de dépannage des accès vous aident à répondre à des questions de type "pourquoi" :
- "Pourquoi cet utilisateur dispose-t-il de l'autorisation
bigquery.datasets.createsur cet ensemble de données BigQuery ?" - "Pourquoi cet utilisateur ne peut-il pas afficher la stratégie d'autorisation de ce bucket Cloud Storage ?"
Pour en savoir plus sur ces outils de dépannage, consultez la section Outils de dépannage liés aux accès.
Comprendre l'utilisation et les autorisations des comptes de service
Les comptes de service sont un type spécial de compte principal que vous pouvez utiliser pour authentifier des applications dans Google Cloud.
Pour vous aider à comprendre l'utilisation des comptes de service, Policy Intelligence propose les fonctionnalités suivantes :
Activity Analyzer : cet outil vous permet de savoir quand vos comptes de service et clés ont été utilisés pour la dernière fois pour appeler une API Google. Pour savoir comment utiliser Activity Analyzer, consultez la section Afficher l'utilisation récente des comptes de service et des clés.
Insights sur les comptes de service : ce type d' insight identifie les comptes de service de votre projet qui n'ont pas été utilisés au cours des 90 derniers jours. Pour savoir comment gérer les insights sur les comptes de service, consultez la section Rechercher les comptes de service inutilisés.
Pour vous aider à comprendre les autorisations des comptes de service, Policy Intelligence propose des insights sur les mouvements latéraux. Ce type d'insight identifie les rôles permettant à un compte de service d'un projet d'usurper l'identité d'un compte de service d'un autre projet. Pour en savoir plus sur les insights sur les mouvements latéraux, consultez la section Comment les insights sur les mouvements latéraux sont générés. Pour savoir comment gérer les insights sur les mouvements latéraux, consultez la section Identifier les comptes de service disposant d'autorisations de mouvement latéral.
Les insights sur les mouvements latéraux sont parfois liés à des recommandations de rôles. Les recommandations de rôles suggèrent des actions que vous pouvez entreprendre pour résoudre les problèmes identifiés par les insights sur les mouvements latéraux.
Améliorer vos stratégies
Vous pouvez améliorer vos stratégies d'autorisation IAM à l'aide de recommandations de rôles. Les recommandations de rôle vous aident à appliquer le principe du moindre privilège en vous assurant que les comptes principaux disposent uniquement des autorisations dont ils ont réellement besoin. Chaque recommandation de rôle vous suggère de supprimer ou de remplacer un rôle IAM accordant trop d'autorisations à vos comptes principaux.
Pour en savoir plus sur les recommandations de rôle, y compris sur la façon dont elles sont générées, consultez la section Appliquer le principe du moindre privilège avec les recommandations de rôle.
Pour savoir comment gérer les recommandations de rôles, consultez l'un des guides suivants :
- Examiner et appliquer les recommandations de rôles pour les projets, les dossiers et les organisations
- Examiner et appliquer les recommandations de rôles pour les buckets Cloud Storage
- Examiner et appliquer les recommandations de rôles pour les ensembles de données BigQuery
Éviter les erreurs de configuration des stratégies
Vous pouvez utiliser plusieurs outils Policy Intelligence pour voir comment les modifications apportées aux stratégies affecteront votre organisation. Une fois que vous avez constaté l'effet des modifications, vous pouvez décider de les appliquer ou non.
.Google Cloud Les recommandations de risque de modification génèrent des avertissements lorsque vous essayez d'apporter certaines modifications à haut risque, comme la révocation d'un rôle au niveau du projet que Google Cloud a identifié comme important.Tester les modifications apportées aux stratégies liées aux accès
Pour vous permettre de voir comment une modification apportée à une stratégie liée aux accès peut affecter l'accès de vos comptes principaux, Policy Intelligence fournit les simulateurs de stratégie suivants :
- Policy Simulator pour les stratégies d'autorisation
- Policy Simulator pour les stratégies de refus
- Policy Simulator pour les stratégies de limite d'accès des comptes principaux
Chacun de ces simulateurs vous permet de voir comment une modification apportée à une stratégie de ce type affecterait l'accès de vos comptes principaux avant que vous ne procédiez à la modification. Chaque simulateur n'évalue qu'un seul type de stratégie. Il ne tient pas compte du fait que d'autres types de stratégies autoriseraient ou bloqueraient l'accès.
Tester les modifications apportées aux règles d'administration
Policy Simulator pour les règles d'administration vous permet de prévisualiser l'impact d'une nouvelle contrainte personnalisée ou d'une règle d'administration qui applique une contrainte personnalisée avant qu'elle ne soit appliquée dans votre environnement de production.
Policy Simulator fournit une liste des ressources qui enfreignent la règle proposée avant qu'elle ne soit appliquée. Vous pouvez ainsi reconfigurer ces ressources, demander des exceptions ou modifier le champ d'application de votre règle d'administration, le tout sans perturber vos développeurs ni mettre votre environnement hors service.
Pour savoir comment utiliser Policy Simulator afin de tester les modifications apportées aux règles d'administration, consultez la section Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator.