Policy Intelligence 概览

大型组织通常拥有大量 Google Cloud 政策来 控制资源和管理访问权限。Policy Intelligence 工具可帮助您了解并管理您的政策，以主动改进您的安全配置。

以下部分介绍您可以使用 Policy Intelligence 工具执行的操作。

了解政策和使用情况

您可以借助一些 Policy Intelligence 工具了解政策允许的访问权限以及政策的使用情况。

分析访问权限

Cloud Asset Inventory 提供 IAM 允许 政策的 Policy Analyzer，可让您根据 Google Cloud IAM 允许政策了解哪些主账号有权访问哪些 资源。

Policy Analyzer 可以帮助您回答如下问题：

• “谁有权访问此 IAM 服务帐号？”
• “此用户对此 BigQuery 数据集有哪些角色和权限？”
• 此用户有权读取哪些 BigQuery 数据集？

Policy Analyzer 可帮助您回答这些问题，从而让您能够有效地管理访问权限。您还可以将 Policy Analyzer 用于与审核和合规性相关的任务。

如需详细了解允许政策的 Policy Analyzer，请参阅 Policy Analyzer 概览。

如需了解如何使用允许政策的 Policy Analyzer，请参阅 分析 IAM 政策。

分析组织政策

Policy Intelligence 提供组织政策的 Policy Analyzer，您可以使用它创建分析查询，以获取有关自定义组织政策和预定义组织政策的信息。

您可以使用 Policy Analyzer 返回具有特定限制条件的组织政策列表，以及附加了这些政策的资源。

如需了解如何使用组织政策的 Policy Analyzer，请参阅 分析现有组织政策。

排查访问权限问题

为了帮助您了解和解决访问权限问题，Policy Intelligence 提供了以下问题排查工具：

• Identity and Access Management 的政策问题排查工具
• VPC Service Controls 问题排查工具
• Chrome 企业进阶版政策问题排查工具

访问权限问题排查工具可帮助回答“为什么”问题，例如：

• “为什么该用户对此 BigQuery 数据集具有 bigquery.datasets.create 权限？”
• “为什么该用户无法查看此 Cloud Storage 存储桶的允许政策？”

如需详细了解这些问题排查工具，请参阅与访问权限相关的问题排查工具。

了解服务帐号使用情况和权限

服务账号是一种特殊类型的主账号，您 可用于对应用进行身份验证 Google Cloud。

为了帮助您了解服务帐号使用情况，Policy Intelligence 提供了以下功能：

• 活动分析器：借助活动分析器，您可以查看上次使用服务 账号和密钥调用 Google API 的时间。如需了解如何使用 活动分析器，请参阅查看服务账号和 密钥的近期使用情况。

• 服务账号数据分析：服务账号数据分析是一种 数据分析，用于识别项目中过去 90 天内 未使用的服务账号。如需了解如何管理 服务帐号数据分析，请参阅查找未使用的服务账号。

为了帮助您了解服务帐号权限，Policy Intelligence 提供了横向移动数据分析。横向移动数据分析是一种数据分析，用于识别允许一个项目中的服务帐号模拟另一个项目中的服务帐号的角色。如需详细了解横向移动数据分析，请参阅如何 生成横向移动数据分析。如需了解 如何管理横向移动数据分析，请参阅识别具有 横向移动权限的服务账号。

横向移动数据分析有时会与角色 建议相关联。角色建议会针对横向移动数据分析发现的问题，建议您可以采取哪些措施来解决这些问题。

改进政策

您可以使用角色建议来改进 IAM 允许政策。角色建议可确保主账号仅拥有其实际需要的权限，从而帮助您强制执行最小权限原则。每条角色建议都会针对授予主账号多余权限的 IAM 角色提出移除或替换建议。

如需详细了解角色建议（包括其生成方式），请参阅 使用角色建议强制执行最小权限。

如需了解如何管理角色建议，请参阅以下指南之一：

• 查看并应用针对项目、文件夹和组织的角色建议
• 查看并应用针对 Cloud Storage 存储分区的角色建议
• 查看并应用针对 BigQuery 数据集的角色建议

防止政策配置错误

您可以使用一些 Policy Intelligence 工具来了解政策更改对组织的影响。在了解更改的效果后，您可以决定是否进行更改。

测试对与访问权限相关的政策的更改

为了让您了解对与访问权限相关的政策的更改可能会对主账号的访问权限有何影响，Policy Intelligence 提供了以下政策模拟器：

• 允许政策的 Policy Simulator
• 拒绝政策的 Policy Simulator
• 主账号访问权限边界政策的 Policy Simulator

借助这些模拟器，您可以先了解对相应类型的政策所做的更改会对正文账号的访问权限有何影响，然后再决定是否进行更改。每个模拟器仅评估一种政策类型，不会考虑其他类型的政策是否允许或阻止访问。

测试组织政策更改

组织政策的 Policy Simulator 可让您在生产环境中强制执行新的自定义限制条件或强制执行自定义限制条件的组织政策之前，预览其产生的影响。

Policy Simulator 会提供违反拟强制执行的建议的政策的资源列表，让您能够重新配置这些资源、请求例外情况或更改组织政策的适用范围，而不会中断开发者或导致环境停机。

如需了解如何使用 Policy Simulator 测试对组织政策的更改， 请参阅 使用 Policy Simulator 测试组织政策更改。