Le grandi organizzazioni spesso hanno un insieme esteso di Google Cloud policy per controllare le risorse e gestire l'accesso. Gli strumenti di Policy Intelligence ti aiutano a comprendere e gestire le tue policy per migliorare in modo proattivo la configurazione della sicurezza.
Le sezioni seguenti spiegano cosa puoi fare con gli strumenti di Policy Intelligence.
Comprendere le policy e l'utilizzo
Esistono diversi strumenti di Policy Intelligence che ti aiutano a capire a quali accessi consentono le tue policy e come vengono utilizzate.
Analizzare l'accesso
Cloud Asset Inventory fornisce Policy Analyzer per le policy di autorizzazione IAM, che ti consente di scoprire quali entità hanno accesso a quali Google Cloud risorse in base alle tue policy di autorizzazione IAM.
Policy Analyzer ti aiuta a rispondere a domande come le seguenti:
- Chi ha accesso a questo account di servizio IAM?
- "Quali ruoli e autorizzazioni ha questo utente in questo set di dati BigQuery?"
- "A quali set di dati BigQuery ha l'autorizzazione di lettura questo utente?"
Aiutandoti a rispondere a queste domande, Policy Analyzer ti consente di amministrare efficacemente l'accesso. Puoi anche utilizzare Policy Analyzer per attività correlate ad audit e conformità.
Per saperne di più su Policy Analyzer per le policy di autorizzazione, consulta la panoramica di Policy Analyzer.
Per scoprire come utilizzare Policy Analyzer per le policy di autorizzazione, consulta Analizzare le policy IAM.
Analizzare le policy dell'organizzazione
Policy Intelligence fornisce Policy Analyzer per le policy dell'organizzazione, che puoi utilizzare per creare una query di analisi per ottenere informazioni sulle policy dell'organizzazione personalizzate e predefinite.
Puoi utilizzare Policy Analyzer per restituire un elenco di policy dell'organizzazione con un determinato vincolo e le risorse a cui sono associate.
Per scoprire come utilizzare Policy Analyzer per le policy dell'organizzazione, consulta Analizzare le policy dell'organizzazione esistenti.
Risolvere i problemi di accesso
Per aiutarti a comprendere e risolvere i problemi di accesso, Policy Intelligence offre i seguenti strumenti per la risoluzione dei problemi:
- Policy Troubleshooter per Identity and Access Management
- Strumento per la risoluzione dei problemi di Controlli di servizio VPC
- Policy Troubleshooter per Chrome Enterprise Premium
Gli strumenti per la risoluzione dei problemi di accesso aiutano a rispondere a domande sul "perché" come le seguenti:
- "Perché questo utente ha l'autorizzazione
bigquery.datasets.createsu questo set di dati BigQuery?" - "Perché questo utente non può visualizzare la policy di autorizzazione di questo bucket Cloud Storage?"
Per saperne di più su questi strumenti per la risoluzione dei problemi, consulta Strumenti per la risoluzione dei problemi relativi all'accesso.
Comprendere l'utilizzo e le autorizzazioni dei account di servizio
I service account sono un tipo speciale di entità che puoi utilizzare per autenticare le applicazioni in Google Cloud.
Per aiutarti a comprendere l'utilizzo dei account di servizio, Policy Intelligence offre le seguenti funzionalità:
Analizzatore attività: l'analizzatore attività ti consente di vedere quando i tuoi service account e le tue chiavi sono stati utilizzati l'ultima volta per chiamare un'API Google. Per scoprire come utilizzare l'analizzatore attività, consulta Visualizzare l'utilizzo recente di service account e chiavi.
Insight sui service account: gli insight sui service account sono un tipo di insight che identifica i service account nel tuo progetto che non sono stati utilizzati negli ultimi 90 giorni. Per scoprire come gestire gli insight sui account di servizio, consulta Trovare i service account inutilizzati.
Per aiutarti a comprendere le autorizzazioni dei account di servizio, Policy Intelligence offre insight sul movimento laterale. Gli insight sul movimento laterale sono un tipo di insight che identifica i ruoli che consentono a un account di servizio in un progetto di simulare l'identità di un account di servizio in un altro progetto. Per saperne di più sugli insight sul movimento laterale, consulta Come vengono generati gli insight sul movimento laterale. Per scoprire come gestire gli insight sul movimento laterale, consulta Identificare i service account con autorizzazioni di movimento laterale.
Gli insight sul movimento laterale sono a volte collegati ai suggerimenti sui ruoli. I suggerimenti sui ruoli suggeriscono azioni che puoi intraprendere per risolvere i problemi identificati dagli insight sul movimento laterale.
Migliorare le policy
Puoi migliorare le policy di autorizzazione IAM utilizzando i suggerimenti sui ruoli. I suggerimenti sui ruoli ti aiutano ad applicare il principio del privilegio minimo assicurando che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno. Ogni suggerimento per il ruolo ti consiglia di rimuovere o sostituire un ruolo IAM che concede autorizzazioni in eccesso alle entità.
Per saperne di più sui suggerimenti sui ruoli, inclusa la modalità di generazione, consulta Applicare il principio del privilegio minimo con i suggerimenti sui ruoli.
Per scoprire come gestire i suggerimenti sui ruoli, consulta una delle seguenti guide:
- Esaminare e applicare i suggerimenti sui ruoli per progetti, cartelle e organizzazioni
- Esaminare e applicare i suggerimenti sui ruoli per i bucket Cloud Storage
- Esaminare e applicare i suggerimenti sui ruoli per i set di dati BigQuery
Prevenire le configurazioni errate delle policy
Esistono diversi strumenti di Policy Intelligence che puoi utilizzare per vedere in che modo le modifiche alle policy influiranno sulla tua organizzazione. Dopo aver visualizzato l'effetto delle modifiche, puoi decidere se applicarle o meno.
Testare le modifiche alle policy relative all'accesso
Per consentirti di vedere in che modo una modifica a una policy relativa all'accesso potrebbe influire sull'accesso delle tue entità, Policy Intelligence fornisce i seguenti simulatori di policy:
- Policy Simulator per le policy di autorizzazione
- Policy Simulator per le policy di negazione
- Policy Simulator per le policy di Principal Access Boundary
Ognuno di questi simulatori ti consente di vedere in che modo una modifica a una policy di questo tipo influirebbe sull'accesso delle tue entità prima di eseguire il commit della modifica. Ogni simulatore valuta solo un tipo di policy e non tiene conto del fatto che altri tipi di policy consentano o blocchino l'accesso.
Testare le modifiche alle policy dell'organizzazione
Policy Simulator per le policy dell'organizzazione ti consente di visualizzare l'anteprima dell'impatto di un nuovo vincolo personalizzato o di una nuova policy dell'organizzazione che applica un vincolo personalizzato prima che venga applicato all'ambiente di produzione.
Policy Simulator fornisce un elenco di risorse che violano la policy proposta prima dell'applicazione, consentendoti di riconfigurare queste risorse, richiedere eccezioni o modificare l'ambito della policy dell'organizzazione, il tutto senza interrompere gli sviluppatori o arrestare l'ambiente.
Per scoprire come utilizzare Policy Simulator per testare le modifiche alle policy dell'organizzazione, consulta Testare le modifiche alle policy dell'organizzazione con Policy Simulator.