Große Organisationen haben oft eine Vielzahl von Google Cloud Richtlinien, um Ressourcen zu steuern und den Zugriff zu verwalten. Mit Policy Intelligence-Tools können Sie Ihre Richtlinien nachvollziehen und verwalten, um Ihre Sicherheitskonfiguration proaktiv zu verbessern.
In den folgenden Abschnitten wird erläutert, was Sie mit den Policy Intelligence-Tools tun können.
Richtlinien und Nutzung verstehen
Es gibt mehrere Policy Intelligence-Tools, mit denen Sie nachvollziehen können, welchen Zugriff Ihre Richtlinien zulassen und wie die Richtlinien verwendet werden.
Zugriff analysieren
Cloud Asset Inventory bietet Policy Analyzer für IAM-Zulassungs richtlinien. Damit können Sie herausfinden, welche Hauptkonten aufgrund Ihrer IAM-Zulassungsrichtlinien Zugriff auf welche Google Cloud Ressourcen haben.
Mit dem Policy Analyzer erhalten Sie Antworten auf Fragen wie die folgenden:
- „Wer hat Zugriff auf dieses IAM-Dienstkonto?“
- „Welche Rollen und Berechtigungen hat dieser Nutzer in diesem BigQuery-Dataset?“
- „Welche BigQuery-Datasets darf dieser Nutzer lesen?“
Mit dem Policy Analyzer können Sie diese Fragen beantworten und so den Zugriff effektiv verwalten. Sie können den Policy Analyzer auch für Audit- und Compliance-Aufgaben verwenden.
Weitere Informationen zum Policy Analyzer für Zulassungsrichtlinien finden Sie unter Übersicht über den Policy Analyzer.
Informationen zur Verwendung des Policy Analyzer für Zulassungsrichtlinien finden Sie unter IAM-Richtlinien analysieren.
Organisationsrichtlinien analysieren
Policy Intelligence bietet den Policy Analyzer für Organisationsrichtlinien. Damit können Sie eine Analyseabfrage erstellen, um Informationen zu benutzerdefinierten und vordefinierten Organisationsrichtlinien zu erhalten.
Mit dem Policy Analyzer können Sie eine Liste von Organisationsrichtlinien mit einer bestimmten Einschränkung und den Ressourcen abrufen, an die diese Richtlinien angehängt sind.
Informationen zur Verwendung des Policy Analyzer für Organisationsrichtlinien finden Sie unter Vorhandene Organisationsrichtlinien analysieren.
Zugriffsprobleme beheben
Policy Intelligence bietet die folgenden Tools zur Fehlerbehebung, mit denen Sie Zugriffsprobleme nachvollziehen und beheben können:
- Policy Troubleshooter für Identity and Access Management
- VPC Service Controls-Fehlerbehebung
- Policy Troubleshooter für Chrome Enterprise Premium
Mit den Tools zur Fehlerbehebung für den Zugriff können Sie „Warum“-Fragen wie die folgenden beantworten:
- „Warum hat dieser Nutzer die Berechtigung
bigquery.datasets.createfür dieses BigQuery-Dataset?“ - „Warum kann dieser Nutzer die Zulassungsrichtlinie dieses Cloud Storage-Bucket nicht aufrufen?“
Weitere Informationen zu diesen Tools zur Fehlerbehebung finden Sie unter Tools zur Fehlerbehebung für den Zugriff.
Informationen zur Verwendung von Dienstkonten und Berechtigungen
Dienstkonten sind eine spezielle Art von Hauptkonto, mit dem Sie Anwendungen authentifizieren können Google Cloud.
Policy Intelligence bietet die folgenden Funktionen, mit denen Sie die Verwendung von Dienstkonten nachvollziehen können:
Aktivitätsanalyse: Mit der Aktivitätsanalyse können Sie prüfen, wann Ihre Dienst konten und Schlüssel zuletzt zum Aufrufen einer Google API verwendet wurden. Informationen zur Verwendung der Aktivitätsanalyse finden Sie unter Letzte Nutzung für Dienstkonten und Schlüssel ansehen.
Dienstkontostatistiken: Dienstkontostatistiken sind eine Art von Statistik, mit der Sie ermitteln können, welche Dienstkonten in Ihrem Projekt in den letzten 90 Tagen nicht verwendet wurden. Informationen zum Verwalten von Dienstkontostatistiken finden Sie unter Nicht verwendete Dienstkonten finden.
Policy Intelligence bietet Statistiken zum „Lateral Movement“, mit denen Sie die Berechtigungen von Dienstkonten nachvollziehen können. Statistiken zum „Lateral Movement“ sind eine Art von Statistik, mit der Sie Rollen ermitteln können, mit denen ein Dienstkonto in einem Projekt die Identität eines Dienstkontos in einem Dienstkonto in einem anderen Projekt übernehmen kann. Weitere Informationen zu Statistiken zum „Lateral Movement“ finden Sie unter Statistiken zum „Lateral Movement“ generieren. Informationen zum Verwalten von Statistiken zum „Lateral Movement“ finden Sie unter Dienstkonten mit Berechtigungen für „Lateral Movement“ ermitteln.
Statistiken zum „Lateral Movement“ sind manchmal mit Rollen empfehlungen verknüpft. Rollenempfehlungen schlagen Maßnahmen vor, mit denen Sie die durch Statistiken zum „Lateral Movement“ ermittelten Probleme beheben können.
Richtlinien verbessern
Sie können Ihre IAM-Zulassungsrichtlinien mithilfe von Rollenempfehlungen verbessern. Mit Rollenempfehlungen können Sie das Prinzip der geringsten Berechtigung erzwingen und Hauptkonten nur die Berechtigungen erteilen, die sie tatsächlich benötigen. Jede Rollenempfehlung schlägt vor, eine IAM-Rolle zu entfernen oder zu ersetzen, die Ihren Hauptkonten unnötige Berechtigungen gewährt.
Weitere Informationen zu Rollenempfehlungen, einschließlich ihrer Generierung, finden Sie unter Geringste Berechtigung mit Rollenempfehlungen erzwingen.
Informationen zum Verwalten von Rollenempfehlungen finden Sie in einem der folgenden Leitfäden:
- Rollenempfehlungen für Projekte, Ordner und Organisationen prüfen und anwenden
- Rollenempfehlungen für Cloud Storage-Buckets prüfen und anwenden
- Rollenempfehlungen für BigQuery-Datasets prüfen und anwenden
Fehlkonfigurationen von Richtlinien verhindern
Es gibt mehrere Policy Intelligence-Tools, mit denen Sie sehen können, wie sich Änderungen an Richtlinien auf Ihre Organisation auswirken. Nachdem Sie die Auswirkungen der Änderungen gesehen haben, können Sie entscheiden, ob Sie sie vornehmen möchten.
Änderungen an zugriffsbezogenen Richtlinien testen
Damit Sie sehen können, wie sich eine Änderung an einer zugriffsbezogenen Richtlinie auf den Zugriff Ihrer Hauptkonten auswirken kann, bietet Policy Intelligence die folgenden Richtliniensimulatoren:
- Policy Simulator für Zulassungsrichtlinien
- Policy Simulator für Ablehnungsrichtlinien
- Policy Simulator für Principal Access Boundary-Richtlinien
Mit jedem dieser Simulatoren können Sie sehen, wie sich eine Änderung an einer Richtlinie dieses Typs auf den Zugriff Ihrer Hauptkonten auswirken würde, bevor Sie die Änderung vornehmen. Jeder Simulator wertet nur einen Richtlinientyp aus. Es wird nicht berücksichtigt, ob andere Richtlinientypen den Zugriff zulassen oder blockieren würden.
Änderungen an Organisationsrichtlinien testen
Mit dem Policy Simulator für Organisationsrichtlinien können Sie eine Vorschau der Auswirkungen einer neuen benutzerdefinierten Einschränkung oder Organisationsrichtlinie ansehen, die eine benutzerdefinierte Einschränkung erzwingt, bevor sie in Ihrer Produktionsumgebung erzwungen wird.
Der Policy Simulator bietet eine Liste der Ressourcen, die gegen die vorgeschlagene Richtlinie verstoßen, bevor sie erzwungen wird. So können Sie diese Ressourcen neu konfigurieren, Ausnahmen anfordern oder den Bereich Ihrer Organisationsrichtlinie ändern, ohne Ihre Entwickler zu stören oder Ihre Umgebung zu beeinträchtigen.
Informationen zur Verwendung des Policy Simulator zum Testen von Änderungen an Organisationsrichtlinien, finden Sie unter Änderungen an Organisationsrichtlinien mit dem Policy Simulator testen.