Policy Intelligence 簡介

大型機構通常會有一整套 Google Cloud 政策，用來控管資源及管理存取權。Policy Intelligence 工具可協助您瞭解及管理政策，主動強化安全設定。

以下各節說明如何使用 Policy Intelligence 工具。

瞭解政策和使用方式

您可以運用多種 Policy Intelligence 工具，瞭解政策允許的存取權，以及政策的使用方式。

分析存取權

Cloud Asset Inventory 提供 IAM 允許政策的政策分析工具，可讓您根據 IAM 允許政策，瞭解哪些主體具備哪些Google Cloud 資源的存取權。

政策分析工具 可協助您解答下列問題：

• 「誰有這個 IAM 服務帳戶的存取權？」
• 「這個使用者在 BigQuery 資料集上擁有哪些角色和權限？」
• 「這個使用者有權讀取哪些 BigQuery 資料集？」

政策分析工具 可協助您回答這些問題，進而有效管理存取權。您也可以使用政策分析工具執行稽核和法規遵循相關工作。

如要進一步瞭解允許政策的 Policy Analyzer，請參閱政策分析工具總覽。

如要瞭解如何使用政策分析工具分析允許政策，請參閱分析 IAM 政策。

分析機構政策

Policy Intelligence 提供機構政策的政策分析工具，您可以使用這項工具建立分析查詢，取得自訂和預先定義組織政策的相關資訊。

您可以使用政策分析工具，傳回有特定限制的組織政策清單，以及附加這些政策的資源。

如要瞭解如何使用政策分析工具分析組織政策，請參閱「分析現有的組織政策」。

解決存取權問題

為協助您瞭解及解決存取問題，Policy Intelligence 提供下列疑難排解工具：

• 身分與存取權管理政策疑難排解工具
• VPC Service Controls 疑難排解工具
• Chrome Enterprise Premium 政策疑難排解工具

存取疑難排解工具可協助回答「為什麼」這類問題，例如：

• 「為什麼這個使用者對這個 BigQuery 資料集擁有 bigquery.datasets.create 權限？」
• 「為什麼這位使用者無法查看這個 Cloud Storage 儲存空間的允許政策？」

如要進一步瞭解這些疑難排解工具，請參閱存取權相關疑難排解工具。

瞭解服務帳戶的使用方式和權限

服務帳戶是一種特殊的主體，可用於驗證 Google Cloud中的應用程式。

為協助您瞭解服務帳戶用量，Policy Intelligence 提供下列功能：

• 活動分析器：活動分析器可顯示服務帳戶和金鑰上次用於呼叫 Google API 的時間。如要瞭解如何使用活動分析器，請參閱「查看服務帳戶和金鑰的近期使用情形」。

• 服務帳戶洞察：服務帳戶洞察是一種洞察，可找出專案中過去 90 天內未使用的服務帳戶。如要瞭解如何管理服務帳戶洞察資料，請參閱「找出未使用的服務帳戶」。

為協助您瞭解服務帳戶權限，Policy Intelligence 提供橫向移動洞察資料。「橫向移動洞察」是一種洞察，可找出允許某個專案中的服務帳戶模擬其他專案中服務帳戶的角色。如要進一步瞭解橫向移動深入分析，請參閱「橫向移動深入分析的產生方式」。如要瞭解如何管理橫向移動深入分析，請參閱「找出具有橫向移動權限的服務帳戶」。

橫向移動深入分析有時會連結至角色建議。角色建議會提供建議做法，協助您修復橫向移動深入分析所發現的問題。

改善政策

您可以運用角色建議，改善 IAM 允許政策。角色建議可協助您強制執行最低權限原則，確保主體只有實際所需的權限。每個角色建議都會建議您，移除或替換掉給主體過多權限的 IAM 角色。

如要進一步瞭解角色建議 (包括產生方式)，請參閱「依據角色建議強制實行最小權限機制」。

如要瞭解如何管理角色建議，請參閱下列其中一個指南：

• 查看並套用專案、資料夾和機構的角色建議
• 查看並套用 Cloud Storage 值區的角色建議
• 查看及套用 BigQuery 資料集的角色建議

避免政策設定錯誤

您可以使用多種 Policy Intelligence 工具，瞭解政策異動對貴機構的影響。查看變更效果後，再決定是否要進行變更。

測試存取相關政策的變更

為協助您瞭解存取權相關政策的變更，可能會對主體的存取權造成什麼影響，Policy Intelligence 提供下列政策模擬器：

• 允許政策的 Policy Simulator
• 政策模擬器 (適用於拒絕政策)
• 主體存取邊界政策的 Policy Simulator

您可以使用這些模擬器，在提交變更前，瞭解變更該類型政策會對主體的存取權產生哪些影響。每個模擬工具只會評估一種政策類型，不會考量其他類型的政策是否允許或封鎖存取權。

測試組織政策變更

您可以使用機構政策的 Policy Simulator，在正式環境強制執行新的自訂限制或機構政策之前，預先瞭解這些項目帶來的影響。

Policy Simulator 會列出違反提議政策的資源 (政策尚未強制執行)，方便您重新設定這些資源、要求例外狀況，或變更機構政策範圍，完全不會中斷開發人員作業或導致環境停機。

如要瞭解如何使用 Policy Simulator 測試組織政策變更，請參閱「使用 Policy Simulator 測試組織政策變更」。