Analisador de políticas para políticas de permissão

O Analisador de políticas para políticas de autorização permite-lhe saber que principais (por exemplo, utilizadores, contas de serviço, grupos e domínios) têm que acesso a que recursos com base nas suas políticas de autorização do IAM. Google Cloud

O analisador de políticas para políticas de permissão pode ajudar a responder a perguntas como estas:

• Quem pode aceder a esta conta de serviço do IAM?
• Quem pode ler dados neste conjunto de dados do BigQuery que contém informações de identificação pessoal (PII)?
• Que funções e autorizações tem o grupo dev-testers em qualquer recurso neste projeto?
• Que instâncias de máquinas virtuais (VMs) do Compute Engine pode o Tal eliminar no projeto A?
• Quem pode aceder a este contentor do Cloud Storage às 19:00?

Como funciona o analisador de políticas para políticas de autorização

Para usar o Analisador de políticas para políticas de autorização, crie uma consulta de análise, especifique um âmbito para a análise e, em seguida, execute a consulta.

Consultas de análise

Para usar o Analisador de políticas, cria uma consulta de análise que especifica um ou mais dos seguintes campos:

• Principais: as identidades (por exemplo, utilizadores, contas de serviço, grupos e domínios) cujo acesso quer verificar
• Acesso: as autorizações e as funções que quer verificar
• Recursos: os recursos para os quais quer verificar o acesso
• (Apenas API) Contexto da condição: o contexto, por exemplo, a hora do dia, em que quer verificar o acesso

Normalmente, especifica um ou dois destes campos na consulta de análise e, em seguida, usa os resultados da consulta para obter mais informações sobre os campos que não especificou. Por exemplo, se quiser saber quem tem uma determinada autorização num determinado recurso, especifica o acesso e o recurso na consulta de análise, mas não especifica o principal.

Para ver mais exemplos dos tipos de consultas que pode criar, consulte Tipos de consultas comuns.

Âmbito da análise

Para executar uma consulta de análise, tem de especificar um âmbito para analisar. O âmbito é uma organização, uma pasta ou um projeto ao qual quer restringir a sua análise. Apenas as políticas de autorização da IAM anexadas ao recurso usado como âmbito e aos respetivos descendentes serão analisadas.

Na API REST e na CLI gcloud, especifica o âmbito manualmente. Na consola Google Cloud , o âmbito é determinado automaticamente com base no projeto, na pasta ou na organização que está a gerir.

Depois de criar uma consulta de análise e especificar o âmbito, pode executar a consulta para analisar as políticas nesse âmbito.

Resultados da consulta

Quando executa uma consulta de análise, o Analisador de políticas comunica quaisquer associações de funções que contenham os principais, o acesso e os recursos que especificou na consulta. Para cada associação de funções, comunica os principais na associação, o acesso (função e autorizações) que a associação concede e o recurso ao qual a associação concede acesso.

Pode rever estes resultados para compreender melhor o acesso no seu projeto, pasta ou organização. Por exemplo, se executou uma consulta para saber que diretores têm acesso a um recurso específico, revê os diretores nos resultados da consulta.

Pode ajustar as informações nos resultados da consulta ativando as opções de consulta.

Tipos de políticas suportados

O Analisador de políticas para políticas de permissão só suporta políticas de permissão do IAM.

O Analisador de políticas para políticas de permissão não suporta as seguintes formas de controlo de acesso:

• Políticas de negação do IAM
• Políticas de limite de acesso de principal do IAM
• Controlo de acesso baseado em funções do Google Kubernetes Engine
• Listas de controlo de acesso do Cloud Storage
• Prevenção do acesso público ao Cloud Storage

Os resultados da consulta do Analisador de políticas não têm em conta os tipos de políticas não suportados. Por exemplo, imagine que um utilizador tem a autorização iam.roles.get num projeto devido a uma política de permissão, mas uma política de recusa impede-o de usar a autorização. O analisador de políticas vai comunicar que têm a autorização iam.roles.get, apesar da política de negação.

Herança de políticas

Para ter em conta a herança de políticas, o Analisador de políticas analisa automaticamente todas as políticas de permissão relevantes no âmbito especificado, independentemente da respetiva localização na hierarquia de recursos.

Por exemplo, imagine que está a tentar descobrir quem pode aceder a uma conta de serviço do IAM:

• Se restringir o âmbito da consulta a um projeto, o Policy Analyzer analisa a política de autorização da conta de serviço e a política de autorização do projeto.
• Se restringir o âmbito da consulta a uma organização, o Policy Analyzer analisa a política de autorização da conta de serviço, a política de autorização do projeto que detém a conta de serviço, as políticas de autorização de todas as pastas que contêm o projeto e a política de autorização da organização.

Acesso condicional

Se uma associação de função tiver uma condição, só concede acesso a um principal quando essa condição é cumprida. O Policy Analyzer comunica sempre as condições anexadas às associações de funções relevantes. As associações de funções relevantes são associações de funções que contêm os principais, o acesso e os recursos que especificou na consulta de análise.

Em alguns casos, o Analisador de políticas também pode analisar a condição, o que significa que pode comunicar se a condição seria cumprida. O Analisador de políticas pode analisar os seguintes tipos de condições:

• Condições baseadas em atributos de recursos, para tipos de recursos que fornecem um nome de recurso.
• Condições de data/hora (apenas na API e na CLI gcloud). Para que o Analisador de políticas analise estas condições, tem de indicar a hora do acesso (accessTime) na sua consulta de análise. Para saber como fornecer este contexto, consulte o artigo Determine o acesso num momento específico.

Se uma associação de funções relevante contiver uma condição, o Analisador de políticas faz uma das seguintes ações:

• Se o Analisador de políticas conseguir analisar a condição, realiza uma das seguintes ações:

  • Se a condição for avaliada como verdadeira, o Analisador de políticas inclui a associação de funções nos resultados da consulta e marca a avaliação da condição como TRUE.
  • Se a condição for avaliada como falsa, o Analisador de políticas não inclui a função nos resultados da consulta.

• Se o analisador de políticas não conseguir analisar uma condição para uma associação de função relevante, inclui a função nos resultados da consulta e marca a avaliação da condição como CONDITIONAL.

Atualidade dos dados

O Analisador de políticas usa a API Cloud Asset, que oferece atualidade dos dados com base no melhor esforço. Embora quase todas as atualizações de políticas apareçam no Analisador de políticas em minutos, é possível que o Analisador de políticas não inclua as atualizações de políticas mais recentes.

Tipos de consultas comuns

Esta secção descreve como usar as consultas de análise para responder a perguntas comuns relacionadas com o acesso.

Que responsáveis podem aceder a este recurso?

Para determinar que responsáveis podem aceder a um recurso, crie uma consulta de análise que especifique o recurso e, opcionalmente, as funções e as autorizações que quer verificar.

Estas consultas podem ajudar a responder a perguntas como as seguintes:

• Quem tem acesso a esta conta de serviço IAM?
• Quem tem autorização para se fazer passar por esta conta de serviço do IAM?
• Quem são os administradores de faturação do projeto A?
• (Apenas para a API e a CLI gcloud): quem pode atualizar o projeto A fazendo-se passar por uma conta de serviço?

Para saber como criar e enviar estas consultas, consulte o artigo Determine que responsáveis podem aceder a um recurso.

Que responsáveis têm estas funções e autorizações?

Para determinar que principais têm determinadas funções e autorizações, crie uma consulta de análise que especifique um principal e um conjunto de funções e autorizações que quer verificar.

Estas consultas podem ajudar a responder a perguntas como as seguintes:

• Quem tem autorização para se fazer passar por contas de serviço na minha organização?
• Quem são os administradores de faturação na minha organização?
• Quem pode ler dados neste conjunto de dados do BigQuery que contém informações de identificação pessoal (PII)?
• (Apenas para a API e a CLI gcloud): quem na minha organização pode ler um conjunto de dados do BigQuery fazendo-se passar por uma conta de serviço?

Para saber como criar e enviar estas consultas, consulte o artigo Determine que responsáveis têm determinadas funções ou autorizações.

Que funções e autorizações tem este principal neste recurso?

Para determinar que funções e autorizações um principal tem num recurso específico, crie uma consulta de análise que especifique um principal e um recurso que quer verificar quanto às autorizações.

Estas consultas podem ajudar a responder a perguntas como as seguintes:

• Que funções e autorizações tem o utilizador Sasha neste conjunto de dados do BigQuery?
• Que funções e autorizações tem o grupo dev-testers em qualquer recurso neste projeto?
• (Apenas para a API e a CLI gcloud): que funções e autorizações tem o utilizador Dana neste conjunto de dados do BigQuery se Dana se fizer passar por uma conta de serviço?

Para saber como criar e enviar estas consultas, consulte o artigo Determine que acesso um principal tem a um recurso.

A que recursos pode este diretor aceder?

Para determinar a que recursos um principal específico pode aceder, crie uma consulta de análise que especifique um principal e as funções e as autorizações que quer verificar.

Estas consultas podem ajudar a responder a perguntas como as seguintes:

• A que conjuntos de dados do BigQuery o utilizador Mahan tem permissão de leitura?
• De que conjuntos de dados do BigQuery é o grupo dev-testers o proprietário dos dados?
• Que VMs pode Tal eliminar no projeto A?
• (Apenas API e CLI gcloud): que VMs pode o utilizador João eliminar fazendo-se passar por uma conta de serviço?

Para saber como criar e enviar estas consultas, consulte o artigo Determine a que recursos um principal pode aceder.

Consultas de análise guardadas

Se estiver a usar a API REST, pode guardar consultas de análise para reutilizar ou partilhar com outras pessoas. Pode executar uma consulta guardada tal como executaria qualquer outra consulta.

Para saber como guardar consultas, consulte o artigo Gerir consultas guardadas.

Exporte os resultados da consulta

Pode executar consultas de forma assíncrona e exportar os resultados das consultas para o BigQuery ou o Cloud Storage através da analyzeIamPolicyLongrunning.

Para saber como exportar resultados de consultas para o BigQuery, consulte o artigo Escreva análise de políticas no BigQuery.

Para saber como exportar resultados de consultas para o Cloud Storage, consulte o artigo Escreva a análise de políticas no Cloud Storage.

Opções de consulta

O analisador de políticas oferece várias opções que adicionam mais detalhes aos resultados da sua consulta.

Para saber como ativar estas opções, consulte Ativar opções.

Expansão de grupos

Se ativar a expansão de grupos, todos os grupos nos resultados da consulta são expandidos em membros individuais. Esta expansão está limitada a 1000 membros por grupo. Se tiver autorizações de grupo suficientes, os grupos aninhados também são expandidos. Esta opção só é eficaz se não especificar um principal na sua consulta.

Por exemplo, imagine que ativa a expansão de grupos para a consulta "Quem tem a autorização storage.buckets.delete para project-1?" Se o Analisador de políticas encontrar grupos com a autorização storage.buckets.delete, os resultados da consulta apresentam não só o identificador do grupo, mas também todos os membros individuais no grupo.

Esta opção permite-lhe compreender o acesso de utilizadores individuais, mesmo que esse acesso seja resultado da respetiva associação a um grupo.

Expansão de funções

Se ativar a expansão de funções, a consulta apresenta todas as autorizações dentro de cada função, além da própria função. Esta opção só está disponível se não especificar autorizações nem funções na sua consulta.

Por exemplo, imagine que ativa a expansão de funções para a consulta "Que acesso tem my-user@example.com ao contentor bucket-1?" Se o Policy Analyzer encontrar funções que concedam acesso de my-user@example.com a bucket-1, os resultados da consulta apresentam não só o nome da função, mas também todas as autorizações incluídas na função.

Esta opção permite-lhe ver exatamente que autorizações os seus principais têm.

Expansão de recursos

Se ativar a expansão de recursos para uma consulta do Analisador de políticas, a consulta apresenta todos os recursos descendentes relevantes para quaisquer recursos principais (projetos, pastas e organizações) nos resultados da consulta. Esta expansão está limitada a 1000 recursos por recurso principal para consultas do analisador de políticas e 100 000 recursos por recurso principal para consultas de longa duração do analisador de políticas.

Por exemplo, considere como a expansão de recursos afetaria as seguintes consultas:

• Quem tem a autorização storage.buckets.delete para project-1?

  Se ativar a expansão de recursos para esta consulta, a secção de recursos dos resultados da consulta apresenta não só o projeto, mas também todos os contentores de armazenamento no projeto.

• Em que recursos é que my-user@example.com tem a autorização compute.instances.setIamPolicy?

  Se ativar a expansão de recursos para esta consulta e o analisador de políticas determinar que my-user@example.com tem uma função ao nível do projeto que contém essa autorização, a secção de recursos dos resultados da consulta apresenta não só o projeto, mas também todas as instâncias do Compute Engine no projeto.

Esta opção permite-lhe compreender detalhadamente os recursos aos quais os seus diretores podem aceder.

Simulação de identidade de conta de serviço

Se estiver a usar a API REST ou a CLI gcloud, pode ativar a análise da representação de contas de serviço.

Se esta opção estiver ativada, o Analisador de políticas executa consultas de análise adicionais para determinar quem pode roubar a identidade das contas de serviço que têm o acesso especificado aos recursos especificados. O analisador de políticas executa uma consulta para cada conta de serviço nos resultados da consulta. Estas consultas analisam quem tem alguma das seguintes autorizações na conta de serviço:

• iam.serviceAccounts.actAs
• iam.serviceAccounts.getAccessToken
• iam.serviceAccounts.getOpenIdToken
• iam.serviceAccounts.implicitDelegation
• iam.serviceAccounts.signBlob
• iam.serviceAccounts.signJwt

Quotas e limites

O Cloud Asset Inventory aplica a taxa de pedidos recebidos, incluindo pedidos de análise de políticas, com base no projeto do consumidor. O Cloud Asset Inventory também limita a expansão de grupos nas associações a grupos e a expansão de recursos na hierarquia de recursos.

Para ver as quotas e os limites predefinidos do analisador de políticas, consulte o artigo Quotas e limites na documentação do Cloud Asset Inventory.

Preços

Cada organização pode executar até 20 consultas de análise por dia sem custo financeiro. Este limite inclui a análise da política de permissão e a análise da política da organização.

Se quiser executar mais de 20 consultas de análise por dia, tem de ter uma ativação ao nível da organização do nível Premium ou Enterprise do Security Command Center. Para mais informações, consulte o artigo Perguntas sobre faturação.

O que se segue?

• Saiba como usar o Analisador de políticas para analisar uma política de permissão.
• Veja como pode usar a API REST para guardar consultas de análise de políticas.