Große Organisationen haben oft eine umfassende Auswahl an Google Cloud-Richtlinien, um Ressourcen zu steuern und den Zugriff zu verwalten. Policy Intelligence-Tools helfen Ihnen, Ihre Richtlinien zu verstehen und zu verwalten, um Ihre Sicherheitskonfiguration proaktiv zu verbessern.
In den folgenden Abschnitten wird erläutert, was Sie mit Policy Intelligence-Tools tun können.
Informationen zu Richtlinien und Nutzung
Es gibt mehrere Policy Intelligence-Tools, mit denen Sie nachvollziehen können, was Zugriff auf Ihre Richtlinien zulässt und wie sie verwendet werden.
Zugriff analysieren
Cloud Asset Inventory bietet Policy Analyzer für IAM-Zulassungsrichtlinien, mit denen Sie basierend auf Ihren IAM-Zulassungsrichtlinien feststellen können, welche Hauptkonten Zugriff auf welche Google Cloud-Ressourcen haben.
Policy Analyzer hilft Ihnen bei der Beantwortung folgender Fragen:
- „Wer hat Zugriff auf dieses IAM-Dienstkonto?“
- „Welche Rollen und Berechtigungen hat dieser Nutzer für dieses BigQuery-Dataset?“
- „Welche BigQuery-Datasets darf dieser Nutzer lesen?“
Mit diesem Tool können Sie den Zugriff effektiv verwalten. Sie können Policy Analyzer auch für Audit- und Compliance-bezogene Aufgaben verwenden.
Weitere Informationen zu Policy Analyzer für Richtlinien zum Zulassen finden Sie unter Policy Analyzer-Übersicht.
Informationen zur Verwendung von Policy Analyzer für Zulassungsrichtlinien finden Sie unter IAM-Richtlinien analysieren.
Organisationsrichtlinien analysieren
Policy Intelligence bietet Policy Analyzer Richtlinien für Organisationsrichtlinien, mit denen Sie eine Analyseabfrage erstellen können, um Informationen zu benutzerdefinierten und vordefinierten Organisationsrichtlinien zu erhalten.
Mit Policy Analyzer können Sie eine Liste von Organisationsrichtlinien mit einer bestimmten Einschränkung und den Ressourcen zurückgeben, an die diese Richtlinien angehängt sind.
Informationen zur Verwendung von Policy Analyzer für Organisationsrichtlinien finden Sie unter Bestehende Organisationsrichtlinien analysieren.
Fehler beim Zugriff beheben
Damit Sie Probleme mit dem Zugriff verstehen und beheben können, bietet Policy Intelligence die folgenden Fehlerbehebungen:
- Richtlinien-Fehlerbehebung für Identity and Access Management
- VPC Service Controls-Fehlerbehebung
- Richtlinien-Fehlerbehebung für BeyondCorp Enterprise
Mithilfe der Fehlerbehebung können Sie Fragen zu den folgenden Gründen beantworten:
- „Warum hat dieser Nutzer die Berechtigung
bigquery.datasets.createfür dieses BigQuery-Dataset?“ - „Warum kann dieser Nutzer die Zulassungsrichtlinie für diesen Cloud Storage-Bucket nicht sehen?“
Weitere Informationen zu diesen Fehlerbehebungen finden Sie unter Zugriffsbezogene Fehlerbehebung.
Nutzung und Berechtigungen von Dienstkonten verstehen
Dienstkonten sind ein spezieller Hauptkontotyp, mit dem Sie Anwendungen in Google Cloud authentifizieren können.
Damit Sie die Nutzung des Dienstkontos besser nachvollziehen können, bietet Policy Intelligence die folgenden Features:
Activity Analyzer: Mit dem Activity Analyzer lässt sich feststellen, wann Ihre Dienstkonten und Schlüssel zuletzt zum Aufrufen einer Google API verwendet wurden. Informationen zur Verwendung von Activity Analyzer finden Sie unter Letzte Nutzung von Dienstkonten und Schlüsseln aufrufen.
Dienstkontostatistiken: Dienstkontostatistiken sind eine Art von Statistik, mit der ermittelt wird, welche Dienstkonten in Ihrem Projekt in den letzten 90 Tagen nicht verwendet wurden. Informationen zum Verwalten von Statistiken zu Dienstkonten finden Sie unter Nicht verwendete Dienstkonten suchen.
Damit Sie die Berechtigungen von Dienstkonten besser nachvollziehen können, bietet Policy Intelligence Statistiken zur lateralen Bewegung. Laterale Bewegungsstatistiken sind eine Art von Statistiken, mit denen Rollen identifiziert werden, die es einem Dienstkonto in einem Projekt ermöglichen, die Identität eines Dienstkontos in einem anderen Projekt zu übernehmen. Weitere Informationen zu Statistiken zur lateralen Bewegung finden Sie unter Erstellung von Statistiken zur lateralen Bewegung. Informationen zum Verwalten von Statistiken zur seitlichen Bewegung finden Sie unter Dienstkonten mit Berechtigungen für seitliche Bewegungen identifizieren.
Statistiken zu lateralen Bewegungen sind manchmal mit Rollenempfehlungen verknüpft. In Empfehlungen zu Rollen werden Maßnahmen empfohlen, mit denen Sie die durch laterale Bewegungserkennung identifizierten Probleme beheben können.
Richtlinien optimieren
Mithilfe von Rollenempfehlungen können Sie Ihre IAM-Zulassungsrichtlinien verbessern. Mit Rollenempfehlungen können Sie das Prinzip der geringsten Berechtigung erzwingen und dafür sorgen, dass Hauptkonten nur die Berechtigungen haben, die sie tatsächlich benötigen. Jede Rollenempfehlung schlägt vor, dass Sie eine IAM-Rolle entfernen oder ersetzen, die Ihren Hauptkonten nicht erforderliche Berechtigungen gewährt.
Weitere Informationen zu Rollenempfehlungen, einschließlich ihrer Generierung, finden Sie unter Minimale Berechtigung mit Rollenempfehlungen erzwingen.
Informationen zum Verwalten von Rollenempfehlungen finden Sie unter Rollenempfehlungen für Projekte, Ordner und Organisationen prüfen und anwenden oder Rollenempfehlungen für Cloud Storage-Buckets prüfen und anwenden.
Fehlkonfigurationen von Richtlinien verhindern
Es gibt mehrere Policy Intelligence-Tools, mit denen Sie sehen können, wie sich Richtlinienänderungen auf Ihre Organisation auswirken.
IAM-Zulassungsrichtlinien testen
Mit Policy Simulator für IAM-Zulassungsrichtlinien können Sie sehen, wie sich eine Änderung an einer IAM-Zulassungsrichtlinie auf den Zugriff eines Hauptkontos auswirken kann, bevor Sie die Änderung vornehmen. Mit dem Richtliniensimulator können Sie dafür sorgen, dass Änderungen nicht dazu führen, dass ein Hauptkonto den erforderlichen Zugriff verliert.
Um herauszufinden, wie sich eine Änderung an einer IAM-Zulassungsrichtlinie auf den Zugriff eines Hauptkontos auswirken kann, bestimmt der Policy Simulator, welche Zugriffsversuche der letzten 90 Tage unter der vorgeschlagenen Zulassungsrichtlinie und der aktuellen Zulassungsrichtlinie unterschiedliche Ergebnisse haben. Die Ergebnisse werden dann als Liste der Zugriffsänderungen aufgeführt.
Weitere Informationen zum Policy Simulator finden Sie unter IAM Policy Simulator – Übersicht.
Informationen zum Testen von Rollenänderungen mithilfe von Policy Simulator finden Sie unter Rollenänderungen mit IAM Policy Simulator testen.
Änderungen an Organisationsrichtlinien testen
Mit Policy Simulator for Organization Policy können Sie die Auswirkungen einer neuen benutzerdefinierten Einschränkung oder Organisationsrichtlinie, die eine benutzerdefinierte Einschränkung erzwingt, in der Vorschau ansehen, bevor sie in Ihrer Produktionsumgebung erzwungen wird.
Policy Simulator bietet eine Liste von Ressourcen, die vor der Erzwingung gegen die vorgeschlagene Richtlinie verstoßen. So können Sie diese Ressourcen neu konfigurieren, Ausnahmen beantragen oder den Geltungsbereich Ihrer Organisationsrichtlinie ändern, ohne Ihre Entwickler zu stören oder Ihre Umgebung herunterzufahren.
Informationen zum Testen von Änderungen an Organisationsrichtlinien mit Policy Simulator finden Sie unter Richtlinienänderungen für Organisationen testen.