Descripción general de Policy Intelligence

Las organizaciones grandes suelen tener un amplio conjunto de políticas de Google Cloud para controlar los recursos y administrar el acceso. Las herramientas de Policy Intelligence te ayudan a comprender y administrar tus políticas para mejorar de forma proactiva la configuración de seguridad.

En las siguientes secciones, se explica lo que puedes hacer con las herramientas de Policy Intelligence.

Comprende las políticas y el uso

Existen varias herramientas de Policy Intelligence que te ayudan a comprender qué tipo de acceso permiten tus políticas y cómo se utilizan.

Analiza el acceso

Cloud Asset Inventory proporciona las políticas de permiso del Analizador de políticas para IAM, que te permiten descubrir qué principales tienen acceso a qué recursos de Google Cloud según tus políticas de permisos de IAM.

El Analizador de políticas te ayuda a responder preguntas como las siguientes:

  • "¿Quién tiene acceso a esta cuenta de servicio de IAM?"
  • "¿Qué roles y permisos tiene este usuario en este conjunto de datos de BigQuery?"
  • "¿En qué conjuntos de datos de BigQuery el usuario tiene permiso para leer?"

El Analizador de políticas te ayuda a responder estas preguntas para administrar el acceso de manera eficaz. También puedes usar el Analizador de políticas para tareas relacionadas con la auditoría y el cumplimiento.

Si deseas obtener más información sobre el Analizador de políticas para políticas de permisos, consulta la descripción general del Analizador de políticas.

Si quieres obtener información a fin de usar el Analizador de políticas para políticas de permisos, consulta Cómo analizar políticas de IAM.

Analiza las políticas de la organización

Policy Intelligence proporciona el Analizador de políticas para las políticas de la organización, que puedes utilizar a fin de crear una consulta de análisis a fin de obtener información sobre las políticas de la organización personalizadas y predefinidas.

Puedes usar el Analizador de políticas para mostrar una lista de políticas de la organización con una restricción en particular y los recursos a los que se adjuntan esas políticas.

Si quieres obtener información a fin de usar el Analizador de políticas para políticas de la organización, consulta Analiza las políticas de la organización existentes.

Cómo solucionar problemas de acceso

Para ayudarte a comprender y solucionar los problemas de acceso, Policy Intelligence ofrece los siguientes solucionadores de problemas:

  • Solucionador de problemas de políticas de Identity and Access Management
  • Solucionador de problemas de los Controles del servicio de VPC
  • Solucionador de problemas de políticas para BeyondCorp Enterprise

Los solucionadores de problemas ayudan a responder preguntas como las siguientes:

  • ¿Por qué el usuario tiene el permiso bigquery.datasets.create en este conjunto de datos de BigQuery?
  • "¿Por qué este usuario no puede ver la política de permiso de este bucket de Cloud Storage?"

Para obtener más información sobre estos solucionadores de problemas, consulta Solucionadores de problemas relacionados con el acceso.

Comprende el uso y los permisos de las cuentas de servicio

Las cuentas de servicio son un tipo especial de principal que puedes usar para autenticar aplicaciones en Google Cloud.

Para ayudarte a comprender el uso de las cuentas de servicio, Policy Intelligence ofrece las siguientes funciones:

  • Analizador de actividad: El Analizador de actividad te permite ver cuándo se usaron por última vez tus cuentas y claves de servicio para llamar a una API de Google. Si quieres aprender a usar el Analizador de actividad, consulta Cómo ver el uso reciente de las cuentas de servicio y las claves.

  • Estadísticas de cuentas de servicio: son un tipo de estadística que identifica qué cuentas de servicio de tu proyecto no se usaron en los últimos 90 días. Para obtener información sobre cómo administrar las estadísticas de las cuentas de servicio, consulta Cómo buscar cuentas de servicio sin usar.

Para ayudarte a comprender los permisos de la cuenta de servicio, Policy Intelligence ofrece estadísticas de movimiento lateral. Las estadísticas de movimiento lateral son un tipo de estadística que identifica las funciones que permiten que una cuenta de servicio en un proyecto actúe como una cuenta de servicio en otro proyecto. Para obtener más información sobre las estadísticas de movimiento lateral, consulta Cómo se generan las estadísticas de movimiento lateral. Si quieres aprender a administrar estadísticas de movimiento lateral, consulta Identifica cuentas de servicio con permisos de movimiento lateral.

Las estadísticas de movimiento lateral a veces están vinculadas a recomendaciones de función. Las recomendaciones de funciones sugieren acciones que puedes realizar para solucionar los problemas identificados por las estadísticas de movimiento lateral.

Mejore sus políticas

Puedes mejorar tus políticas de permisos de IAM mediante las recomendaciones de funciones. Las recomendaciones de funciones te ayudan a aplicar el principio de privilegio mínimo, ya que garantizan que las principales solo tengan los permisos que en verdad necesitan. Cada recomendación de función sugiere que quites o reemplaces una función de IAM que otorgue permisos excesivos a las principales.

Para obtener más información sobre las recomendaciones de funciones, incluida la forma en que se generan, consulta Aplica privilegio mínimo con las recomendaciones de funciones.

A fin de obtener información sobre cómo administrar las recomendaciones de funciones, consulta Revisa y aplica recomendaciones de funciones para proyectos, carpetas y organizaciones o Revisa y aplica recomendaciones de funciones para buckets de Cloud Storage.

Evite la configuración incorrecta de políticas

Existen varias herramientas de Policy Intelligence que puedes usar para ver cómo los cambios en las políticas afectarán a tu organización.

Prueba los cambios en la política de permiso de IAM

Policy Simulator para las políticas de permisos de IAM te permite ver cómo un cambio en una política de permisos de IAM podría afectar el acceso de una principal antes de que te comprometes a realizar el cambio. Puedes usarlo para asegurarte de que los cambios que realices no harán que una principal pierda el acceso que necesita.

Para descubrir cómo un cambio en una política de permisos de IAM podría afectar el acceso de una principal, Policy Simulator determina qué intentos de acceso de los últimos 90 días tienen resultados diferentes en la política de permiso propuesta y en la política de permiso actual. Luego, informa estos resultados como una lista de cambios de acceso.

Para obtener más información sobre Policy Simulator, consulta la descripción general del simulador de políticas de IAM.

Si deseas obtener información sobre cómo usar Policy Simulator para probar cambios en las funciones, consulta Cómo probar cambios en las funciones con el simulador de políticas de IAM.

Prueba los cambios en las políticas de la organización

Policy Simulator para la política de la organización te permite obtener una vista previa del impacto de una nueva restricción personalizada o de una política de la organización que aplica una restricción personalizada antes de que se aplique en tu entorno de producción.

Policy Simulator proporciona una lista de recursos que infringen la política propuesta antes de que se aplique, lo que te permite volver a configurar esos recursos, solicitar excepciones o cambiar el alcance de la política de la organización, todo sin interrumpir a los desarrolladores ni destruir el entorno.

Si deseas obtener información sobre cómo usar Policy Simulator para probar cambios en las políticas de la organización, consulta Cómo probar los cambios en las políticas de la organización con el simulador de políticas.