Le organizzazioni di grandi dimensioni hanno spesso una vasta gamma di criteri di Google Cloud per controllare le risorse e gestire l'accesso. Gli strumenti di Policy Intelligence ti aiutano a comprendere e gestire i criteri per migliorare in modo proattivo la configurazione di sicurezza.
Le sezioni seguenti spiegano cosa puoi fare con gli strumenti di Policy Intelligence.
Comprendere i criteri e l'utilizzo
Esistono diversi strumenti di Policy Intelligence che ti aiutano a capire quale accesso è consentito ai criteri e come vengono utilizzati.
Analisi dell'accesso
Cloud Asset Inventory offre l'Analizzatore criteri per i criteri di autorizzazione IAM, che ti consentono di scoprire quali entità hanno accesso alle risorse Google Cloud in base ai tuoi criteri di autorizzazione IAM.
Analizzatore criteri ti aiuta a rispondere a domande come le seguenti:
- "Chi ha accesso a questo account di servizio IAM?"
- "Quali ruoli e autorizzazioni ha questo utente su questo set di dati BigQuery?"
- "Quali set di dati BigQuery è autorizzato a leggere dall'utente?"
Aiutandoti a rispondere a queste domande, l'Analizzatore criteri ti consente di gestire efficacemente l'accesso. Puoi anche utilizzare l'Analizzatore criteri per le attività relative alla revisione e alla conformità.
Per scoprire di più sull'Analizzatore criteri per i criteri di autorizzazione, consulta la panoramica dell'Analizzatore criteri.
Per informazioni su come utilizzare l'Analizzatore criteri per i criteri di autorizzazione, consulta Analisi dei criteri IAM.
Analizza i criteri dell'organizzazione
Policy Intelligence fornisce l'Analizzatore criteri per i criteri dell'organizzazione, che puoi utilizzare per creare una query di analisi per ottenere informazioni sui criteri dell'organizzazione sia personalizzati che predefiniti.
Puoi utilizzare l'Analizzatore criteri per restituire un elenco di criteri dell'organizzazione con un vincolo specifico e le risorse a cui sono collegati.
Per informazioni su come utilizzare l'Analizzatore criteri per i criteri dell'organizzazione, vedi Esaminare i criteri dell'organizzazione esistenti.
Risolvere i problemi di accesso
Per aiutarti a comprendere e risolvere i problemi di accesso, Policy Intelligence offre i seguenti strumenti per la risoluzione dei problemi:
- Strumento per la risoluzione dei problemi relativi ai criteri per Identity and Access Management
- Strumento per la risoluzione dei problemi relativi ai Controlli di servizio VPC
- Strumento per la risoluzione dei problemi relativi ai criteri per BeyondCorp Enterprise
Gli strumenti per la risoluzione dei problemi di accesso consentono di rispondere a domande quali "perché" come segue:
- "Perché questo utente ha l'autorizzazione
bigquery.datasets.createper questo set di dati BigQuery?" - "Perché questo utente non è in grado di visualizzare il criterio di autorizzazione di questo bucket Cloud Storage?"
Per scoprire di più su questi strumenti per la risoluzione dei problemi, consulta l'articolo Risoluzione dei problemi relativi all'accesso.
Informazioni sull'utilizzo e le autorizzazioni degli account di servizio
Gli account di servizio sono un tipo speciale di entità che puoi utilizzare per autenticare le applicazioni in Google Cloud.
Per aiutarti a comprendere l'utilizzo dell'account di servizio, Policy Intelligence offre le seguenti funzionalità:
Analizzatore attività: l'Analizzatore attività ti consente di vedere quando gli account e le chiavi di servizio sono stati utilizzati l'ultima volta per chiamare un'API di Google. Per informazioni su come utilizzare l'Analizzatore attività, consulta la pagina Visualizzare l'utilizzo recente per account e chiavi di servizio.
Insight sull'account di servizio: gli insight sull'account di servizio sono un tipo di insight che identifica quali account di servizio nel progetto non sono stati utilizzati negli ultimi 90 giorni. Per scoprire come gestire i dati degli account di servizio, vedi Trovare gli account di servizio inutilizzati.
Per aiutarti a comprendere le autorizzazioni degli account di servizio, Policy Intelligence offre insight sullo spostamento laterale. Gli insight sullo spostamento laterale sono un tipo di insight che identifica i ruoli che consentono a un account di servizio in un progetto di impersonare un account di servizio in un altro. Per ulteriori informazioni sugli spostamenti del movimento laterale, consulta la sezione Come vengono generati gli approfondimenti sul movimento laterale. Per informazioni su come gestire gli approfondimenti sul movimento laterale, consulta l'articolo Identificare gli account di servizio con autorizzazioni di movimento laterale.
Gli approfondimenti sul movimento laterale sono talvolta collegati a consigli del ruolo. I suggerimenti sui ruoli suggeriscono azioni che puoi intraprendere per risolvere i problemi identificati dalle informazioni sui movimenti laterali.
Migliorare le norme
Puoi migliorare i criteri di autorizzazione IAM utilizzando i consigli sui ruoli. I suggerimenti sui ruoli ti aiutano ad applicare il principio del privilegio minimo assicurando che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno. Ogni suggerimento per il ruolo ti suggerisce di rimuovere o sostituire un ruolo IAM che concede autorizzazioni in eccesso alle entità.
Per saperne di più sui suggerimenti sui ruoli e sul modo in cui vengono generati, vedi Applicare il privilegio minimo con i suggerimenti sui ruoli.
Per scoprire come gestire i suggerimenti sui ruoli, consulta Esaminare e applicare i suggerimenti sui ruoli per progetti, cartelle e organizzazioni o Esaminare e applicare i suggerimenti sui ruoli per i bucket Cloud Storage.
Evitare configurazioni errate dei criteri
Esistono diversi strumenti di Policy Intelligence che puoi usare per vedere come le modifiche ai criteri influiranno sulla tua organizzazione.
Testare le modifiche ai criteri di autorizzazione IAM
Policy Simulator per i criteri di autorizzazione IAM ti consente di vedere come una modifica a un criterio di autorizzazione IAM potrebbe influire sull'accesso di un cliente prima di impegnarti ad apportare la modifica. Puoi utilizzare Policy Simulator per assicurarti che le modifiche apportate non comportino la perdita dell'accesso di cui hanno bisogno.
Per scoprire come una modifica a un criterio di autorizzazione IAM può influire sull'accesso di un entità, Policy Simulator determina quali tentativi di accesso degli ultimi 90 giorni hanno risultati diversi in base al criterio di autorizzazione proposto e al criterio di autorizzazione corrente. Quindi segnala questi risultati come un elenco di modifiche dell'accesso.
Per scoprire di più su Policy Simulator, consulta la panoramica di IAM Policy Simulator.
Per scoprire come utilizzare Policy Simulator per testare le modifiche ai ruoli, consulta Testare le modifiche dei ruoli con IAM Policy Simulator.
Testa le modifiche ai criteri dell'organizzazione
Policy Simulator for Organization Policy consente di visualizzare l'anteprima dell'impatto di un nuovo vincolo personalizzato o di un criterio dell'organizzazione che applica un vincolo personalizzato prima dell'applicazione nel tuo ambiente di produzione.
Policy Simulator fornisce un elenco di risorse che violano le norme proposte prima di applicarle, permettendoti di riconfigurarle, richiedere eccezioni o modificare l'ambito dei criteri dell'organizzazione, il tutto senza compromettere gli sviluppatori o abbassare l'ambiente.
Per scoprire come utilizzare Policy Simulator per testare le modifiche ai criteri dell'organizzazione, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.