Visão geral do Policy Intelligence

As organizações de grande porte geralmente têm um amplo conjunto de políticas do Google Cloud para controlar recursos e gerenciar o acesso. As ferramentas de inteligência de política ajudam você a entender e gerenciar suas políticas para melhorar proativamente sua configuração de segurança.

Nas seções a seguir, explicamos o que é possível fazer com as ferramentas do Policy Intelligence.

Entenda as políticas e o uso

Há várias ferramentas do Policy Intelligence que ajudam a entender o acesso permitido das suas políticas e como elas são usadas.

Analisar acesso

O Inventário de recursos do Cloud fornece políticas de permissão para o IAM, que permitem descobrir quais principais têm acesso a quais recursos do Google Cloud com base nas políticas de permissão do IAM.

O Policy Analyzer ajuda você a responder a perguntas como as seguintes:

  • "Quem tem acesso a esta conta de serviço do IAM?"
  • "Quais papéis e permissões o usuário tem nesse conjunto de dados do BigQuery?"
  • "Quais conjuntos de dados do BigQuery esse usuário tem permissão para ler?"

Ao ajudar a responder a essas perguntas, o Analisador de políticas permite que você administre o acesso efetivamente. Também é possível usar o Policy Analyzer para tarefas relacionadas a auditoria e conformidade.

Para saber mais sobre o Policy Analyzer para políticas de permissão, consulte Visão geral do Policy Analyzer.

Para saber como usar o Policy Analyzer para políticas de permissão, consulte Como analisar políticas do IAM.

Analisar políticas da organização

O Policy Intelligence fornece o Analisador de políticas para políticas da organização, que você pode usar para criar uma consulta de análise para conseguir informações sobre políticas da organização personalizadas e predefinidas.

Use o Policy Analyzer para retornar uma lista de políticas da organização com uma restrição específica e os recursos aos quais essas políticas estão anexadas.

Para saber como usar o Policy Analyzer em políticas da organização, consulte Analisar políticas atuais da organização.

Resolver problemas de acesso

Para ajudar você a entender e resolver problemas de acesso, o Policy Intelligence oferece os seguintes solucionadores de problemas:

  • Solucionador de problemas de políticas para Identity and Access Management
  • Solucionador de problemas do VPC Service Controls
  • Solucionador de problemas de políticas para BeyondCorp Enterprise

Os solucionadores de problemas de acesso ajudam a responder a perguntas como:

  • "Por que este usuário tem a permissão bigquery.datasets.create neste conjunto de dados do BigQuery?"
  • "Por que este usuário não consegue ver a política de permissão desse bucket do Cloud Storage?"

Para saber mais sobre esses solucionadores de problemas, consulte Solucionadores de problemas de acesso.

Entenda o uso e as permissões da conta de serviço

As contas de serviço são um tipo especial de principal que pode ser usado para autenticar aplicativos no Google Cloud.

Para ajudar você a entender o uso da conta de serviço, o Policy Intelligence oferece os seguintes recursos:

  • Analisador de atividade: permite ver quando suas contas de serviço e chaves foram usadas pela última vez para chamar uma API do Google. Para saber como usar o Analisador de atividades, consulte Ver o uso recente de contas de serviço e chaves.

  • Insights da conta de serviço: esses insights são um tipo de informação que identifica quais contas de serviço no seu projeto não foram usadas nos últimos 90 dias. Para saber como gerenciar insights de conta de serviço, consulte Encontrar contas de serviço não usadas.

Para ajudar você a entender as permissões da conta de serviço, o Policy Intelligence oferece insights de movimento lateral. Os insights de movimento lateral são um tipo de insight que identifica papéis que permitem que uma conta de serviço em um projeto represente uma conta de serviço em outro. Para mais informações sobre insights de movimento lateral, consulte Como os insights de movimento lateral são gerados. Para saber como gerenciar insights de movimento lateral, consulte Identificar contas de serviço com permissões de movimento lateral.

Às vezes, os insights de movimento lateral estão vinculados às recomendações de papel. As recomendações de papel sugerem ações que podem ser tomadas para corrigir os problemas identificados pelos insights de movimento lateral.

Melhorar suas políticas

É possível melhorar suas políticas de permissão do IAM usando recomendações de papéis. As recomendações de papel ajudam você a aplicar o princípio do privilégio mínimo, garantindo que os principais tenham apenas as permissões de que realmente precisam. Cada recomendação de papel sugere que você remova ou substitua um papel do IAM que forneça permissões aos principais em excesso.

Para saber mais sobre recomendações de papéis, incluindo como elas são geradas, consulte Aplicar privilégio mínimo com recomendações de papéis.

Para saber como gerenciar recomendações de papel, consulte Revisar e aplicar recomendações de papel para projetos, pastas e organizações ou Revisar e aplicar recomendações de papel para buckets do Cloud Storage.

Evitar configurações incorretas da política

Há várias ferramentas de inteligência de política que você pode usar para ver como as alterações nas políticas afetarão sua organização.

Testar alterações na política de permissão do IAM

Simulador de política para políticas de permissão do IAM permite que você veja como uma alteração em uma política de permissão do IAM pode afetar o acesso de um principal antes de você se comprometer a fazer a alteração. É possível usar o Simulador de política para verificar se as alterações feitas não causarão a perda do acesso necessário.

Para descobrir como uma alteração em uma política de permissão do IAM pode afetar o acesso de um principal, o Simulador de política determina quais tentativas de acesso dos últimos 90 dias têm resultados diferentes na política de permissão proposta e na política de permissão atual. Em seguida, ele informa esses resultados como uma lista de alterações de acesso.

Para saber mais sobre o Simulador de política, consulte Visão geral do Simulador de política do IAM.

Para saber como usar o Simulador de política para testar alterações de papel, consulte Testar alterações de papel com o IAM Policy Simulator.

Testar alterações na política da organização

Simulador de política para políticas da organização permite visualizar o impacto de uma nova restrição personalizada ou política da organização que impõe uma restrição personalizada antes que ela seja aplicada ao ambiente de produção.

O Simulador de política fornece uma lista de recursos que violam a política proposta antes de sua aplicação, permitindo que você reconfigure esses recursos, solicite exceções ou altere o escopo da política da organização, tudo isso sem interromper seus desenvolvedores ou reduzir o ambiente.

Para saber como usar o Simulador de política para testar alterações nas políticas da organização, consulte Testar alterações de política da organização com o Simulador de política.