Policy Intelligence 概览

大型组织通常会制定一套广泛的 Google Cloud 政策来控制资源和管理访问权限。Policy Intelligence 工具可帮助您了解并管理您的政策，以主动改进您的安全配置。

以下部分介绍您可以使用 Policy Intelligence 工具执行的操作。

了解政策和使用情况

您可以使用多种 Policy Intelligence 工具来了解政策允许的访问权限以及政策的使用情况。

分析访问权限

Cloud Asset Inventory 为 IAM 允许政策提供政策分析器，可让您根据 IAM 允许政策了解哪些主账号有权访问哪些Google Cloud 资源。

政策分析器可以帮助您回答如下问题：

• “谁有权访问此 IAM 服务账号？”
• “此用户对此 BigQuery 数据集有哪些角色和权限？”
• “此用户有权读取哪些 BigQuery 数据集？”

Policy Analyzer 可帮助您回答这些问题，从而让您有效地管理访问权限。您还可以使用政策分析器执行与审核和合规性相关的任务。

如需详细了解允许政策的 Policy Analyzer，请参阅 Policy Analyzer 概览。

如需了解如何针对允许政策使用 Policy Analyzer，请参阅分析 IAM 政策。

分析组织政策

政策智能提供组织政策分析器，您可以使用该分析器创建分析查询，以获取有关自定义组织政策和预定义组织政策的信息。

您可以使用政策分析器返回具有特定限制条件的组织政策的列表，以及附加了这些政策的资源。

如需了解如何使用组织政策的 Policy Analyzer，请参阅分析现有组织政策。

排查访问权限问题

为了帮助您了解和解决访问权限问题，Policy Intelligence 提供了以下问题排查工具：

• Identity and Access Management 的政策问题排查工具
• VPC Service Controls 问题排查工具
• Chrome 企业进阶版政策问题排查工具

访问权限问题排查工具可帮助您回答“为什么”问题，例如：

• “为什么该用户对此 BigQuery 数据集具有 bigquery.datasets.create 权限？”
• “为什么此用户无法查看此 Cloud Storage 存储桶的允许政策？”

如需详细了解这些问题排查工具，请参阅与访问权限相关的问题排查工具。

了解服务账号的使用方法和权限

服务账号是一种特殊类型的主账号，可用于在 Google Cloud中对应用进行身份验证。

为了帮助您了解服务账号使用情况，Policy Intelligence 提供了以下功能：

• 活动分析器：借助活动分析器，您可以查看上次使用服务账号和密钥调用 Google API 的时间。如需了解如何使用活动分析器，请参阅查看服务账号和密钥的近期使用情况。

• 服务账号数据分析：服务账号数据分析是一种数据分析，可用于识别项目中过去 90 天内未使用的服务账号。如需了解如何管理服务账号数据分析，请参阅查找未使用的服务账号。

为了帮助您了解服务账号权限，Policy Intelligence 提供了横向移动数据分析。横向移动数据分析是一种数据分析，用于识别允许一个项目中的服务账号模拟另一个项目中的服务账号的角色。如需详细了解横向移动数据分析，请参阅横向移动数据分析是如何生成的。如需了解如何管理横向移动数据分析，请参阅识别具有横向移动权限的服务账号。

横向移动数据分析有时会与角色建议相关联。角色建议会提供一些操作建议，您可以采取这些操作来修正横向移动数据分析发现的问题。

改进政策

您可以使用角色建议来改进 IAM 允许政策。角色建议可确保主账号仅拥有其实际需要的权限，从而帮助您强制执行最小权限原则。每条角色建议都会针对授予主账号多余权限的 IAM 角色提出移除或替换建议。

如需详细了解角色建议（包括其生成方式），请参阅使用角色建议强制执行最小权限。

如需了解如何管理角色建议，请参阅以下指南之一：

• 查看和应用项目、文件夹和组织的角色建议
• 查看并应用针对 Cloud Storage 存储分区的角色建议
• 查看并应用针对 BigQuery 数据集的角色建议

防止政策配置错误

您可以使用多种 Policy Intelligence 工具来了解政策变更会对组织产生哪些影响。在查看更改效果后，您可以决定是否进行更改。

测试对访问权限相关政策的更改

为了让您了解与访问权限相关的政策变更可能会对主账号的访问权限有何影响，Policy Intelligence 提供了以下政策模拟器：

• 针对允许政策的 Policy Simulator
• 拒绝政策的 Policy Simulator
• 主账号访问权限边界政策的 Policy Simulator

借助这些模拟器，您可以先了解相应类型的政策变更会对主账号的访问权限有何影响，然后再决定是否进行变更。每个模拟器仅评估一种政策类型，不会考虑其他类型的政策是否会允许或阻止访问。

测试组织政策变更

借助组织政策的 Policy Simulator，您可以在生产环境中强制执行新的自定义限制条件或强制执行自定义限制条件的组织政策之前，预览其影响。

Policy Simulator 会提供一份资源列表，其中列出了在拟议政策强制执行之前违反该政策的资源，以便您重新配置这些资源、请求例外情况或更改组织政策的适用范围，而不会中断开发者的工作或导致环境停机。

如需了解如何使用 Policy Simulator 测试组织政策的更改，请参阅使用 Policy Simulator 测试组织政策更改。