Policy Intelligence 簡介

大型機構通常會有一整套 Google Cloud 政策，用於控管資源和管理存取權。Policy Intelligence 工具可協助您瞭解及管理政策，主動改善安全性設定。

以下各節說明如何使用政策智慧工具。

瞭解政策和使用方式

您可以運用多種 Policy Intelligence 工具，瞭解政策允許的存取權，以及政策的使用方式。

分析存取權

Cloud Asset Inventory 提供 IAM 允許政策的政策分析工具，可讓您根據 IAM 允許政策，找出哪些主體有權存取哪些Google Cloud 資源。

Policy Analyzer 可協助您回答下列問題：

• 「誰有這個 IAM 服務帳戶的存取權？」
• 「What roles and permissions does this user have on this BigQuery dataset?」(這個使用者在 BigQuery 資料集上擁有哪些角色和權限？)
• 「Which BigQuery datasets does this user have permission to read?」(這個使用者有權讀取哪些 BigQuery 資料集？)

Policy Analyzer 可協助您回答這些問題，進而有效管理存取權。您也可以使用政策分析工具執行稽核和法規遵循相關工作。

如要進一步瞭解允許政策的 Policy Analyzer，請參閱政策分析工具總覽。

如要瞭解如何使用 Policy Analyzer 分析允許政策，請參閱分析 IAM 政策。

分析機構政策

Policy Intelligence 提供機構政策的政策分析工具，您可以使用這項工具建立分析查詢，取得自訂和預先定義機構政策的相關資訊。

您可以使用 Policy Analyzer 傳回機構政策清單，其中列出有特定限制的機構政策，以及附加這些政策的資源。

如要瞭解如何使用 Policy Analyzer 分析機構政策，請參閱分析現有的機構政策。

解決存取權問題

為協助您瞭解及解決存取問題，Policy Intelligence 提供下列疑難排解工具：

• 身分與存取權管理政策疑難排解工具
• VPC Service Controls 疑難排解工具
• Chrome Enterprise Premium 政策疑難排解工具

存取疑難排解工具可協助您解答「為什麼」問題，例如：

• 「Why does this user have the bigquery.datasets.create permission on this BigQuery dataset?」(為什麼這位使用者擁有這個 BigQuery 資料集的 bigquery.datasets.create 權限？)
• 「為什麼這位使用者無法查看這個 Cloud Storage 值區的允許政策？」

如要進一步瞭解這些疑難排解工具，請參閱存取權相關疑難排解工具。

瞭解服務帳戶的使用方式和權限

服務帳戶是一種特殊的主體，可用於驗證 Google Cloud中的應用程式。

為協助您瞭解服務帳戶用量，Policy Intelligence 提供下列功能：

• 活動分析工具：活動分析工具可顯示服務帳戶和金鑰上次用於呼叫 Google API 的時間。如要瞭解如何使用活動分析工具，請參閱「查看服務帳戶和金鑰的近期使用情形」。

• 服務帳戶洞察：服務帳戶洞察是一種洞察，可找出專案中過去 90 天內未使用的服務帳戶。如要瞭解如何管理服務帳戶洞察資料，請參閱「找出未使用的服務帳戶」。

為協助您瞭解服務帳戶權限，Policy Intelligence 提供橫向移動洞察資料。「橫向移動洞察」是一種洞察，可找出允許某個專案中的服務帳戶模擬其他專案中服務帳戶的角色。如要進一步瞭解側向移動深入分析，請參閱「側向移動深入分析的產生方式」。如要瞭解如何管理側向移動深入分析，請參閱「找出具有側向移動權限的服務帳戶」。

側向移動洞察資訊有時會連結至角色建議。角色建議會提供建議做法，協助您解決側向移動洞察資料所發現的問題。

改善政策

您可以運用角色建議，改善 IAM 允許政策。角色建議可協助您強制執行最低權限原則，確保主體只會有實際所需的權限。每個角色建議都會建議您，移除或替換掉給主體過多權限的 IAM 角色。

如要進一步瞭解角色建議 (包括建議的產生方式)，請參閱「依據角色建議強制實行最低權限機制」。

如要瞭解如何管理角色建議，請參閱下列其中一篇指南：

• 查看及套用專案、資料夾和機構的角色建議
• 查看及套用 Cloud Storage bucket 的角色建議
• 查看並套用 BigQuery 資料集的角色建議

避免政策設定錯誤

您可以使用多種政策智慧工具，瞭解政策異動對貴機構的影響。查看變更效果後，再決定是否要進行變更。

測試存取相關政策的變更

為協助您瞭解存取權相關政策的變更，可能會對主體的存取權造成哪些影響，Policy Intelligence 提供下列政策模擬器：

• 允許政策的政策模擬器
• 拒絕政策模擬器
• 主體存取邊界政策的 Policy Simulator

您可以使用這些模擬器，在提交變更前，瞭解變更這類政策會對主體的存取權造成哪些影響。每個模擬工具只會評估一種政策類型，不會考量其他類型的政策是否會允許或封鎖存取權。

測試機構政策變更

您可以使用機構政策的 Policy Simulator，在正式環境強制執行新的自訂限制或機構政策 (強制執行自訂限制) 之前，預先瞭解影響。

Policy Simulator 會列出違反提議政策的資源 (政策尚未強制執行)，方便您重新設定這些資源、要求例外狀況，或變更機構政策範圍，完全不會中斷開發人員作業或導致環境停機。

如要瞭解如何使用 Policy Simulator 測試機構政策變更，請參閱「使用 Policy Simulator 測試機構政策變更」。