GCP IAM Least-Privilege-Checker
Google-Cloud-IAM-Richtlinie einfügen und sofort überprivilegierte Rollen, öffentlichen Zugriff und Privilege-Escalation-Risiken sehen — mit einer verständlichen Lösung zu jedem Fund.
Läuft zu 100 % im Browser. Ihre IAM-Richtlinie wird niemals hochgeladen, gespeichert oder protokolliert.
So bekommen Sie Ihre Richtlinie
Führen Sie dies in Cloud Shell oder einem Terminal mit gcloud CLI aus — das aktive Projekt wird automatisch eingesetzt — und fügen Sie das JSON oben ein:
gcloud projects get-iam-policy "$(gcloud config get-value project)" --format=jsonWas dieses Tool prüft
- Basisrollen (Owner / Editor / Viewer), die weit mehr gewähren als nötig
- Öffentlicher Zugriff über allUsers und allAuthenticatedUsers
- Privilege-Escalation-Rollen (Token Creator, Key Admin, IAM Admin…)
- Menschliche Nutzer mit breiten Admin- oder Owner-Rollen
- Zu viele Projekt-Owner
- Sensible Rollen ohne IAM-Condition gebunden
Häufige Fragen
Was bedeutet Least Privilege in GCP IAM?
Least Privilege heißt: Jeder Prinzipal — Nutzer, Gruppe oder Service-Account — erhält nur die Berechtigungen, die er wirklich braucht, und nicht mehr. In der Praxis bedeutet das, Basisrollen (Owner/Editor/Viewer) zu meiden, Predefined- oder Custom-Rollen passgenau zu vergeben und wo möglich IAM-Conditions zu ergänzen. Das verkleinert den Schaden, falls eine Credential kompromittiert wird.
Warum sind allUsers und allAuthenticatedUsers gefährlich?
allUsers gewährt eine Rolle jedem im Internet — ganz ohne Authentifizierung. allAuthenticatedUsers gewährt sie jedem Google-Konto weltweit — nicht nur Ihren. Beide machen die Ressource faktisch öffentlich. Sofern Sie nicht absichtlich etwas Öffentliches hosten, ersetzen Sie sie durch benannte Nutzer, Gruppen oder Service-Accounts.
Basic, Predefined oder Custom Roles — was nutzen?
Basisrollen (Owner/Editor/Viewer) sind breit und Legacy — meiden Sie sie außerhalb von Sandboxes. Predefined-Rollen sind von Google für einen Dienst kuratiert und die richtige Standardwahl. Custom-Rollen erlauben handverlesene Berechtigungen, wenn keine Predefined-Rolle passt. Beginnen Sie mit Predefined, wechseln Sie nur bei Bedarf zu Custom.
Was ist Privilege Escalation in IAM?
Bestimmte Rollen erlauben es einem Prinzipal, sich selbst mehr Macht zu geben — etwa Service Account Token Creator (andere Identitäten imitieren), Service Account Key Admin (langlebige Schlüssel erzeugen) oder jede IAM-Admin-Rolle (die Richtlinie selbst ändern). Ein niedrig privilegiertes Konto mit einer dieser Rollen kann zur vollen Kontrolle aufsteigen. Dieses Tool markiert solche Rollen, damit Sie sie über Conditions absichern oder entfernen.
Heuristische Prüfungen, kein Ersatz für ein vollständiges Audit. Nutzt keine Cookies und sendet keine Daten serverseitig.
