Policy Simulator per le policy di negazione

Policy Simulator per le policy di negazione ti consente di vedere in che modo una modifica a una policy di negazione IAM potrebbe influire sull'accesso di un'entità prima di eseguire il commit della modifica. Puoi utilizzare Policy Simulator per assicurarti che le modifiche che stai apportando non causino la perdita dell'accesso necessario per un'entità.

Questa funzionalità valuta solo le policy di negazione. Per scoprire come simulare altri tipi di policy, consulta quanto segue:

• Policy Simulator per le policy dell'organizzazione
• Policy Simulator per le policy di autorizzazione
• Policy Simulator per le policy di Principal Access Boundary

Come funziona Policy Simulator per le policy di negazione

Policy Simulator per le policy di negazione ti aiuta a determinare se una modifica a una policy di negazione bloccherà l'accesso utilizzato dalle tue entità.

Quando esegui una simulazione per una policy di negazione, Policy Simulator esegue le seguenti operazioni:

1. Recupera i log di accesso per l'organizzazione generati durante il periodo di riproduzione. Il periodo di riproduzione è di 90 giorni.

   Se l'organizzazione esiste da più di 90 giorni, Policy Simulator recupera tutti i log di accesso dalla creazione dell'organizzazione.

2. Determina quali log di accesso sono pertinenti per la simulazione. I log di accesso pertinenti sono tutti i log di accesso che rappresentano il tentativo più recente di un'entità di utilizzare un'autorizzazione per accedere a una risorsa.

3. Per ogni log di accesso pertinente, determina se le policy di negazione correnti, insieme alle modifiche proposte, consentirebbero il tentativo di accesso. Questa procedura è chiamata riproduzione dei tentativi di accesso.

4. Per ogni log di accesso, confronta lo stato di accesso della riproduzione con lo stato di accesso nei log di accesso. Poi, Policy Simulator segnala tutti i tentativi di accesso storici che non sono stati bloccati nel log di accesso, ma sono stati bloccati nella riproduzione. Queste differenze, chiamate modifiche all'accesso, mostrano quali tentativi di accesso sarebbero stati bloccati se la policy di negazione simulata fosse stata applicata al momento del tentativo.

Periodo di riproduzione

Il periodo di riproduzione è il periodo di tempo per il quale Policy Simulator ottiene i log di accesso quando esegue una simulazione. I log di accesso che si verificano prima del primo giorno del periodo di riproduzione o dopo l'ultimo giorno del periodo di riproduzione non sono inclusi nella simulazione.

In genere, l'ultimo giorno del periodo di riproduzione è 1 giorno prima della simulazione. Tuttavia, in alcuni casi, l'ultimo giorno del periodo di riproduzione può essere fino a 10 giorni prima della simulazione. I log di accesso che si verificano dopo l'ultimo giorno del periodo di riproduzione non sono inclusi nella simulazione.

Il periodo di riproduzione è di 90 giorni. Se l'organizzazione esiste da più di 90 giorni, Policy Simulator recupera tutti i tentativi di accesso dalla creazione dell'organizzazione.

Anche la finestra di riproduzione è a coerenza finale. Ciò significa che, quando esegui una simulazione, alcuni dati potrebbero essere più recenti di altri. Tuttavia, alla fine, tutti i dati avranno la stessa freschezza.

Risultati di Policy Simulator

Policy Simulator segnala l'impatto di una modifica proposta a una policy di negazione come un elenco di modifiche all'accesso. Per le policy di negazione, l'unico tipo di modifica all'accesso segnalato da Policy Simulator è la modifica all'accesso Accesso revocato.

Policy Simulator segnala che l'accesso è stato revocato se si verificano le seguenti condizioni:

• L'ultimo tentativo dell'entità di accedere alla risorsa è andato a buon fine.
• Le modifiche proposte o un'altra policy di negazione bloccano l'accesso dell'entità alla risorsa.

Per ogni modifica all'accesso, Policy Simulator segnala anche le seguenti informazioni:

• L'entità, la risorsa e l'autorizzazione coinvolte nel tentativo di accesso.
• Il numero di giorni durante il periodo di riproduzione in cui l'entità ha tentato di utilizzare l'autorizzazione per accedere alla risorsa. Questo totale include solo i tentativi di accesso che hanno lo stesso risultato del tentativo di accesso più recente.
• La data del tentativo di accesso più recente.

Errori

I seguenti errori possono causare il fallimento di una simulazione:

• È stato superato il numero massimo di simulazioni simultanee: l'utente ha già 10 simulazioni in corso, ovvero il numero massimo di simulazioni in corso che un utente può avere. Per risolvere il problema, attendi il completamento di una delle simulazioni in corso, quindi prova a eseguire di nuovo la simulazione.
• Timeout: l'esecuzione della simulazione ha richiesto troppo tempo e si è verificato un timeout. Per risolvere il problema, prova a eseguire di nuovo la simulazione.
• Costruzione della simulazione non valida: la policy di negazione proposta non è valida o contiene regole di negazione non supportate. Un esempio di policy non valida è una policy che contiene un'espressione di condizione non valida. Un esempio di regola di negazione non supportata è una regola che utilizza gli identificatori di entità di identità per la forza lavoro. Per risolvere il problema, correggi la policy e riprova.
• Autorizzazione negata: non hai l'autorizzazione per eseguire una simulazione. Per risolvere il problema, assicurati di avere i ruoli richiesti e riprova.

Tipi di entità supportati

Policy Simulator per le policy di negazione esamina solo i log di accesso per i seguenti tipi di entità:

• Account Google Workspace
• Service account
• Set di entità di service account per progetti, cartelle e organizzazioni
• Agenti di servizio
• Set di service agent principali per progetti, cartelle e organizzazioni

Quando simula le policy di negazione, Policy Simulator non esamina i log di accesso per altri tipi di entità, inclusi quelli basati su identità federate in un pool di identità del workload. Di conseguenza, Policy Simulator non segnala se le modifiche proposte alle policy o alle associazioni influiscono sull'accesso di queste entità.

Simulazione dei limiti all'accesso con credenziali

Puoi utilizzare i limiti all'accesso con credenziali per ridurre l'ambito o limitare le autorizzazioni IAM che una credenziale di breve durata può utilizzare per accedere alle risorse Cloud Storage. Per ridurre l'ambito delle autorizzazioni, un utente o un account di servizio (il broker di token) definisce le autorizzazioni disponibili su un insieme di risorse in un token di accesso con ambito ridotto e poi fornisce il token di accesso a un altro utente o account di servizio (il consumatore di token).

Il broker di token deve avere un ruolo che includa le autorizzazioni concesse al consumatore di token con un token di accesso con ambito ridotto. Se neghi questo ruolo al broker di token, rimuovi anche l'accesso dal consumatore di token. Tuttavia, Policy Simulator non valuta in che modo le modifiche alle autorizzazioni del broker di token influiscono sull'accesso del consumatore di token.

Ad esempio, considera un utente a cui è stato concesso il ruolo Lettore bucket legacy di Storage (roles/storage.legacyBucketReader) su una risorsa utilizzando un token di accesso con ambito ridotto creato con un limite all'accesso con credenziali.

• Se simuli la negazione del ruolo Lettore bucket legacy di Storage per questo utente, Policy Simulator non segnala una perdita di accesso.

• Se simuli la negazione del ruolo Lettore bucket legacy di Storage per il broker di token, Policy Simulator non segnala una perdita di accesso per l'utente. Allo stesso modo, se l'accesso del broker di token non viene utilizzato entro 90 giorni, non viene incluso nella simulazione.

Per ulteriori informazioni, consulta Limiti all'accesso con credenziali per Cloud Storage.

Passaggi successivi

• Scopri come simulare una modifica a una policy di negazione.
• Esplora altri strumenti di Policy Intelligence.