拒絕政策的 Policy Simulator

Policy Simulator for deny policies 可讓您在提交變更前，先瞭解變更身分與存取權管理拒絕政策可能會對主體的存取權造成哪些影響。您可以使用 Policy Simulator，確保所做的變更不會導致主體失去必要的存取權。

這項功能只會評估拒絕政策，如要瞭解如何模擬其他政策類型，請參閱下列內容：

• 組織政策的 Policy Simulator
• 允許政策的 Policy Simulator
• 主體存取邊界政策的 Policy Simulator

拒絕政策的 Policy Simulator 運作方式

拒絕政策的 Policy Simulator 可協助您判斷拒絕政策的變更，是否會封鎖主體使用的存取權。

執行拒絕政策模擬時，Policy Simulator 會執行下列動作：

1. 擷取在重播期間產生的機構存取記錄。重播期限為 90 天。

   如果機構存在時間未超過 90 天，Policy Simulator 會擷取機構建立以來的所有存取記錄。

2. 決定哪些存取記錄與模擬作業相關。相關存取記錄是指主體最近嘗試使用權限存取資源的所有存取記錄。

3. 針對每筆相關存取記錄，判斷目前的拒絕政策和提議的變更是否允許嘗試存取。這項程序稱為「重播」存取嘗試。

4. 針對每筆存取記錄，比較重播中的存取狀態與存取記錄中的存取狀態。接著，Policy Simulator 會回報存取記錄中未遭封鎖，但重播時遭封鎖的任何歷史存取嘗試。這些差異稱為「存取權變更」，可顯示在嘗試存取時，如果已套用模擬的拒絕政策，哪些存取嘗試會遭到封鎖。

重播期限

重播期間是指 Policy Simulator 執行模擬作業時，可存取存取記錄的時間範圍。重播期間第一天之前或最後一天之後的存取記錄，不會納入模擬作業。

一般來說，重播期的最後一天是模擬作業前 1 天。不過，在某些情況下，重播期限的最後一天可能是在模擬測驗前 10 天。重播期最後一天之後的存取記錄不會納入模擬。

重播期限為 90 天。如果機構存在時間超過 90 天，政策模擬器會擷取機構建立以來的所有存取嘗試。

重播視窗也具有最終一致性。也就是說，執行模擬時，部分資料可能比其他資料更新。不過，最終所有資料都會具有相同的即時性。

Policy Simulator 結果

Policy Simulator 會以存取權變更清單的形式，回報提議的拒絕政策變更所造成的影響。如果是拒絕政策，Policy Simulator 只會回報「存取權已撤銷」這類存取權變更。

如果符合下列條件，Policy Simulator 會回報存取權已遭撤銷：

• 主體最近一次嘗試存取資源時成功
• 提議的變更或其他拒絕政策會封鎖主體的資源存取權

對於每項存取權變更，Policy Simulator 也會回報下列資訊：

• 嘗試存取時涉及的主體、資源和權限。
• 在重播期間，主體嘗試使用權限存取資源的天數。這個總計只會納入與最近一次存取嘗試結果相同的存取嘗試。
• 最近一次嘗試存取的日期。

錯誤

下列錯誤可能會導致模擬失敗：

• 超過並行模擬作業數量上限：使用者目前有 10 項模擬作業正在進行中，已達上限。如要解決這個問題，請等待其中一項模擬作業完成，然後再試一次。
• 逾時：模擬作業執行時間過長，因此逾時。如要解決這個問題，請再次執行模擬。
• 模擬作業建構無效：建議的拒絕政策無效或含有不支援的拒絕規則。舉例來說，如果政策含有無效的條件運算式，舉例來說，如果拒絕規則使用員工身分主體 ID，系統就不支援這類規則。如要解決這個問題，請修正政策，然後再試一次。
• 權限遭拒：您沒有執行模擬的權限。如要解決這個問題，請確認您已獲派必要角色，然後再試一次。

支援的主體類型

拒絕政策的 Policy Simulator 只會檢查下列類型主體的存取記錄：

• Google Workspace 帳戶
• 服務帳戶
• 專案、資料夾和機構的服務帳戶主體集
• 服務代理
• 專案、資料夾和機構的服務代理主體集

模擬拒絕政策時，Policy Simulator 不會審查任何其他主體類型的存取記錄，包括工作負載身分集區中以同盟身分為依據的主體。因此，Policy Simulator 不會回報提議的政策或繫結變更是否會影響這些主體的存取權。

模擬憑證存取權範圍

您可以使用憑證存取權界線「縮減」或限制短期憑證可用的 IAM 權限，藉此控管憑證存取 Cloud Storage 資源的權限。如要縮減權限範圍，使用者或服務帳戶 (權杖代理人) 會在一組資源的縮減範圍存取權杖中定義可用權限，然後將存取權杖提供給其他使用者或服務帳戶 (權杖消費者)。

權杖中介服務必須具備某個角色，其中包含授予權杖消費者權限的範圍縮減存取權杖。在權杖代理程式上拒絕該角色，也會移除權杖消費者的存取權。不過，Policy Simulator 不會評估權杖代理人的權限變更對權杖消費者存取權的影響。

舉例來說，假設使用者已獲授權，可透過使用以憑證存取權界線建立的範圍縮減存取權權杖，對資源執行「Storage Legacy Bucket Reader」 (roles/storage.legacyBucketReader) 角色。

• 如果您模擬拒絕該使用者的「Storage Legacy Bucket Reader」角色，Policy Simulator 就無法回報存取權遭拒。

• 如果您在權杖代理程式上模擬拒絕 Storage Legacy Bucket Reader 角色，政策模擬器將無法回報使用者失去存取權。同樣地，如果權杖代理人的存取權在 90 天內未使用，模擬作業就不會納入該存取權。

詳情請參閱「Cloud Storage 的憑證存取權界線」。

後續步驟

• 瞭解如何模擬拒絕政策變更。
• 探索其他 Policy Intelligence 工具。