Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Policy Simulator untuk kebijakan penolakan

Policy Simulator untuk kebijakan penolakan memungkinkan Anda melihat pengaruh perubahan pada IAM kebijakan penolakan terhadap akses akun utama sebelum Anda berkomitmen untuk melakukan perubahan. Anda dapat menggunakan Policy Simulator untuk memastikan bahwa perubahan yang Anda lakukan tidak akan menyebabkan akun utama kehilangan akses yang mereka butuhkan.

Fitur ini hanya mengevaluasi kebijakan penolakan. Untuk mempelajari cara menyimulasikan jenis kebijakan lainnya, lihat hal berikut:

Cara kerja Policy Simulator untuk kebijakan penolakan

Policy Simulator untuk kebijakan penolakan membantu Anda menentukan apakah perubahan pada kebijakan penolakan akan memblokir akses yang digunakan akun utama Anda.

Saat Anda menjalankan simulasi untuk kebijakan penolakan, Policy Simulator akan melakukan hal berikut:

Mengambil log akses untuk organisasi yang dibuat selama periode pemutaran ulang. Periode pemutaran ulang adalah 90 hari.

Jika organisasi belum ada selama lebih dari 90 hari, Policy Simulator akan mengambil semua log akses sejak organisasi dibuat.
Menentukan log akses mana yang relevan dengan simulasi. Log akses yang relevan adalah semua log akses yang mewakili upaya terbaru akun utama untuk menggunakan izin guna mengakses resource.
Untuk setiap log akses yang relevan, menentukan apakah kebijakan penolakan saat ini, beserta perubahan yang diusulkan, akan mengizinkan akses yang dicoba. Proses ini disebut memutar ulang upaya akses.
Untuk setiap log akses, membandingkan status akses dari pemutaran ulang dengan status akses dalam log akses. Kemudian, Policy Simulator melaporkan upaya akses historis yang tidak diblokir dalam log akses, tetapi diblokir dalam pemutaran ulang. Perbedaan ini, yang disebut perubahan akses, menunjukkan upaya akses mana yang akan diblokir jika kebijakan penolakan yang disimulasikan telah diterapkan pada saat upaya tersebut dilakukan.

Catatan: Status akses dalam log akses mungkin tidak mencerminkan status akses saat ini akses saat ini. Dalam kasus ini, Policy Simulator selalu membandingkan hasil pemutaran ulang dengan hasil dari log akses, bukan dengan status akses saat ini.

Periode pemutaran ulang

Periode pemutaran ulang adalah jangka waktu Policy Simulator mendapatkan log akses saat menjalankan simulasi. Log akses yang terjadi sebelum hari pertama periode pemutaran ulang atau setelah hari terakhir periode pemutaran ulang tidak disertakan dalam simulasi.

Biasanya, hari terakhir periode pemutaran ulang adalah 1 hari sebelum simulasi. Namun, dalam beberapa kasus, hari terakhir periode pemutaran ulang dapat terjadi hingga 10 hari sebelum simulasi. Log akses yang terjadi setelah hari terakhir periode pemutaran ulang tidak disertakan dalam simulasi.

Periode pemutaran ulang adalah 90 hari. Jika organisasi belum ada selama lebih dari 90 hari, Policy Simulator akan mengambil semua upaya akses sejak organisasi dibuat.

Jendela pemutaran ulang juga memiliki konsistensi tertunda. Artinya, saat Anda menjalankan simulasi, beberapa data mungkin lebih baru daripada data lainnya. Namun, pada akhirnya, semua data akan memiliki tingkat kebaruan yang sama.

Hasil Policy Simulator

Policy Simulator melaporkan dampak perubahan yang diusulkan pada kebijakan penolakan sebagai daftar perubahan akses. Untuk kebijakan penolakan, satu-satunya jenis perubahan akses yang dilaporkan Policy Simulator adalah perubahan akses Akses dicabut.

Policy Simulator melaporkan bahwa akses dicabut jika hal berikut benar:

Upaya terbaru akun utama untuk mengakses resource berhasil
Perubahan yang diusulkan atau kebijakan penolakan lainnya memblokir akses akun utama ke resource

Untuk setiap perubahan akses, Policy Simulator juga melaporkan informasi berikut:

Akun utama, resource, dan izin yang terlibat dalam upaya akses.
Jumlah hari selama periode pemutaran ulang saat akun utama mencoba menggunakan izin untuk mengakses resource. Total ini hanya mencakup upaya akses yang memiliki hasil yang sama dengan upaya akses terbaru.
Tanggal upaya akses terbaru.

Error

Error berikut dapat menyebabkan simulasi gagal:

Batas maksimum simulasi bersamaan terlampaui: Pengguna sudah memiliki 10 simulasi yang sedang berlangsung, yang merupakan jumlah maksimum simulasi yang sedang berlangsung yang dapat dimiliki pengguna. Untuk mengatasi masalah ini, tunggu salah satu simulasi yang sedang berlangsung selesai, lalu coba jalankan simulasi lagi.
Waktu tunggu: Simulasi membutuhkan waktu terlalu lama untuk dijalankan dan waktu tunggu habis. Untuk mengatasi masalah ini, coba jalankan simulasi lagi.
Invalid simulation construction: Kebijakan penolakan yang diusulkan tidak valid atau berisi aturan penolakan yang tidak didukung. Contoh kebijakan yang tidak valid adalah kebijakan yang berisi ekspresi kondisi yang tidak valid. Contoh aturan penolakan yang tidak didukung adalah aturan yang menggunakan ID utama identitas tenaga kerja. Untuk mengatasi masalah ini, perbaiki kebijakan dan coba lagi.
Permission denied: Anda tidak memiliki izin untuk menjalankan simulasi. Untuk mengatasi masalah ini, pastikan Anda diberi peran yang diperlukan dan coba lagi.

Jenis akun utama yang didukung

Policy Simulator untuk kebijakan penolakan hanya meninjau log akses untuk jenis akun utama berikut:

Akun Google Workspace
Akun layanan
Set akun utama akun layanan untuk project, folder, dan organisasi
Agen layanan
Set akun utama agen layanan untuk project, folder, dan organisasi

Saat menyimulasikan kebijakan penolakan, Policy Simulator tidak meninjau log akses untuk jenis akun utama lainnya, termasuk yang didasarkan pada identitas gabungan di workload identity pool. Akibatnya, Policy Simulator tidak melaporkan apakah perubahan yang diusulkan pada kebijakan atau pengikatan Anda memengaruhi akses akun utama tersebut.

Menyimulasikan Batas Akses Kredensial

Anda dapat menggunakan Batas Akses Kredensial untuk memperkecil cakupan, atau membatasi, izin IAM yang dapat digunakan kredensial yang berlaku singkat untuk mengakses resource Cloud Storage. Untuk memperkecil cakupan izin, pengguna atau akun layanan (broker token) menentukan izin yang tersedia pada sekumpulan resource dalam token akses yang cakupannya diperkecil, lalu memberikan token akses tersebut kepada pengguna atau akun layanan lain (konsumen token).

Broker token harus memiliki peran yang mencakup izin yang diberikan kepada konsumen token dengan token akses yang cakupannya diperkecil. Menolak peran tersebut pada broker token juga akan menghapus akses dari konsumen token. Namun, Policy Simulator tidak mengevaluasi pengaruh perubahan pada izin broker token terhadap akses konsumen token.

Misalnya, pertimbangkan pengguna yang telah diberi peran Storage Legacy Bucket Reader (roles/storage.legacyBucketReader) pada resource menggunakan token akses yang cakupannya diperkecil yang dibuat dengan Batas Akses Kredensial.

Jika Anda menyimulasikan penolakan peran Storage Legacy Bucket Reader pada pengguna tersebut, Policy Simulator akan gagal melaporkan hilangnya akses.
Jika Anda menyimulasikan penolakan peran Storage Legacy Bucket Reader pada broker token, Policy Simulator akan gagal melaporkan hilangnya akses untuk pengguna. Demikian pula, jika akses broker token tidak digunakan dalam waktu 90 hari, aksesnya tidak akan disertakan dalam simulasi.

Untuk mengetahui informasi selengkapnya, lihat Batas Akses Kredensial untuk Cloud Storage.

Langkah berikutnya

Pelajari cara menyimulasikan perubahan pada kebijakan penolakan.
Pelajari alat Policy Intelligence lainnya.