Simulateur de règles pour les règles de refus

Policy Simulator pour les stratégies de refus vous permet de voir comment une modification d'une stratégie de refus IAM peut affecter l'accès d'un compte principal avant de procéder à la modification. Vous pouvez utiliser Policy Simulator pour vous assurer que les modifications que vous apportez n'empêchent pas un compte principal d'accéder aux ressources dont il a besoin.

Cette fonctionnalité n'évalue que les stratégies de refus. Pour savoir comment simuler d'autres types de stratégies, consultez les pages suivantes :

Fonctionnement de Policy Simulator pour les stratégies de refus

Policy Simulator pour les stratégies de refus vous permet de déterminer si une modification d'une stratégie de refus bloquera l'accès utilisé par vos comptes principaux.

Lorsque vous exécutez une simulation pour une stratégie de refus, Policy Simulator effectue les opérations suivantes :

  1. Récupère les journaux d'accès de l'organisation générés pendant la période de relecture. La période de relecture est de 90 jours.

    Si l'organisation n'existe pas depuis plus de 90 jours, Policy Simulator récupère tous les journaux d'accès depuis sa création.

  2. Détermine les journaux d'accès pertinents pour la simulation. Les journaux d'accès pertinents sont tous les journaux d'accès qui représentent la tentative la plus récente d'un compte principal d'utiliser une autorisation pour accéder à une ressource.

  3. Pour chaque journal d'accès pertinent, détermine si les stratégies de refus actuelles, ainsi que les modifications proposées, autoriseraient la tentative d'accès. Ce processus est appelé relecture des tentatives d'accès.

  4. Pour chaque journal d'accès, compare l'état d'accès de la relecture à l'état d'accès des journaux d'accès. Ensuite, Policy Simulator signale toutes les tentatives d'accès historiques qui n'ont pas été bloquées dans le journal d'accès, mais qui l'ont été dans la relecture. Ces différences, appelées modifications d'accès, indiquent les tentatives d'accès qui auraient été bloquées si la stratégie de refus simulée avait été en place au moment de la tentative.

Période de relecture

La période de relecture est la période pendant laquelle Policy Simulator obtient les journaux d'accès lors de l'exécution d'une simulation. Les journaux d'accès qui se produisent avant le premier jour de la période de relecture ou après le dernier jour de la période de relecture ne sont pas inclus dans la simulation.

En règle générale, le dernier jour de la période de relecture est le jour précédant la simulation. Toutefois, dans certains cas, le dernier jour de la période de relecture peut remonter jusqu'à 10 jours avant la simulation. Les journaux d'accès qui se produisent après le dernier jour de la période de relecture ne sont pas inclus dans la simulation.

La période de relecture est de 90 jours. Si l'organisation n'existe pas depuis plus de 90 jours, Policy Simulator récupère toutes les tentatives d'accès depuis sa création.

La fenêtre de relecture est également cohérente à terme. Cela signifie que, lorsque vous exécutez une simulation, certaines données peuvent être plus récentes que d'autres. Toutefois, à terme, toutes les données auront la même fraîcheur.

Résultats de Policy Simulator

Policy Simulator signale l'impact d'une modification de stratégie de refus proposée sous la forme d'une liste de modifications d'accès. Pour les stratégies de refus, le seul type de modification d'accès que Policy Simulator signale est la modification d'accès Accès révoqué.

Policy Simulator signale que l'accès est révoqué si les conditions suivantes sont remplies :

  • La tentative la plus récente du compte principal d'accéder à la ressource a réussi.
  • Les modifications proposées ou une autre stratégie de refus bloquent l'accès du compte principal à la ressource.

Pour chaque modification d'accès, Policy Simulator fournit également les informations suivantes :

  • Le compte principal, la ressource et l'autorisation impliqués dans la tentative d'accès.
  • Le nombre de jours pendant la période de relecture où le compte principal a tenté d'utiliser l'autorisation pour accéder à la ressource. Ce total n'inclut que les tentatives d'accès qui ont le même résultat que la tentative d'accès la plus récente.
  • La date de la tentative d'accès la plus récente.

Erreurs

Les erreurs suivantes peuvent entraîner l'échec d'une simulation :

  • Nombre maximal de simulations simultanées dépassé : l'utilisateur a déjà 10 simulations en cours, ce qui correspond au nombre maximal de simulations en cours qu'un utilisateur peut avoir. Pour résoudre ce problème, attendez qu'une des simulations en cours se termine, puis réessayez d'exécuter la simulation.
  • Délai expiré : l'exécution de la simulation a pris trop de temps et a expiré. Pour résoudre ce problème, réessayez d'exécuter la simulation.
  • Construction de simulation non valide : la stratégie de refus proposée n'est pas valide ou contient des règles de refus non compatibles. Une stratégie non valide est, par exemple, celle qui contient une expression de condition non valide. Une règle de refus non compatible est, par exemple, celle qui utilise des identifiants de compte principal de fédération d'identités de personnel. Pour résoudre ce problème, corrigez la stratégie et réessayez.
  • Autorisation refusée : vous n'êtes pas autorisé à exécuter une simulation. Pour résoudre ce problème, assurez-vous que les rôles requis vous sont attribués, puis réessayez.

Types de comptes principaux compatibles

Policy Simulator pour les stratégies de refus n'examine que les journaux d'accès pour les types de comptes principaux suivants :

Lors de la simulation de stratégies de refus, Policy Simulator n'examine pas les journaux d'accès pour les autres types de comptes principaux, y compris ceux basés sur des identités fédérées dans un pool d'identités de charge de travail. Par conséquent, Policy Simulator n'indique pas si les modifications proposées à vos stratégies ou liaisons affectent l'accès de ces comptes principaux.

Étape suivante