O Simulador de política para políticas de negação permite que você veja como uma mudança em uma política de negação doIAM pode afetar o acesso de um principal antes de se comprometer a fazer a mudança. É possível usar o Simulador de política para verificar se as alterações feitas não causarão a perda do acesso necessário.
Esse recurso avalia apenas políticas de negação. Para saber como simular outros tipos de políticas, consulte o seguinte:
- Simulador de política para políticas da organização
- Simulador de política para políticas de permissão
- Simulador de política para políticas de limite de acesso de principal
Como o Simulador de política para políticas de negação funciona
O Simulador de política para políticas de negação ajuda a determinar se uma mudança em uma política de negação vai bloquear o acesso que seus principais estão usando.
Quando você executa uma simulação para uma política de negação, o Simulador de política faz o seguinte:
Recupera os registros de acesso da organização que foram gerados durante o período de repetição. O período de repetição é de 90 dias.
Se a organização não existir há mais de 90 dias, o Simulador de política vai recuperar todos os registros de acesso desde que a organização foi criada.
Determina quais registros de acesso são relevantes para a simulação. Os registros de acesso relevantes são todos os registros de acesso que representam a tentativa mais recente de um principal de usar uma permissão para acessar um recurso.
Para cada registro de acesso relevante, determina se as políticas de negação atuais, juntamente com as mudanças propostas, permitiriam o acesso tentado. Esse processo é chamado de repetição das tentativas de acesso.
Para cada registro de acesso, compara o estado de acesso da repetição com o estado de acesso nos registros de acesso. Em seguida, o Simulador de política informa todas as tentativas de acesso históricas que não foram bloqueadas no registro de acesso, mas foram bloqueadas na repetição. Essas diferenças, chamadas de mudanças de acesso, mostram quais tentativas de acesso teriam sido bloqueadas se a política de negação simulada tivesse sido aplicada no momento da tentativa.
Período de repetição
O período de repetição é o período em que o Simulador de política recebe registros de acesso ao executar uma simulação. Os registros de acesso que ocorrem antes do primeiro dia do período de repetição ou após o último dia do período de repetição não são incluídos na simulação.
Normalmente, o último dia do período de repetição é um dia antes da simulação. No entanto, em alguns casos, o último dia do período de repetição pode ser até 10 dias antes da simulação. Os registros de acesso que ocorrem após o último dia do período de repetição não são incluídos na simulação.
O período de repetição é de 90 dias. Se a organização não existir há mais de 90 dias, o Simulador de política vai recuperar todas as tentativas de acesso desde que a organização foi criada.
A janela de repetição também tem consistência eventual. Isso significa que, ao executar uma simulação, alguns dados podem ser mais recentes do que outros. No entanto, todos os dados terão a mesma atualização.
Resultados do Simulador de política
O Simulador de política informa o impacto de uma mudança proposta em uma política de negação como uma lista de mudanças de acesso. Para políticas de negação, o único tipo de mudança de acesso que o Simulador de política informa é a mudança de acesso Acesso revogado.
O Simulador de política informa que o acesso é revogado se as seguintes condições forem verdadeiras:
- A tentativa mais recente do principal de acessar o recurso foi bem-sucedida.
- As mudanças propostas ou outra política de negação bloqueiam o acesso do principal ao recurso.
Para cada mudança de acesso, o Simulador de política também informa o seguinte:
- O principal, o recurso e a permissão envolvidos na tentativa de acesso.
- O número de dias durante o período de repetição em que o principal tentou usar a permissão para acessar o recurso. Esse total inclui apenas as tentativas de acesso que têm o mesmo resultado da tentativa de acesso mais recente.
- A data da tentativa de acesso mais recente.
Erros
Os erros a seguir podem fazer com que uma simulação falhe:
- Número máximo de simulações simultâneas excedido: o usuário já tem 10 simulações em andamento, que é o número máximo de simulações em andamento que um usuário pode ter. Para resolver o problema, aguarde a conclusão de uma das simulações em andamento e tente executar a simulação novamente.
- Tempo limite excedido: a simulação demorou muito para ser executada e atingiu o tempo limite. Para resolver isso, tente executar a simulação novamente.
- Construção de simulação inválida: a política de negação proposta é inválida ou contém regras de negação não compatíveis. Um exemplo de política inválida é aquela que contém uma expressão de condição inválida. Um exemplo de regra de negação não compatível é aquela que usa identificadores principais de identidade de colaboradores. Para resolver o problema, corrija a política e tente novamente.
- Permissão negada: você não tem permissão para executar uma simulação. Para resolver o problema, verifique se você tem os papéis necessários e tente novamente.
Tipos de principais com suporte
O Simulador de política para políticas de negação analisa apenas os registros de acesso dos seguintes tipos de principais:
- Contas do Google Workspace
- Contas de serviço
- Conjuntos principais de contas de serviço para projetos, pastas e organizações
- Agentes de serviço
- Conjuntos principais de agentes de serviço para projetos, pastas e organizações
Ao simular políticas de negação, o Simulador de política não analisa registros de acesso para outros tipos de principais, incluindo aqueles baseados em identidades federadas em um pool de identidade da carga de trabalho. Como resultado, o Simulador de política não informa se as mudanças propostas nas políticas ou vinculações afetam o acesso desses principais.
A seguir
- Saiba como simular uma mudança em uma política de negação.
- Explore outras ferramentas do Policy Intelligence.