通过拒绝政策的 Policy Simulator,您可以先了解 IAM 拒绝政策 的更改可能会对正文 的访问权限有何影响,然后再决定是否进行更改。您可以使用 Policy Simulator 来确保所做的更改不会导致主账号失去所需的访问权限。
此功能仅评估拒绝政策。如需了解如何模拟其他政策类型,请参阅以下内容:
拒绝政策的 Policy Simulator 的工作原理
拒绝政策的 Policy Simulator 可帮助您确定拒绝政策的更改是否会阻止正文正在使用的访问权限。
当您为拒绝政策运行模拟时,Policy Simulator 会执行以下操作:
检索重放期间生成的组织的访问日志。重放期为 90 天。
如果组织存在的时间不超过 90 天,则 Policy Simulator 会检索自组织创建以来的所有访问日志。
确定哪些访问日志与模拟相关。相关访问日志是指所有访问日志,这些日志表示正文最近一次尝试使用权限访问资源。
对于每个相关访问日志,确定当前拒绝政策以及建议的更改是否允许尝试的访问。此过程称为重放访问尝试。
对于每个访问日志,将重放中的访问状态与访问日志中的访问状态进行比较。然后,Policy Simulator 会报告访问日志中未被阻止但在重放中被阻止的任何历史访问尝试。这些差异(称为 访问权限更改) __显示了如果在尝试时已实施 模拟的拒绝政策,哪些访问尝试会被阻止。
重放期
重放期是指 Policy Simulator 在运行模拟时获取访问日志的时间段。重放期第一天之前或重放期最后一天之后的访问日志不包含在模拟中。
通常,重放期的最后一天是模拟前 1 天。不过,在某些情况下,重放期的最后一天可能是在模拟前 10 天。重放期最后一天之后的访问日志不包含在模拟中。
重放期为 90 天。如果组织存在的时间不超过 90 天,则 Policy Simulator 会检索自组织创建以来的所有访问尝试。
重放窗口也具有最终一致性。这意味着,当您运行模拟时,某些数据可能比其他数据更新鲜。不过,最终所有数据的新鲜度都将相同。
Policy Simulator 结果
Policy Simulator 会将建议的拒绝政策更改的影响报告为访问权限更改列表。对于拒绝政策,Policy Simulator 报告的唯一类型的访问权限更改是访问权限已撤消 访问权限更改。
Policy Simulator 报告,如果满足以下条件,访问权限会撤消:
- 主账号最近一次尝试访问资源成功
- 建议的更改或其他拒绝政策会阻止正文访问资源
对于每次访问权限更改,Policy Simulator 还会报告以下信息:
- 访问尝试所涉及的主账号、资源和权限。
- 在重放期内,主账号尝试使用权限访问资源的天数。此总数仅包含与最近一次访问尝试的结果相同的访问尝试。
- 最近一次访问尝试的日期。
错误
以下错误可能会导致模拟失败:
- 超出并发模拟次数上限:用户已有 10 个正在进行的模拟,这是用户可以拥有的正在进行的模拟次数上限。如需解决此问题,请等待其中一个正在进行的模拟完成,然后尝试再次运行模拟。
- 超时:模拟运行时间过长,已超时。如需解决此问题,请尝试再次运行模拟。
- 模拟构造无效:建议的拒绝政策无效或 包含不受支持的拒绝规则。无效政策的一个示例是包含无效条件表达式的政策。不受支持的拒绝规则的一个示例是使用员工身份主账号标识符的规则。如需解决此问题,请更正政策,然后重试。
- 权限被拒:您无权运行模拟。如需解决此问题,请确保您已获得所需的角色,然后重试。
受支持的主账号类型
拒绝政策的 Policy Simulator 仅审核以下类型的主账号的访问日志:
在模拟拒绝政策时,Policy Simulator 不会审核任何其他正文类型的访问日志,包括基于工作负载身份池中的联合身份的正文。因此,Policy Simulator 不会报告对政策或绑定的建议更改是否会影响这些主账号的访问权限。
后续步骤
- 了解如何模拟拒绝政策的更改。
- 探索其他 Policy Intelligence 工具。