Policy Simulator untuk kebijakan izin

Policy Simulator untuk kebijakan izin Identity and Access Management memungkinkan Anda melihat pengaruh perubahan pada kebijakan izin terhadap akses akun utama sebelum Anda berkomitmen untuk melakukan perubahan. Anda dapat menggunakan Policy Simulator untuk memastikan bahwa perubahan yang Anda buat tidak akan menyebabkan akun utama kehilangan akses yang diperlukan.

Fitur ini hanya mengevaluasi kebijakan izin. Untuk mempelajari cara menyimulasikan jenis kebijakan lainnya, lihat artikel berikut:

Cara kerja Policy Simulator untuk kebijakan izin

Policy Simulator untuk kebijakan izin membantu Anda menentukan dampak yang mungkin ditimbulkan oleh perubahan pada kebijakan izin bagi pengguna Anda. Untuk melakukannya, izin dalam kebijakan izin saat ini dan yang diusulkan tidak hanya dibandingkan. Sebagai gantinya, alat ini menggunakan log akses untuk berfokus pada perubahan izin yang benar-benar akan memengaruhi pengguna Anda.

Untuk mengetahui bagaimana perubahan pada kebijakan izin dapat memengaruhi akses akun utama, Policy Simulator menentukan upaya akses mana dari 90 hari terakhir yang memiliki hasil berbeda berdasarkan kebijakan izin yang diusulkan dan kebijakan izin saat ini. Kemudian, hasil ini dilaporkan sebagai daftar perubahan akses.

Saat menyimulasikan perubahan pada kebijakan izin, Anda memberikan kebijakan izin yang diusulkan dengan perubahan yang ingin Anda uji. Kebijakan izin yang diusulkan ini dapat diterapkan untuk resource apa pun yang menerima kebijakan izin.

Saat Anda menjalankan simulasi, Policy Simulator akan melakukan hal berikut:

  1. Mengambil log akses untuk jenis resource yang didukung dari 90 hari terakhir. Tempat pengumpulan log ini bergantung pada resource yang kebijakan izinkan-nya sedang Anda simulasikan:

    • Jika Anda menyimulasikan kebijakan izinkan untuk project atau organisasi, Policy Simulator akan mengambil log akses untuk project atau organisasi tersebut.
    • Jika Anda menyimulasikan kebijakan izinkan untuk jenis resource yang berbeda, Policy Simulator akan mengambil log akses untuk project atau organisasi induk resource tersebut.
    • Jika Anda menyimulasikan kebijakan izinkan untuk beberapa resource sekaligus, Policy Simulator akan mengambil log akses project atau organisasi terdekat yang sama untuk resource tersebut.

    Jika resource induk belum ada selama 90 hari, Policy Simulator akan mengambil semua upaya akses sejak resource dibuat.

  2. Mengevaluasi ulang, atau memutar ulang, upaya akses yang dicatat dalam log akses menggunakan kebijakan izinkan saat ini, dengan mempertimbangkan kebijakan izinkan yang diwariskan dan kebijakan izinkan yang ditetapkan pada resource turunan.

    Memutar ulang upaya akses dengan kebijakan izin saat ini memastikan bahwa Policy Simulator hanya melaporkan perubahan akses yang merupakan hasil dari kebijakan izin yang diusulkan, dan tidak melaporkan perubahan yang merupakan hasil dari modifikasi kebijakan izin lainnya yang telah Anda lakukan dalam 90 hari terakhir.

  3. Memutar ulang upaya akses menggunakan kebijakan izin yang diusulkan, sekali lagi dengan mempertimbangkan kebijakan izin yang diwariskan dan kebijakan izin yang ditetapkan pada resource turunan.

  4. Membandingkan hasil dari dua pemutaran ulang dan melaporkan perbedaannya, yang menunjukkan pengaruh perubahan yang diusulkan terhadap akses akun utama.

Contoh: Menguji perubahan kebijakan

Bayangkan Anda ingin menghapus peran Pelihat Organisasi pengguna (roles/resourcemanager.organizationViewer). Anda ingin menggunakan Policy Simulator untuk mengonfirmasi bahwa perubahan ini tidak akan memengaruhi akses pengguna.

Anda menggunakan konsol Google Cloud , REST API, atau Google Cloud CLI untuk mensimulasikan perubahan pada kebijakan izin.

Saat Anda memulai simulasi, Policy Simulator akan melakukan hal berikut:

  • Mengambil log akses untuk organisasi Anda dari 90 hari terakhir.
  • Memutar ulang upaya akses menggunakan kebijakan izin organisasi saat ini, jika pengguna memiliki peran Pelihat Organisasi.
  • Memutar ulang upaya akses menggunakan kebijakan izin yang diusulkan, jika pengguna tidak memiliki peran Pelihat Organisasi.
  • Membandingkan hasil dari dua pemutaran ulang dan melaporkan perbedaan di antara keduanya.

Kemudian, Anda dapat meninjau hasilnya untuk memahami pengaruh perubahan yang diusulkan terhadap akses pengguna.

Contoh: Pewarisan kebijakan

Bayangkan Anda ingin menyimulasikan perubahan pada kebijakan izinkan untuk folder, Engineering, dalam organisasi dengan struktur berikut:

Contoh struktur organisasi

Perhatikan bahwa Engineering memiliki resource induk, yaitu organisasi example.com, yang mewarisi kebijakan izin darinya. Project ini juga memiliki tiga project turunan yang dapat memiliki kebijakan izinnya sendiri: example-prod, example-dev, dan example-test.

Anda memberikan kebijakan izin yang diusulkan dan menjalankan simulasi. Saat Anda memulai simulasi, Simulator Kebijakan akan melakukan hal berikut:

  • Mengambil semua log yang relevan selama 90 hari terakhir. Karena Engineering adalah folder, Policy Simulator mengambil log dari organisasi induknya, example.com.
  • Memutar ulang upaya akses menggunakan kebijakan izin folder saat ini, kebijakan izin yang diwarisi dari example.com, dan kebijakan izin project turunan.
  • Memutar ulang setiap upaya akses menggunakan kebijakan izin yang diusulkan, kebijakan izin yang diwarisi dari example.com, dan kebijakan izin project turunan.
  • Membandingkan hasil dari pemutaran ulang dan melaporkan perbedaan di antara keduanya.

Kemudian, Anda dapat meninjau hasilnya untuk memahami pengaruh perubahan yang diusulkan terhadap akses pengguna.

Hasil Policy Simulator

Policy Simulator melaporkan dampak perubahan yang diusulkan pada kebijakan izin sebagai daftar perubahan akses. Perubahan akses mewakili upaya akses dari 90 hari terakhir yang akan memiliki hasil berbeda berdasarkan kebijakan izin yang diusulkan dibandingkan dengan kebijakan izin saat ini.

Policy Simulator juga mencantumkan error yang terjadi selama simulasi, yang membantu Anda mengidentifikasi potensi kesenjangan dalam simulasi.

Ada beberapa jenis perubahan akses:

Perubahan akses Detail
Akses dicabut Akun utama memiliki akses berdasarkan kebijakan izin saat ini, tetapi tidak akan lagi memiliki akses setelah perubahan yang diusulkan.
Akses berpotensi dicabut

Hasil ini dapat terjadi karena alasan berikut:

  • Akun utama memiliki akses berdasarkan kebijakan izin saat ini, tetapi aksesnya berdasarkan kebijakan izin yang diusulkan adalah tidak diketahui.
  • Akses akun utama berdasarkan kebijakan izinkan saat ini adalah tidak diketahui, tetapi akun utama tidak akan memiliki akses setelah perubahan yang diusulkan.
Akses didapatkan Principal tidak memiliki akses berdasarkan kebijakan izin saat ini, tetapi akan memiliki akses setelah perubahan yang diusulkan.
Akses berpotensi didapatkan

Hasil ini dapat terjadi karena alasan berikut:

  • Kepala sekolah tidak memiliki akses berdasarkan kebijakan izin saat ini, tetapi aksesnya setelah perubahan yang diusulkan adalah tidak diketahui.
  • Akses akun utama berdasarkan kebijakan izin saat ini adalah tidak diketahui, tetapi akun utama akan memiliki akses setelah perubahan yang diusulkan.
Akses tidak diketahui Akses akun utama berdasarkan kebijakan izinkan saat ini dan kebijakan izinkan yang diusulkan adalah tidak diketahui, dan perubahan yang diusulkan dapat memengaruhi akses akun utama.
Error Terjadi error selama simulasi.

Hasil tidak diketahui

Jika hasil akses tidak diketahui, berarti Policy Simulator tidak memiliki cukup informasi untuk mengevaluasi sepenuhnya upaya akses.

Ada beberapa alasan mengapa hasil bisa tidak diketahui:

  • Info peran ditolak: Akun utama yang menjalankan simulasi tidak memiliki izin untuk melihat detail peran untuk satu atau beberapa peran yang disimulasikan.
  • Tidak dapat mengakses kebijakan: Principal yang menjalankan simulasi tidak memiliki izin untuk mendapatkan kebijakan izinkan untuk satu atau beberapa resource yang terlibat dalam simulasi.
  • Info keanggotaan ditolak: Akun utama yang menjalankan simulasi tidak memiliki izin untuk melihat anggota satu atau beberapa grup yang disertakan dalam kebijakan izin yang disimulasikan.
  • Kondisi tidak didukung: Ada binding peran bersyarat dalam kebijakan izin yang sedang diuji. Policy Simulator tidak mendukung Conditions, sehingga binding tidak dapat dievaluasi.

Jika hasil akses tidak diketahui, laporan hasil Policy Simulator akan melaporkan alasan hasil tersebut tidak diketahui, ditambah peran spesifik, kebijakan izin, info keanggotaan, dan Conditions yang tidak dapat diakses atau dievaluasi.

Error

Policy Simulator juga melaporkan error apa pun yang terjadi selama simulasi. Penting untuk meninjau error ini agar Anda memahami potensi kesenjangan dalam simulasi.

Ada beberapa jenis error yang mungkin dilaporkan oleh Policy Simulator:

  • Error operasi: Simulasi tidak dapat dijalankan.

    Jika pesan error menyatakan bahwa simulasi tidak dapat dijalankan karena terlalu banyak log di project atau organisasi Anda, maka Anda tidak dapat menjalankan simulasi pada resource tersebut.

    Jika Anda mendapatkan error ini karena alasan lain, coba jalankan simulasi lagi. Jika Anda masih tidak dapat menjalankan simulasi, hubungi policy-simulator-feedback@google.com.

  • Error pemutaran ulang: Pemutaran ulang satu upaya akses tidak berhasil, sehingga Policy Simulator tidak dapat menentukan apakah hasil upaya akses akan berubah berdasarkan kebijakan izin yang diusulkan.

  • Error jenis resource yang tidak didukung: Kebijakan izin yang diusulkan memengaruhi izin yang terkait dengan jenis resource yang tidak didukung, yang tidak dapat disimulasikan oleh Policy Simulator. Policy Simulator mencantumkan izin ini dalam hasil simulasi sehingga Anda mengetahui izin mana yang tidak dapat disimulasikan.

Ukuran pemutaran ulang log maksimum

Jumlah maksimum log akses yang dapat diputar ulang oleh simulasi adalah 5.000. Jika ada lebih dari 5.000 log akses untuk project atau organisasi Anda selama 90 hari terakhir, simulasi akan gagal.

Untuk mempelajari cara Policy Simulator memutuskan log akses mana yang akan diambil, lihat Cara kerja Policy Simulator di halaman ini.

Tingkat dukungan untuk jenis resource

Policy Simulator tidak mendukung semua jenis resource dalam simulasi. Hal ini memengaruhi perubahan izin yang dapat disimulasikan.

Jenis resource yang didukung

Policy Simulator hanya mendukung jenis resource berikut:

Layanan Jenis resource yang didukung
Cloud Storage
  • buckets
Pub/Sub
  • snapshots
  • subscriptions
  • topics
Cloud SQL
  • backupRuns
  • databases
  • instances
  • sslCerts
  • users
Spanner
  • backups
  • backupOperations
  • databases
  • databaseOperations
  • instanceConfigs
  • instanceOperations
  • instances
  • sessions
Resource Manager
  • folders
  • organizations
  • projects
Compute Engine
  • instances

Mensimulasikan Batas Akses Kredensial

Anda dapat menggunakan Batas Akses Kredensial untuk memperkecil cakupan, atau membatasi, izin IAM yang dapat digunakan kredensial yang berlaku singkat untuk mengakses resource Cloud Storage. Untuk mempersempit izin, pengguna atau akun layanan (broker token) menentukan izin yang tersedia pada serangkaian resource dalam token akses yang dipersempit, lalu memberikan token akses tersebut kepada pengguna atau akun layanan lain (konsumen token).

Broker token harus memiliki peran yang mencakup izin yang diberikan kepada konsumen token dengan token akses yang diperkecil cakupannya. Menghapus peran tersebut dari broker token juga akan menghapus akses dari konsumen token. Namun, Policy Simulator tidak mengevaluasi bagaimana perubahan pada izin broker token memengaruhi akses konsumen token.

Misalnya, pertimbangkan pengguna yang telah diberi peran Storage Legacy Bucket Reader (roles/storage.legacyBucketReader) pada resource menggunakan token akses yang diperkecil cakupannya yang dibuat dengan Batas Akses Kredensial.

  • Jika Anda menyimulasikan penghapusan peran Storage Legacy Bucket Reader dari pengguna tersebut, Policy Simulator akan gagal melaporkan hilangnya akses.

  • Jika Anda menyimulasikan penghapusan peran Storage Legacy Bucket Reader dari broker token, Simulator Kebijakan gagal melaporkan hilangnya akses untuk pengguna. Demikian pula, jika akses broker token tidak digunakan dalam waktu 90 hari, aksesnya tidak disertakan dalam simulasi.

Untuk mengetahui informasi selengkapnya, lihat Batas Akses Kredensial untuk Cloud Storage.

Jenis resource yang tidak didukung

Jenis resource yang tidak didukung adalah jenis resource yang log aksesnya tidak dapat diambil oleh Policy Simulator. Jika Policy Simulator tidak dapat mengambil log akses untuk resource, Policy Simulator tidak dapat mengevaluasi pengaruh kebijakan izinkan yang diusulkan terhadap upaya akses tersebut.

Jika perubahan yang diusulkan pada kebijakan izinkan melibatkan izin untuk jenis resource yang tidak didukung, Policy Simulator akan mencantumkan izin tersebut dalam hasil simulasi sehingga Anda mengetahui izin mana yang tidak dapat disimulasikan. Misalnya, Policy Simulator tidak mendukung model AI Platform. Jadi, jika kebijakan izinkan yang diusulkan menghapus peran dengan izin aiplatform.models.list, hasil untuk simulasi tersebut menyatakan bahwa izin aiplatform.models.list tidak dapat disimulasikan.

Langkah berikutnya