Policy Simulator per Identity and Access Management policy di autorizzazione ti consente di vedere in che modo una modifica a una policy di autorizzazione potrebbe influire sull'accesso di un'entità prima di impegnarti ad apportare la modifica. Puoi utilizzare Policy Simulator per assicurarti che le modifiche che stai apportando non causino la perdita dell'accesso necessario per un'entità.
Questa funzionalità valuta solo le policy di autorizzazione. Per scoprire come simulare altri tipi di criteri, consulta quanto segue:
- Policy Simulator per le policy di negazione
- Policy Simulator per le policy dell'organizzazione
- Policy Simulator per le policy di Principal Access Boundary
Come funziona Policy Simulator per le policy di autorizzazione
Policy Simulator per i criteri di autorizzazione ti aiuta a determinare l'impatto che una modifica a un criterio di autorizzazione potrebbe avere per i tuoi utenti. A questo scopo, non si limita a confrontare le autorizzazioni nelle policy di autorizzazione attuali e proposte. Utilizza invece i log di accesso per concentrarsi sulle modifiche alle autorizzazioni che influirebbero effettivamente sugli utenti.
Per scoprire in che modo una modifica a una policy di autorizzazione potrebbe influire sull'accesso di un'entità, Policy Simulator determina quali tentativi di accesso degli ultimi 90 giorni hanno risultati diversi in base alla policy di autorizzazione proposta e alla policy di autorizzazione attuale. Poi, riporta questi risultati come un elenco di modifiche all'accesso.
Quando simuli una modifica a un criterio di autorizzazione, fornisci un criterio di autorizzazione proposto con le modifiche che vuoi testare. Questa proposta di policy di autorizzazione può essere per qualsiasi risorsa che accetta le policy di autorizzazione.
Quando esegui una simulazione, Policy Simulator esegue le seguenti operazioni:
Recupera i log di accesso per i tipi di risorse supportati degli ultimi 90 giorni. La posizione da cui vengono raccolti questi log dipende dalla risorsa di cui stai simulando il criterio di autorizzazione:
- Se simuli una policy di autorizzazione per un progetto o un'organizzazione, Policy Simulator recupera i log di accesso per quel progetto o organizzazione.
- Se stai simulando un criterio di autorizzazione per un tipo diverso di risorsa, Policy Simulator recupera i log di accesso per il progetto o l'organizzazione padre della risorsa.
- Se simuli più policy di autorizzazione di risorse contemporaneamente, Policy Simulator recupera i log di accesso per il progetto o l'organizzazione comune più vicino alle risorse.
Se la risorsa padre non esiste da 90 giorni, Policy Simulator recupera tutti i tentativi di accesso dalla creazione della risorsa.
Valuta di nuovo, o riproduce, i tentativi di accesso registrati nei log di accesso utilizzando le policy di autorizzazione attuali, tenendo conto di eventuali policy di autorizzazione ereditate e di eventuali policy di autorizzazione impostate sulle risorse discendenti.
La ripetizione dei tentativi di accesso con la policy di autorizzazione attuale garantisce che Policy Simulator segnali solo le modifiche all'accesso che sono il risultato della policy di autorizzazione proposta e non le modifiche che sono il risultato di altre modifiche alla policy di autorizzazione apportate negli ultimi 90 giorni.
Ripete i tentativi di accesso utilizzando il criterio di autorizzazione proposto, tenendo conto ancora una volta di eventuali criteri di autorizzazione ereditati e di eventuali criteri di autorizzazione impostati sulle risorse discendenti.
Confronta i risultati delle due riproduzioni e segnala le differenze, che mostrano in che modo le modifiche proposte influirebbero sull'accesso dell'entità.
Esempio: testare le modifiche ai criteri
Supponiamo che tu voglia rimuovere il ruolo Visualizzatore organizzazione di un utente
(roles/resourcemanager.organizationViewer). Vuoi utilizzare
Policy Simulator per verificare che questa modifica non influisca sull'accesso dell'utente.
Utilizza la console Google Cloud , l'API REST o Google Cloud CLI per simulare la modifica alla policy di autorizzazione.
Quando avvii la simulazione, Policy Simulator esegue le seguenti operazioni:
- Recupera i log di accesso per la tua organizzazione degli ultimi 90 giorni.
- Riproduce i tentativi di accesso utilizzando l'attuale policy di autorizzazione dell'organizzazione, in cui l'utente ha il ruolo Visualizzatore organizzazione.
- Ripete i tentativi di accesso utilizzando la policy di autorizzazione proposta, in cui l'utente non dispone del ruolo Visualizzatore dell'organizzazione.
- Confronta i risultati delle due repliche e segnala le differenze tra loro.
Puoi quindi esaminare i risultati per capire in che modo la modifica proposta influisce sull'accesso dell'utente.
Esempio: ereditarietà delle policy
Supponiamo che tu voglia simulare una modifica a una policy di autorizzazione per una cartella,
Engineering, in un'organizzazione con la seguente struttura:
Tieni presente che Engineering ha una risorsa padre, l'organizzazione example.com,
da cui eredita i criteri di autorizzazione. Ha anche tre progetti secondari che possono
avere criteri di autorizzazione propri: example-prod, example-dev e
example-test.
Fornisci una proposta di policy di autorizzazione ed esegui la simulazione. Quando avvii la simulazione, Policy Simulator esegue le seguenti operazioni:
- Recupera tutti i log pertinenti degli ultimi 90 giorni. Poiché
Engineeringè una cartella, Policy Simulator recupera i log dalla sua organizzazione principale,example.com. - Riproduce i tentativi di accesso utilizzando la policy di autorizzazione corrente della cartella, la policy di autorizzazione ereditata da
example.come le policy di autorizzazione dei progetti secondari. - Ripete ogni tentativo di accesso utilizzando la policy di autorizzazione proposta, la policy di autorizzazione ereditata da
example.come le policy di autorizzazione dei progetti secondari. - Confronta i risultati delle repliche e segnala le differenze tra loro.
Puoi quindi esaminare i risultati per capire in che modo la modifica proposta influisce sull'accesso dell'utente.
Risultati di Policy Simulator
Policy Simulator segnala l'impatto di una modifica proposta a una policy di autorizzazione come un elenco di modifiche all'accesso. Una modifica all'accesso rappresenta un tentativo di accesso degli ultimi 90 giorni che avrebbe un risultato diverso in base alla policy di autorizzazione proposta rispetto a quella attuale.
Policy Simulator elenca anche gli eventuali errori che si sono verificati durante la simulazione, il che ti aiuta a identificare potenziali lacune nella simulazione.
Esistono diversi tipi di modifiche dell'accesso:
| Modifica accesso | Dettagli |
|---|---|
| Accesso revocato | L'entità aveva accesso in base al criterio di autorizzazione attuale, ma non avrà più accesso dopo la modifica proposta. |
| Accesso potenzialmente revocato |
Questo risultato può verificarsi per i seguenti motivi:
|
| Accesso ottenuto | L'entità non aveva accesso in base al criterio di autorizzazione attuale, ma avrà accesso dopo la modifica proposta. |
| Accesso potenzialmente ottenuto |
Questo risultato può verificarsi per i seguenti motivi:
|
| Accesso sconosciuto | L'accesso dell'entità sia in base al criterio di autorizzazione attuale sia a quello proposto è sconosciuto e le modifiche proposte potrebbero influire sull'accesso dell'entità. |
| Errore | Si è verificato un errore durante la simulazione. |
Risultati sconosciuti
Se un risultato di accesso è sconosciuto, significa che Policy Simulator non aveva informazioni sufficienti per valutare completamente il tentativo di accesso.
Esistono diversi motivi per cui un risultato può essere sconosciuto:
- Informazioni sul ruolo negate: l'entità che esegue la simulazione non disponeva dell'autorizzazione per visualizzare i dettagli del ruolo per uno o più ruoli simulati.
- Impossibile accedere alla policy: l'entità che esegue la simulazione non disponeva dell'autorizzazione per ottenere la policy di autorizzazione per una o più risorse coinvolte nella simulazione.
- Informazioni sull'appartenenza negate: l'entità che esegue la simulazione non aveva l'autorizzazione per visualizzare i membri di uno o più gruppi inclusi nella policy di autorizzazione simulata.
- Condizione non supportata: nella policy di autorizzazione in fase di test è presente un'associazione di ruoli condizionale. Policy Simulator non supporta le condizioni, pertanto non è stato possibile valutare l'associazione.
Se un risultato di accesso è sconosciuto, il report sui risultati di Policy Simulator indica il motivo per cui è sconosciuto, oltre ai ruoli specifici, alle policy di autorizzazione, alle informazioni sull'appartenenza e alle condizioni a cui non è stato possibile accedere o valutare.
Errori
Policy Simulator segnala anche gli eventuali errori che si sono verificati durante la simulazione. È importante esaminare questi errori per comprendere le potenziali lacune nella simulazione.
Esistono diversi tipi di errori che Policy Simulator potrebbe segnalare:
Errori di operazione: non è stato possibile eseguire la simulazione.
Se il messaggio di errore indica che non è stato possibile eseguire la simulazione perché sono presenti troppi log nel tuo progetto o nella tua organizzazione, non puoi eseguire una simulazione sulla risorsa.
Se visualizzi questo errore per un altro motivo, prova a eseguire di nuovo la simulazione. Se ancora non riesci a eseguire la simulazione, contatta policy-simulator-feedback@google.com.
Errori di riproduzione: la riproduzione di un singolo tentativo di accesso non è andata a buon fine, pertanto Policy Simulator non è riuscito a determinare se il risultato del tentativo di accesso cambierebbe in base alla policy di autorizzazione proposta.
Errori relativi al tipo di risorsa non supportato: la policy di autorizzazione proposta influisce sulle autorizzazioni associate a un tipo di risorsa non supportato, che Policy Simulator non può simulare. Policy Simulator elenca queste autorizzazioni nei risultati della simulazione in modo da sapere quali autorizzazioni non è stato possibile simulare.
Dimensione massima della riproduzione dei log
Il numero massimo di log di accesso che una simulazione può riprodurre è 5000. Se negli ultimi 90 giorni sono presenti più di 5000 log di accesso per il tuo progetto o la tua organizzazione, la simulazione non andrà a buon fine.
Per scoprire in che modo Policy Simulator decide quali log di accesso recuperare, consulta la sezione Come funziona Policy Simulator in questa pagina.
Livelli di assistenza per i tipi di risorse
Policy Simulator non supporta tutti i tipi di risorse nelle simulazioni. Ciò influisce sulle modifiche alle autorizzazioni che è in grado di simulare.
Tipi di risorse supportati
Policy Simulator supporta solo i seguenti tipi di risorse:
| Servizio | Tipi di risorse supportati |
|---|---|
| Cloud Storage |
|
| Pub/Sub |
|
| Cloud SQL |
|
| Spanner |
|
| Resource Manager |
|
| Compute Engine |
|
Simulazione dei limiti di accesso alle credenziali
Puoi utilizzare i limiti di accesso delle credenziali per ridurre l'ambito o limitare le autorizzazioni IAM che una credenziale di breve durata può utilizzare per accedere alle risorse Cloud Storage. Per ridurre l'ambito delle autorizzazioni, un utente o un account di servizio (il broker di token) definisce le autorizzazioni disponibili per un insieme di risorse in un token di accesso con ambito ridotto e poi fornisce il token di accesso a un altro utente o account di servizio (il consumer di token).
Il broker di token deve avere un ruolo che includa le autorizzazioni concesse al consumer di token con un token di accesso con ambito ridotto. La rimozione di questo ruolo dal broker di token rimuove anche l'accesso dal consumer di token. Tuttavia, Policy Simulator non valuta in che modo le modifiche alle autorizzazioni del broker di token influiscono sull'accesso del consumer di token.
Ad esempio, considera un utente a cui è stato concesso il ruolo
Storage Legacy Bucket Reader (roles/storage.legacyBucketReader) su una risorsa utilizzando un token di accesso con ambito ridotto creato con un limite di accesso alle credenziali.
Se simuli la rimozione del ruolo Lettore bucket legacy Storage dall'utente, Policy Simulator non segnala una perdita di accesso.
Se simuli la rimozione del ruolo Lettore bucket legacy Storage dal broker di token, Policy Simulator non segnala una perdita di accesso per l'utente. Allo stesso modo, se l'accesso del broker di token non viene utilizzato entro 90 giorni, non viene incluso nella simulazione.
Per maggiori informazioni, consulta Limiti di accesso alle credenziali per Cloud Storage.
Tipi di risorse non supportati
I tipi di risorse non supportati sono tipi di risorse per i quali Policy Simulator non può recuperare i log di accesso. Se Policy Simulator non riesce a recuperare i log di accesso per una risorsa, non può valutare in che modo la policy di autorizzazione proposta potrebbe influire su questi tentativi di accesso.
Se una modifica proposta a un criterio di autorizzazione riguarda le autorizzazioni per un tipo di risorsa non supportato, Policy Simulator elenca queste autorizzazioni nei risultati della simulazione in modo che tu sappia quali autorizzazioni non è stato possibile simulare.
Ad esempio, Policy Simulator non supporta i modelli AI Platform. Pertanto,
se una policy di autorizzazione proposta rimuove un ruolo con l'autorizzazione aiplatform.models.list, i risultati della simulazione indicano che non è stato possibile simulare
l'autorizzazione aiplatform.models.list.
Passaggi successivi
- Scopri come simulare una modifica a un criterio di autorizzazione.
- Esplora altri strumenti di Policy Intelligence.