Simulador de políticas de permissão

O Simulador de políticas de gestão de identidade e acesso permite políticas que lhe permite ver como uma alteração a uma política de permissão pode afetar o acesso de um principal antes de se comprometer a fazer a alteração. Pode usar o Simulador de políticas para garantir que as alterações que está a fazer não fazem com que um principal perca o acesso de que precisa.

Esta funcionalidade apenas avalia políticas de permissão. Para saber como simular outros tipos de políticas, consulte o seguinte:

Como funciona o Simulador de políticas para políticas de permissão

O simulador de políticas de permissão ajuda a determinar o impacto que uma alteração a uma política de permissão pode ter para os seus utilizadores. Para tal, não se limita a comparar as autorizações nas políticas de autorização atuais e propostas. Em alternativa, usa registos de acesso para se focar nas alterações de autorizações que afetam realmente os seus utilizadores.

Para saber como uma alteração a uma política de autorização pode afetar o acesso de um principal, o Simulador de políticas determina que tentativas de acesso dos últimos 90 dias têm resultados diferentes ao abrigo da política de autorização proposta e da política de autorização atual. Em seguida, comunica estes resultados como uma lista de alterações de acesso.

Quando simula uma alteração a uma política de autorização, fornece uma política de autorização proposta com as alterações que quer testar. Esta política de autorização proposta pode ser para qualquer recurso que aceite políticas de autorização.

Quando executa uma simulação, o Simulador de políticas faz o seguinte:

  1. Obtém registos de acesso para tipos de recursos suportados dos últimos 90 dias. A origem destes registos depende do recurso cuja política de autorização está a simular:

    • Se estiver a simular uma política de autorização para um projeto ou uma organização, o Policy Simulator obtém os registos de acesso desse projeto ou organização.
    • Se estiver a simular uma política de autorização para um tipo de recurso diferente, o Simulador de políticas obtém os registos de acesso do projeto principal ou da organização desse recurso.
    • Se estiver a simular as políticas de permissão de vários recursos em simultâneo, o Policy Simulator obtém os registos de acesso do projeto ou da organização comum mais próxima dos recursos.

    Se o recurso principal não existir há 90 dias, o simulador de políticas recupera todas as tentativas de acesso desde que o recurso foi criado.

  2. Reavalia ou repete as tentativas de acesso registadas nos registos de acesso com as políticas de autorização atuais, tendo em conta quaisquer políticas de autorização herdadas e quaisquer políticas de autorização definidas em recursos descendentes.

    A repetição das tentativas de acesso com a política de autorização atual garante que o Policy Simulator apenas comunica alterações de acesso resultantes da política de autorização proposta e não comunica alterações resultantes de outras modificações da política de autorização que fez nos últimos 90 dias.

  3. Repete as tentativas de acesso novamente com a política de autorização proposta, tendo mais uma vez em conta as políticas de autorização herdadas e as políticas de autorização definidas em recursos descendentes.

  4. Compara os resultados das duas repetições e comunica as diferenças, o que mostra como as alterações propostas afetariam o acesso do principal.

Exemplo: testar alterações de políticas

Imagine que quer remover a função de visualizador da organização de um utilizador (roles/resourcemanager.organizationViewer). Quer usar o simulador de políticas para confirmar que esta alteração não afeta o acesso do utilizador.

Use a Google Cloud consola, a API REST ou a CLI Google Cloud para simular a alteração à política de autorização.

Quando inicia a simulação, o Simulador de políticas faz o seguinte:

  • Obtém os registos de acesso da sua organização dos últimos 90 dias.
  • Repete as tentativas de acesso através da política de permissão atual da organização, em que o utilizador tem a função de visualizador da organização.
  • Repete as tentativas de acesso novamente com a política de autorização proposta, em que o utilizador não tem a função de leitor da organização.
  • Compara os resultados das duas repetições e comunica as diferenças entre eles.

Em seguida, pode rever os resultados para compreender como a alteração proposta afeta o acesso do utilizador.

Exemplo: herança de políticas

Imagine que quer simular uma alteração a uma política de permissão para uma pasta, Engineering, numa organização com a seguinte estrutura:

Exemplo de estrutura organizacional

Tenha em atenção que Engineering tem um recurso principal, a organização example.com, da qual herda as políticas de permissão. Também tem três projetos secundários que podem ter as suas próprias políticas de autorização: example-prod, example-dev e example-test.

Fornece uma política de permissão proposta e executa a simulação. Quando inicia a simulação, o Simulador de políticas faz o seguinte:

  • Recupera todos os registos relevantes dos últimos 90 dias. Uma vez que Engineering é uma pasta, o Simulador de políticas obtém registos da respetiva organização principal, example.com.
  • Repete as tentativas de acesso usando a política de permissão atual da pasta, a política de permissão herdada de example.com e as políticas de permissão dos projetos secundários.
  • Repete cada tentativa de acesso novamente usando a política de autorização proposta, a política de autorização herdada de example.com e as políticas de autorização dos projetos secundários.
  • Compara os resultados das repetições e comunica as diferenças entre eles.

Em seguida, pode rever os resultados para compreender como a alteração proposta afeta o acesso do utilizador.

Resultados do Simulador de políticas

O simulador de políticas comunica o impacto de uma alteração proposta a uma política de permissão como uma lista de alterações de acesso. Uma alteração de acesso representa uma tentativa de acesso dos últimos 90 dias que teria um resultado diferente ao abrigo da política de permissão proposta do que ao abrigo da política de permissão atual.

O simulador de políticas também apresenta todos os erros ocorridos durante a simulação, o que ajuda a identificar potenciais lacunas na simulação.

Existem vários tipos de alterações de acesso diferentes:

Alteração de acesso Detalhes
Acesso revogado O principal tinha acesso ao abrigo da política de permissão atual, mas deixa de ter acesso após a alteração proposta.
Acesso potencialmente revogado

Este resultado pode ocorrer pelos seguintes motivos:

  • O principal tinha acesso ao abrigo da política de permissão atual, mas o respetivo acesso ao abrigo da política de permissão proposta é desconhecido.
  • O acesso do principal ao abrigo da política de permissão atual é desconhecido, mas não terá acesso após a alteração proposta.
Acesso concedido O principal não tinha acesso ao abrigo da política de autorização atual, mas vai ter acesso após a alteração proposta.
Acesso potencialmente obtido

Este resultado pode ocorrer pelos seguintes motivos:

  • O principal não tinha acesso ao abrigo da política de permissão atual, mas o respetivo acesso após a alteração proposta é desconhecido.
  • O acesso do principal ao abrigo da política de permissão atual é desconhecido, mas o principal terá acesso após a alteração proposta.
Acesso desconhecido O acesso do principal ao abrigo da política de autorização atual e da política de autorização proposta é desconhecido, e as alterações propostas podem afetar o acesso do principal.
Erro Ocorreu um erro durante a simulação.

Resultados desconhecidos

Se um resultado de acesso for desconhecido, significa que o Simulador de políticas não tinha informações suficientes para avaliar totalmente a tentativa de acesso.

Existem vários motivos pelos quais um resultado pode ser desconhecido:

  • Informações de funções recusadas: o principal que executa a simulação não tinha autorização para ver os detalhes das funções de uma ou mais das funções que estão a ser simuladas.
  • Não é possível aceder à política: o principal que executa a simulação não tinha autorização para obter a política de permissão para um ou mais dos recursos envolvidos na simulação.
  • Membership info denied: o principal que executou a simulação não tinha permissão para ver os membros de um ou mais dos grupos incluídos na política de autorização simulada.
  • Condição não suportada: existe uma associação de função condicional na política de permissão que está a ser testada. O simulador de políticas não suporta condições, pelo que não foi possível avaliar a associação.

Se um resultado de acesso for desconhecido, o relatório de resultados do Simulador de políticas indica o motivo pelo qual foi desconhecido, além das funções específicas, das políticas de autorização, das informações de associação e das condições às quais não conseguiu aceder nem avaliar.

Erros

O Simulador de políticas também comunica quaisquer erros que tenham ocorrido durante a simulação. É importante rever estes erros para compreender as potenciais lacunas na simulação.

Existem vários tipos de erros que o Simulador de políticas pode comunicar:

  • Erros de operação: não foi possível executar a simulação.

    Se a mensagem de erro indicar que não foi possível executar a simulação porque existem demasiados registos no seu projeto ou organização, não pode executar uma simulação no recurso.

    Se receber este erro por outro motivo, experimente executar a simulação novamente. Se continuar a não conseguir executar a simulação, contacte policy-simulator-feedback@google.com.

  • Erros de repetição: uma repetição de uma única tentativa de acesso não foi bem-sucedida, pelo que o simulador de políticas não conseguiu determinar se o resultado da tentativa de acesso mudaria ao abrigo da política de autorização proposta.

  • Erros de tipo de recurso não suportado: a política de autorização proposta afeta as autorizações associadas a um tipo de recurso não suportado, que o Simulador de políticas não consegue simular. O Simulador de políticas apresenta estas autorizações nos resultados da simulação para que saiba que autorizações não foi possível simular.

Tamanho máximo da repetição do registo

O número máximo de registos de acesso que uma simulação pode repetir é de 5000. Se existirem mais de 5000 registos de acesso para o seu projeto ou organização nos últimos 90 dias, a simulação falha.

Para saber como o Simulador de políticas decide que registos de acesso obter, consulte a secção Como funciona o Simulador de políticas nesta página.

Níveis de apoio técnico para tipos de recursos

O simulador de políticas não suporta todos os tipos de recursos em simulações. Isto afeta as alterações de autorizações que consegue simular.

Tipos de recursos suportados

O simulador de políticas suporta apenas os seguintes tipos de recursos:

Serviço Tipos de recursos suportados
Cloud Storage
  • buckets
Pub/Sub
  • snapshots
  • subscriptions
  • topics
Cloud SQL
  • backupRuns
  • databases
  • instances
  • sslCerts
  • users
Spanner
  • backups
  • backupOperations
  • databases
  • databaseOperations
  • instanceConfigs
  • instanceOperations
  • instances
  • sessions
Resource Manager
  • folders
  • organizations
  • projects
Compute Engine
  • instances

Tipos de recursos não suportados

Os tipos de recursos não suportados são tipos de recursos para os quais o Simulador de políticas não consegue obter registos de acesso. Se o Simulador de políticas não conseguir obter registos de acesso para um recurso, não pode avaliar como a política de autorização proposta pode afetar essas tentativas de acesso.

Se uma alteração proposta a uma política de permissão envolver autorizações para um tipo de recurso não suportado, o Simulador de políticas lista essas autorizações nos resultados da simulação para que saiba que autorizações não foi possível simular. Por exemplo, o simulador de políticas não suporta modelos da AI Platform. Assim, se uma política de permissão proposta remover uma função com a autorização aiplatform.models.list, os resultados dessa simulação indicam que não foi possível simular a autorização aiplatform.models.list.

O que se segue?