Policy Simulator für Principal Access Boundary-Richtlinien

Mit dem Policy Simulator für Principal Access Boundary-Richtlinien (PAB) können Sie sehen, wie sich eine Änderung an einer Principal Access Boundary-Richtlinie oder Bindung auf den Zugriff Ihrer Prinzipale auswirken kann, bevor Sie die Änderung vornehmen. Mit dem Policy Simulator können Sie die potenziellen Auswirkungen einer Änderung an einer Principal Access Boundary-Richtlinie oder -Bindung nachvollziehen, bevor Sie sie anwenden.

Bei dieser Funktion wird der Zugriff nur auf Grundlage von Principal Access Boundary-Richtlinien und Richtlinienbindungen bewertet.

Informationen zum Simulieren von Änderungen an anderen Richtlinientypen finden Sie unter:

• Richtliniensimulator für Zulassungsrichtlinien
• Richtliniensimulator für Ablehnungsrichtlinien
• Policy Simulator für Organisationsrichtlinien

Funktionsweise des Policy Simulators für Principal Access Boundary-Richtlinien

Mit dem Policy Simulator für Principal Access Boundary-Richtlinien können Sie ermitteln, wie sich eine Änderung an einer Principal Access Boundary-Richtlinie oder -Richtlinienbindung auf den Zugriff für Prinzipale in Ihrer Organisation auswirkt.

Wenn Sie eine Simulation für eine Principal Access Boundary-Richtlinie oder -Richtlinienbindung ausführen, führt der Policy Simulator folgende Schritte aus:

• Er überprüft Zugriffslogs aus der Organisation, die während des Wiedergabezeitraums im Kontext der aktuellen Principal Access Boundary-Richtlinien und -Bindungen sowie der simulierten Principal Access Boundary Richtlinie oder -Bindung generiert wurden.

• Er gibt eine Reihe von Zugriffsänderungen zurück. Diese Zugriffsänderungen zeigen, bei welchen Zugriffsversuchen aus den Logs wahrscheinlich andere Ergebnisse erzielt werden, wenn Sie die simulierte Richtlinie oder Bindung anwenden.

Weitere Informationen zu den Zugriffsänderungen, die vom Policy Simulator zurückgegeben werden, finden Sie unter Ergebnisse des Policy Simulators.

Wiedergabezeitraum

Der Wiedergabezeitraum ist der Zeitraum, für den der Policy Simulator Zugriffslogs abruft, wenn er eine Simulation ausführt. Zugriffslogs, die vor dem ersten oder nach dem letzten Tag des Wiedergabezeitraums auftreten, werden nicht in die Simulation einbezogen.

In der Regel liegt der letzte Tag des Wiedergabezeitraums einen Tag vor der Simulation. In einigen Fällen kann der letzte Tag des Wiedergabezeitraums jedoch bis zu 10 Tage vor der Simulation liegen. Zugriffslogs, die nach dem letzten Tag des Wiedergabezeitraums auftreten, werden nicht in die Simulation einbezogen.

Der Wiedergabezeitraum beträgt 90 Tage. Wenn die Organisation noch keine 90 Tage besteht, ruft der Policy Simulator alle Zugriffsversuche seit der Erstellung der Organisation ab.

Das Wiedergabefenster ist ebenfalls letztendlich konsistent. Das bedeutet, dass einige Daten bei der Ausführung einer Simulation möglicherweise aktueller sind als andere. Letztendlich haben aber alle Daten denselben Aktualitätsgrad.

Ergebnisse des Policy Simulator

Der Policy Simulator für Principal Access Boundary-Richtlinien meldet die Auswirkungen einer vorgeschlagenen Änderung an einer Principal Access Boundary-Richtlinie oder -Bindung als Liste von Zugriffsänderungen. Eine Zugriffsänderung stellt einen Zugriffsversuch aus dem Wiedergabezeitraum dar, der bei Anwendung der simulierten Richtlinie wahrscheinlich ein anderes Ergebnis hätte.

Für jede Zugriffsänderung meldet der Policy Simulator auch die folgenden Informationen:

• Das Hauptkonto, die Berechtigung und, falls verfügbar, die Ressource, die am Zugriffsversuch beteiligt sind.
• Die Anzahl der Tage im Wiedergabezeitraum, an denen das Hauptkonto versucht hat, die Berechtigung für den Zugriff auf die Ressource zu verwenden. Diese Summe umfasst nur die Zugriffsversuche, die dasselbe Ergebnis wie der letzte Zugriffsversuch haben.
• Das Datum des letzten Zugriffsversuchs.

Zugriffsänderungen

Eine Zugriffsänderung gibt an, dass sich der Zugriff eines Nutzers auf Grundlage der relevanten Principal Access Boundary-Richtlinien wahrscheinlich ändert, wenn Sie die simulierte Richtlinie oder Bindung anwenden. Zugriffsänderungen können entweder Zugriff erhalten oder Zugriff widerrufen sein.

Bei der Berechnung von Zugriffsänderungen bewertet der Policy Simulator für Principal Access Boundary-Richtlinien nur Principal Access Boundary-Richtlinien und -Bindungen. Andere Richtlinientypen werden nicht bewertet.

Der Policy Simulator berechnet Zugriffsänderungen anhand der folgenden Informationen:

• Das Ergebnis des letzten Zugriffsversuchs
• Die Auswirkungen der aktuellen Principal Access Boundary-Richtlinien und -Bindungen
• Die Auswirkungen der vorgeschlagenen Principal Access Boundary-Richtlinien und -Bindungen

Damit Zugriff erhalten wird, müssen alle folgenden Bedingungen erfüllt sein:

• Der letzte Zugriffsversuch wurde blockiert.
• Der Zugriff wird durch die aktuellen Principal Access Boundary-Richtlinien und -Bindungen blockiert.
• Der Zugriff wird nicht durch die vorgeschlagenen Principal Access Boundary-Richtlinien und -Bindungen blockiert.

Damit Zugriff widerrufen wird, müssen alle folgenden Bedingungen erfüllt sein:

• Der letzte Zugriffsversuch wurde nicht blockiert.
• Der Zugriff wird nicht durch die aktuellen Principal Access Boundary-Richtlinien und -Bindungen blockiert.
• Der Zugriff wird durch die vorgeschlagenen Principal Access Boundary-Richtlinien und -Bindungen blockiert.

Eine Reihe von Principal Access Boundary-Richtlinien und -Bindungen blockiert den Zugriff eines Hauptkontos, wenn alle folgenden Bedingungen erfüllt sind:

• Principal Access Boundary-Richtlinien wirken sich auf den Zugriff des Hauptkontos aus. Mit anderen Worten: Das Hauptkonto unterliegt mindestens einer Principal Access Boundary-Richtlinie, die eine Erzwingungs version hat, die die Berechtigung in der Anfrage unterstützt.
• Keine der Principal Access Boundary-Richtlinien, denen das Hauptkonto unterliegt, enthält die Ressource.

Eine Reihe von Principal Access Boundary-Richtlinien und -Bindungen blockiert den Zugriff des Hauptkontos nicht, wenn eine der folgenden Bedingungen erfüllt ist:

• Principal Access Boundary-Richtlinien wirken sich nicht auf den Zugriff des Hauptkontos aus. Mit anderen Worten: Das Hauptkonto unterliegt keinen Principal Access Boundary-Richtlinien, die eine Erzwingungs version haben, die die Berechtigung in der Anfrage unterstützt.
• Mindestens eine der Principal Access Boundary-Richtlinien, denen das Hauptkonto unterliegt, enthält die Ressource.

Fehler

Die folgenden Fehler können dazu führen, dass eine Simulation fehlschlägt:

• Zeitüberschreitung: Die Simulation hat zu lange gedauert und es ist eine Zeitüberschreitung aufgetreten. Um das Problem zu beheben, führen Sie die Simulation noch einmal aus.
• Ungültige Simulationskonstruktion: Die vorgeschlagene Principal Access Boundary-Richtlinie oder Principal Access Boundary-Richtlinienbindung ist ungültig. Beispielsweise hat die vorgeschlagene Richtlinie einen ungültigen Bedingungsausdruck oder die vorgeschlagene Bindung gilt für einen Hauptkontosatz, der bereits an die maximale Anzahl von Richtlinien gebunden ist. Um das Problem zu beheben, korrigieren Sie die Richtlinie oder Bindung und versuchen Sie es noch einmal.
• Berechtigung verweigert: Sie sind nicht berechtigt, eine Simulation auszuführen. Um das Problem zu beheben, prüfen Sie, ob Ihnen die erforderlichen Rollen zugewiesen wurden, und versuchen Sie es noch einmal.

Unterstützte Hauptkontotypen

Der Policy Simulator für Principal Access Boundary-Richtlinien überprüft nur Zugriffslogs für die folgenden Hauptkontotypen:

• Google-Konten
• Dienstkonten

Beim Simulieren von Principal Access Boundary-Richtlinien und -Bindungen überprüft Policy Simulator keine Zugriffslogs für andere Prinzipaltypen. Daher wird nicht gemeldet, ob sich die vorgeschlagenen Änderungen an Ihren Richtlinien oder Bindungen auf den Zugriff dieser Hauptkonten auswirken.

Zugriffsgrenzen für Anmeldedaten simulieren

Mit Zugriffsgrenzen für Anmeldedaten können Sie die IAM-Berechtigungen, die von kurzlebigen Anmeldedaten für den Zugriff auf Cloud Storage-Ressourcen verwendet werden können, herabstufen oder einschränken. Um Berechtigungen herabzustufen, definiert ein Nutzer oder Dienstkonto (der Tokenbroker) die verfügbaren Berechtigungen für eine Reihe von Ressourcen in einem herabgestuften Zugriffstoken und stellt das Zugriffstoken dann einem anderen Nutzer oder Dienstkonto (dem Tokennutzer) zur Verfügung.

Der Tokenbroker muss eine Rolle haben, die die Berechtigungen enthält, die dem Tokennutzer mit einem herabgestuften Zugriffstoken gewährt werden. Wenn Sie den Zugriff des Nutzers auf diese Ressource mit einer Principal Access Boundary-Richtlinie blockieren, wird auch der Zugriff für den Tokennutzer blockiert. Der Policy Simulator bewertet jedoch nicht, wie sich Änderungen an den Berechtigungen des Tokenbrokers auf den Zugriff des Tokennutzers auswirken.

Nehmen wir als Beispiel einen Nutzer, dem die Rolle Storage Legacy Bucket Reader (roles/storage.legacyBucketReader) für eine Ressource mit einem herabgestuften Zugriffstoken gewährt wurde, das mit einer Zugriffsgrenze für Anmeldedaten erstellt wurde.

• Wenn Sie simulieren, dass die Rolle Storage Legacy Bucket Reader für diesen Nutzer mit einer Principal Access Boundary-Richtlinie blockiert wird, meldet der Policy Simulator keinen Verlust des Zugriffs.

• Wenn Sie simulieren, dass die Rolle Storage Legacy Bucket Reader für den Tokenbroker mit einer Principal Access Boundary-Richtlinie blockiert wird, meldet der Policy Simulator keinen Verlust des Zugriffs für den Nutzer. Wenn der Zugriff des Tokenbrokers innerhalb von 90 Tagen nicht verwendet wird, wird er auch nicht in die Simulation einbezogen.

Weitere Informationen finden Sie unter Zugriffsgrenzen für Anmeldedaten für Cloud Storage.

Nächste Schritte

• Erfahren Sie, wie Sie Änderungen an einer Principal Access Boundary-Richtlinie oder -Bindung simulieren.
• Weitere Informationen zu Policy Intelligence-Tools