Simulateur de stratégie pour les stratégies de limite d'accès des comptes principaux

Policy Simulator pour les stratégies de limite d'accès des comptes principaux vous permet de voir comment une modification d'une stratégie de limite d'accès des comptes principaux ou d'une liaison peut affecter l'accès de vos comptes principaux avant de procéder à la modification. Vous pouvez utiliser Policy Simulator pour comprendre l'impact potentiel d'une modification d'une stratégie ou d'une liaison de limite d'accès des comptes principaux avant de l'appliquer.

Cette fonctionnalité n'évalue l'accès que sur la base des stratégies et des liaisons de stratégies de limite d'accès des comptes principaux.

Pour savoir comment simuler des modifications d'autres types de stratégies, consultez les pages suivantes :

Fonctionnement de Policy Simulator pour les stratégies de limite d'accès des comptes principaux

Policy Simulator pour les stratégies de limite d'accès des comptes principaux vous aide à déterminer comment une modification d'une stratégie ou d'une liaison de stratégie de limite d'accès des comptes principaux affecte l'accès des comptes principaux de votre organisation.

Lorsque vous exécutez une simulation pour une stratégie ou une liaison de stratégie de limite d'accès des comptes principaux, Policy Simulator effectue les opérations suivantes :

  • Examine les journaux d'accès de l'organisation générés pendant la période de relecture dans le contexte des stratégies et des liaisons de stratégies de limite d'accès des comptes principaux actuelles, ainsi que de la stratégie ou de la liaison de stratégie de limite d'accès des comptes principaux simulée.

  • Renvoie une série de modifications d'accès. Ces modifications d'accès indiquent les tentatives d'accès des journaux qui sont susceptibles d'avoir des résultats différents si vous appliquez la stratégie ou la liaison simulée.

Pour en savoir plus sur les modifications d'accès renvoyées par Policy Simulator, consultez la section Résultats de Policy Simulator.

Période de relecture

La période de relecture est la période pendant laquelle Policy Simulator obtient les journaux d'accès lors de l'exécution d'une simulation. Les journaux d'accès qui se produisent avant le premier jour de la période de relecture ou après le dernier jour de la période de relecture ne sont pas inclus dans la simulation.

En règle générale, le dernier jour de la période de relecture est le jour précédant la simulation. Toutefois, dans certains cas, le dernier jour de la période de relecture peut remonter jusqu'à 10 jours avant la simulation. Les journaux d'accès qui se produisent après le dernier jour de la période de relecture ne sont pas inclus dans la simulation.

La période de relecture est de 90 jours. Si l'organisation n'existe pas depuis plus de 90 jours, Policy Simulator récupère toutes les tentatives d'accès depuis sa création.

La fenêtre de relecture est également cohérente à terme. Cela signifie que, lorsque vous exécutez une simulation, certaines données peuvent être plus récentes que d'autres. Toutefois, à terme, toutes les données auront la même fraîcheur.

Résultats de Policy Simulator

Policy Simulator pour les limites d'accès des comptes principaux indique l'impact d'une modification proposée d'une stratégie ou d'une liaison de stratégie de limite d'accès des comptes principaux sous la forme d'une liste de modifications d'accès. Une modification d'accès représente une tentative d'accès survenue pendant la période de relecture et dont les résultats seraient probablement différents si la stratégie simulée était appliquée.

Pour chaque modification d'accès, Policy Simulator fournit également les informations suivantes :

  • Le compte principal, l'autorisation et, le cas échéant, la ressource impliqués dans la tentative d'accès.
  • Le nombre de jours pendant la période de relecture où le compte principal a tenté d'utiliser l'autorisation pour accéder à la ressource. Ce total n'inclut que les tentatives d'accès qui ont le même résultat que la tentative d'accès la plus récente.
  • La date de la tentative d'accès la plus récente.

Modifications des accès

Une modification d'accès indique que, en fonction des stratégies de limite d'accès des comptes principaux concernées, l'accès d'un utilisateur est susceptible de changer si vous appliquez la stratégie ou la liaison simulée. Les modifications d'accès peuvent être de deux types : accès accordé ou accès révoqué.

Lors du calcul des modifications d'accès, Policy Simulator pour les limites d'accès des comptes principaux n'évalue que les stratégies et les liaisons de stratégies de limite d'accès des comptes principaux. Il n'évalue pas les autres types de stratégies.

Policy Simulator calcule les modifications d'accès à l'aide des informations suivantes :

  • Le résultat de la tentative d'accès la plus récente
  • L'impact des stratégies et des liaisons de stratégies de limite d'accès des comptes principaux actuelles
  • L'impact des stratégies et des liaisons de stratégies de limite d'accès des comptes principaux proposées

Pour que l'accès soit accordé, toutes les conditions suivantes doivent être remplies :

  • La tentative d'accès la plus récente a été bloquée
  • L'accès est bloqué par les stratégies et les liaisons de stratégies de limite d'accès des comptes principaux actuelles
  • L'accès n'est pas bloqué par les stratégies et les liaisons de stratégies de limite d'accès des comptes principaux proposées

Pour que l'accès soit révoqué, toutes les conditions suivantes doivent être remplies :

  • La tentative d'accès la plus récente n'a pas été bloquée
  • L'accès n'est pas bloqué par les stratégies et les liaisons de stratégies de limite d'accès des comptes principaux actuelles
  • L'accès est bloqué par les stratégies et les liaisons de stratégies de limite d'accès des comptes principaux proposées

Un ensemble de stratégies et de liaisons de stratégies de limite d'accès des comptes principaux bloque l'accès d'un compte principal si toutes les conditions suivantes sont remplies :

  • Les stratégies de limite d'accès des comptes principaux affectent l'accès du compte principal. En d'autres termes, le compte principal est soumis à au moins une stratégie de limite d'accès des comptes principaux dont la version d'application est compatible avec l'autorisation de la requête.
  • Aucune des stratégies de limite d'accès des comptes principaux auxquelles le compte principal est soumis n'inclut la ressource.

Un ensemble de stratégies et de liaisons de stratégies de limite d'accès des comptes principaux ne bloque pas l'accès du compte principal si l'une des conditions suivantes est remplie :

Erreurs

Les erreurs suivantes peuvent entraîner l'échec d'une simulation :

  • Délai expiré : l'exécution de la simulation a pris trop de temps et a expiré. Pour résoudre ce problème, essayez d'exécuter à nouveau la simulation.
  • Construction de simulation non valide : la stratégie ou la liaison de stratégie de limite d'accès des comptes principaux proposée n'est pas valide. Par exemple, la stratégie proposée comporte une expression de condition non valide, ou la liaison proposée concerne un ensemble de comptes principaux déjà lié au nombre maximal de stratégies. Pour résoudre ce problème, corrigez la stratégie ou la liaison, puis réessayez.
  • Autorisation refusée : vous n'êtes pas autorisé à exécuter une simulation. Pour résoudre ce problème, assurez-vous de disposer des rôles requis, puis réessayez.

Types de comptes principaux compatibles

Policy Simulator pour les stratégies de limite d'accès des comptes principaux n'examine les journaux d'accès que pour les types de comptes principaux suivants :

  • Comptes Google
  • Comptes de service

Lors de la simulation de stratégies et de liaisons de stratégies de limite d'accès des comptes principaux, Policy Simulator n'examine pas les journaux d'accès pour les autres types de comptes principaux. Par conséquent, il n'indique pas si les modifications proposées de vos stratégies ou liaisons affecteront l'accès de ces comptes principaux.

Simulation des limites d'accès aux identifiants

Vous pouvez utiliser les limites d'accès aux identifiants pour réduire ou restreindre les autorisations IAM qu'un identifiant éphémère peut utiliser pour accéder aux ressources Cloud Storage. Pour réduire les autorisations, un utilisateur ou un compte de service (le courtier de jetons) définit les autorisations disponibles sur un ensemble de ressources dans un jeton d'accès réduit, puis fournit le jeton d'accès à un autre utilisateur ou compte de service (le consommateur de jetons).

Le courtier de jetons doit disposer d'un rôle incluant les autorisations accordées au consommateur de jetons avec un jeton d'accès réduit. Le blocage de l'accès de l'utilisateur à cette ressource à l'aide d'une limite d'accès des comptes principaux bloque également l'accès du consommateur de jetons. Toutefois, Policy Simulator n'évalue pas l'impact des modifications apportées aux autorisations du courtier de jetons sur l'accès du consommateur de jetons.

Prenons l'exemple d'un utilisateur qui s'est vu attribuer le rôle Lecteur de bucket hérité de l'espace de stockage (roles/storage.legacyBucketReader) sur une ressource à l'aide d'un jeton d'accès réduit créé avec une limite d'accès aux identifiants.

  • Si vous simulez le blocage du rôle Lecteur de bucket hérité de l'espace de stockage pour cet utilisateur à l'aide d'une limite d'accès des comptes principaux, Policy Simulator ne signale pas de perte d'accès.

  • Si vous simulez le blocage du rôle Lecteur de bucket hérité de l'espace de stockage pour le courtier de jetons à l'aide d'une limite d'accès des comptes principaux, Policy Simulator ne signale pas de perte d'accès pour l'utilisateur. De même, si l'accès du courtier de jetons n'est pas utilisé dans les 90 jours, il n'est pas inclus dans la simulation.

Pour en savoir plus, consultez la section Limites d'accès aux identifiants pour Cloud Storage.

Étape suivante