Policy Simulator untuk kebijakan batas akses akun utama

Policy Simulator untuk kebijakan batas akses utama (PAB) memungkinkan Anda melihat pengaruh perubahan pada kebijakan batas akses utama atau pengikatan terhadap akses akun utama sebelum Anda berkomitmen untuk melakukan perubahan. Anda dapat menggunakan Policy Simulator untuk membantu Anda memahami potensi dampak perubahan pada kebijakan atau binding batas akses akun utama sebelum Anda menerapkannya.

Fitur ini hanya mengevaluasi akses berdasarkan kebijakan batas akses utama dan pengikatan kebijakan.

Untuk mempelajari cara menyimulasikan perubahan pada jenis kebijakan lainnya, lihat artikel berikut:

• Policy Simulator untuk kebijakan izin
• Policy Simulator untuk kebijakan penolakan
• Policy Simulator untuk kebijakan organisasi

Cara kerja Policy Simulator untuk kebijakan batas akses utama

Policy Simulator untuk kebijakan batas akses utama membantu Anda menentukan pengaruh perubahan pada kebijakan batas akses utama atau pengikatan kebijakan terhadap akses untuk akun utama di organisasi Anda.

Saat Anda menjalankan simulasi untuk kebijakan batas akses utama atau pengikatan kebijakan, Policy Simulator akan melakukan hal berikut:

• Meninjau log akses dari organisasi yang dibuat selama periode pemutaran ulang dalam konteks kebijakan dan pengikatan batas akses utama saat ini serta kebijakan atau pengikatan batas akses utama yang disimulasikan.

• Menampilkan serangkaian perubahan akses. Perubahan akses ini menunjukkan upaya akses dari log yang kemungkinan akan memberikan hasil yang berbeda jika Anda menerapkan kebijakan atau binding yang disimulasikan.

Untuk mempelajari lebih lanjut perubahan akses yang ditampilkan Policy Simulator, lihat Hasil Policy Simulator.

Periode pemutaran ulang

Periode pemutaran ulang adalah jangka waktu yang digunakan Policy Simulator untuk mendapatkan akses ke log saat menjalankan simulasi. Log akses yang terjadi sebelum hari pertama periode pemutaran ulang atau setelah hari terakhir periode pemutaran ulang tidak disertakan dalam simulasi.

Biasanya, hari terakhir periode pemutaran ulang adalah 1 hari sebelum simulasi. Namun, dalam beberapa kasus, hari terakhir periode pemutaran ulang dapat terjadi hingga 10 hari sebelum simulasi. Log akses yang terjadi setelah hari terakhir periode pemutaran ulang tidak disertakan dalam simulasi.

Periode pemutaran ulang adalah 90 hari. Jika organisasi belum ada selama lebih dari 90 hari, Policy Simulator akan mengambil semua upaya akses sejak organisasi dibuat.

Periode pemutaran ulang juga memiliki konsistensi tertunda. Artinya, saat Anda menjalankan simulasi, beberapa data mungkin lebih baru daripada data lainnya. Namun, pada akhirnya, semua data akan memiliki keaktualan yang sama.

Hasil Policy Simulator

Policy Simulator untuk batas akses utama melaporkan dampak perubahan yang diusulkan pada kebijakan atau pengikatan batas akses utama sebagai daftar perubahan akses. Perubahan akses mewakili upaya akses dari periode pemutaran ulang yang kemungkinan akan memberikan hasil yang berbeda jika kebijakan yang disimulasikan diterapkan.

Untuk setiap perubahan akses, Policy Simulator juga melaporkan informasi berikut:

• Akun utama, izin, dan, jika tersedia, resource yang terlibat dalam upaya akses.
• Jumlah hari selama periode pemutaran ulang saat prinsipal mencoba menggunakan izin untuk mengakses resource. Total ini hanya mencakup upaya akses yang memiliki hasil yang sama dengan upaya akses terbaru.
• Tanggal upaya akses terbaru.

Perubahan akses

Perubahan akses menunjukkan bahwa, berdasarkan kebijakan batas akses prinsipal yang relevan, akses pengguna kemungkinan akan berubah jika Anda menerapkan kebijakan atau binding yang disimulasikan. Perubahan akses dapat berupa akses diperoleh atau akses dicabut.

Saat menghitung perubahan akses, Policy Simulator untuk batas akses utama hanya mengevaluasi kebijakan dan pengikatan batas akses utama. Kebijakan ini tidak mengevaluasi jenis kebijakan lainnya.

Policy Simulator menghitung perubahan akses menggunakan informasi berikut:

• Hasil upaya akses terbaru
• Dampak dari kebijakan dan pengikatan batas akses utama saat ini
• Dampak dari kebijakan dan pengikatan batas akses utama yang diusulkan

Agar akses dapat diperoleh, semua hal berikut harus benar:

• Upaya akses terbaru diblokir
• Akses diblokir oleh kebijakan dan pengikatan batas akses utama saat ini
• Akses tidak diblokir oleh kebijakan dan pengikatan batas akses utama yang diusulkan

Agar akses dicabut, semua hal berikut harus benar:

• Upaya akses terbaru tidak diblokir
• Akses tidak diblokir oleh kebijakan dan pengikatan batas akses utama saat ini
• Akses diblokir oleh kebijakan dan pengikatan batas akses utama (PAB) yang diusulkan

Serangkaian kebijakan dan pengikatan batas akses utama memblokir akses principal jika semua hal berikut terpenuhi:

• kebijakan batas akses utama (PAB) memengaruhi akses akun utama. Dengan kata lain, akun utama tunduk pada setidaknya satu kebijakan batas akses utama yang memiliki versi penerapan yang mendukung izin dalam permintaan.
• Tidak ada kebijakan batas akses utama yang tunduk pada akun utama yang menyertakan resource.

Serangkaian kebijakan dan pengikatan batas akses utama tidak memblokir akses utama jika salah satu kondisi berikut berlaku:

• kebijakan batas akses utama tidak memengaruhi akses akun utama. Dengan kata lain, akun utama tidak tunduk pada kebijakan batas akses utama yang memiliki versi penerapanyang mendukung izin dalam permintaan.
• Setidaknya salah satu kebijakan batas akses utama yang tunduk pada akun utama mencakup resource.

Error

Error berikut dapat menyebabkan simulasi gagal:

• Waktu tunggu habis: Simulasi membutuhkan waktu terlalu lama untuk dijalankan dan waktu tunggu habis. Untuk menyelesaikannya, coba jalankan simulasi lagi.
• Konstruksi simulasi tidak valid: Kebijakan batas akses utama yang diusulkan atau pengikatan kebijakan batas akses utama tidak valid. Misalnya, kebijakan yang diusulkan memiliki ekspresi kondisi yang tidak valid, atau pengikatan yang diusulkan adalah untuk set utama yang sudah terikat dengan jumlah maksimum kebijakan. Untuk menyelesaikannya, perbaiki kebijakan atau binding, lalu coba lagi.
• Izin ditolak: Anda tidak memiliki izin untuk menjalankan simulasi. Untuk mengatasi masalah ini, pastikan Anda telah diberi peran yang diperlukan dan coba lagi.

Jenis akun utama yang didukung

Policy Simulator untuk kebijakan batas akses utama hanya meninjau log akses untuk jenis akun utama berikut:

• Akun Google
• Akun layanan

Saat menyimulasikan kebijakan dan pengikatan batas akses utama, Policy Simulator tidak meninjau log akses untuk jenis akun utama lainnya. Akibatnya, perubahan yang diusulkan pada kebijakan atau binding Anda tidak dilaporkan apakah akan memengaruhi akses pokok tersebut atau tidak.

Mensimulasikan Batas Akses Kredensial

Anda dapat menggunakan Batas Akses Kredensial untuk memperkecil cakupan, atau membatasi, izin IAM yang dapat digunakan kredensial yang berlaku singkat untuk mengakses resource Cloud Storage. Untuk mempersempit izin, pengguna atau akun layanan (broker token) menentukan izin yang tersedia pada serangkaian resource dalam token akses yang dipersempit, lalu memberikan token akses tersebut kepada pengguna atau akun layanan lain (konsumen token).

Broker token harus memiliki peran yang mencakup izin yang diberikan kepada konsumen token dengan token akses yang diperkecil cakupannya. Memblokir pengguna agar tidak dapat mengakses resource tersebut menggunakan batas akses utama juga akan memblokir akses untuk konsumen token. Namun, Policy Simulator tidak mengevaluasi bagaimana perubahan pada izin broker token memengaruhi akses konsumen token.

Misalnya, pertimbangkan pengguna yang telah diberi peran Storage Legacy Bucket Reader (roles/storage.legacyBucketReader) pada resource menggunakan token akses yang diperkecil cakupannya yang dibuat dengan Batas Akses Kredensial.

• Jika Anda menyimulasikan pemblokiran peran Storage Legacy Bucket Reader dari pengguna tersebut menggunakan batas akses utama, Policy Simulator akan gagal melaporkan hilangnya akses.

• Jika Anda menyimulasikan pemblokiran peran Storage Legacy Bucket Reader dari broker token menggunakan batas akses utama, Simulator Kebijakan gagal melaporkan hilangnya akses untuk pengguna. Demikian pula, jika akses broker token tidak digunakan dalam waktu 90 hari, aksesnya tidak disertakan dalam simulasi.

Untuk mengetahui informasi selengkapnya, lihat Batas Akses Kredensial untuk Cloud Storage.

Langkah berikutnya

• Pelajari cara mensimulasikan perubahan pada kebijakan atau binding batas akses utama.
• Jelajahi alat Policy Intelligence lainnya.