Policy Simulator per le policy di Principal Access Boundary (PAB) ti consente di vedere in che modo una modifica a una policy di Principal Access Boundary o a un'associazione potrebbe influire sull'accesso delle entità prima di eseguire la modifica. Puoi utilizzare Policy Simulator per comprendere il potenziale impatto di una modifica a una policy o a un'associazione di Principal Access Boundary prima di applicarla.
Questa funzionalità valuta l'accesso solo in base alle policy e alle associazioni di Principal Access Boundary.
Per scoprire come simulare le modifiche ad altri tipi di policy, consulta:
- Policy Simulator per le policy di autorizzazione
- Policy Simulator per le policy di negazione
- Policy Simulator per le policy dell'organizzazione
Come funziona Policy Simulator per le policy di Principal Access Boundary
Policy Simulator per le policy di Principal Access Boundary ti aiuta a determinare in che modo una modifica a una policy o a un'associazione di Principal Access Boundary influisce sull'accesso delle entità nella tua organizzazione.
Quando esegui una simulazione per una policy o un'associazione di Principal Access Boundary, Policy Simulator esegue le seguenti operazioni:
Esamina i log di accesso dell'organizzazione generati durante il periodo di riproduzione nel contesto delle policy e delle associazioni di Principal Access Boundary correnti e della policy o dell'associazione di Principal Access Boundary simulata.
Restituisce una serie di modifiche all'accesso. Queste modifiche all'accesso mostrano quali tentativi di accesso dai log potrebbero avere risultati diversi se applichi la policy o l'associazione simulata.
Per saperne di più sulle modifiche all'accesso restituite da Policy Simulator, consulta Risultati di Policy Simulator.
Periodo di riproduzione
Il periodo di riproduzione è il periodo di tempo per il quale Policy Simulator recupera i log di accesso durante l'esecuzione di una simulazione. I log di accesso che si verificano prima del primo giorno del periodo di riproduzione o dopo l'ultimo giorno del periodo di riproduzione non sono inclusi nella simulazione.
In genere, l'ultimo giorno del periodo di riproduzione è 1 giorno prima della simulazione. Tuttavia, in alcuni casi, l'ultimo giorno del periodo di riproduzione può essere fino a 10 giorni prima della simulazione. I log di accesso che si verificano dopo l'ultimo giorno del periodo di riproduzione non sono inclusi nella simulazione.
Il periodo di riproduzione è di 90 giorni. Se l'organizzazione esiste da più di 90 giorni, Policy Simulator recupera tutti i tentativi di accesso dalla creazione dell'organizzazione.
Anche la finestra di riproduzione è coerente. Ciò significa che, quando esegui una simulazione, alcuni dati potrebbero essere più recenti di altri. Tuttavia, alla fine, tutti i dati avranno la stessa freschezza.
Risultati di Policy Simulator
Policy Simulator per Principal Access Boundary segnala l'impatto di una modifica proposta a una policy o a un'associazione di Principal Access Boundary come un elenco di modifiche all'accesso. Una modifica all'accesso rappresenta un tentativo di accesso dal periodo di riproduzione che probabilmente avrebbe un risultato diverso se venisse applicata la policy simulata.
Per ogni modifica all'accesso, Policy Simulator segnala anche le seguenti informazioni:
- L'entità, l'autorizzazione e, se disponibile, la risorsa coinvolta nel tentativo di accesso.
- Il numero di giorni durante il periodo di riproduzione in cui l'entità ha tentato di utilizzare l'autorizzazione per accedere alla risorsa. Questo totale include solo i tentativi di accesso che hanno lo stesso risultato del tentativo di accesso più recente.
- La data del tentativo di accesso più recente.
Modifiche all'accesso
Una modifica all'accesso indica che, in base alle policy di Principal Access Boundary pertinenti, è probabile che l'accesso di un utente cambi se applichi la policy o l'associazione simulata. Le modifiche all'accesso possono essere accesso acquisito o accesso revocato.
Quando calcola le modifiche all'accesso, Policy Simulator per Principal Access Boundary valuta solo le policy e le associazioni di Principal Access Boundary. Non valuta altri tipi di policy.
Policy Simulator calcola le modifiche all'accesso utilizzando le seguenti informazioni:
- Il risultato del tentativo di accesso più recente
- L'impatto delle policy e delle associazioni di Principal Access Boundary correnti
- L'impatto delle policy e delle associazioni di Principal Access Boundary proposte
Affinché l'accesso venga acquisito, devono essere soddisfatte tutte le seguenti condizioni:
- Il tentativo di accesso più recente è stato bloccato
- L'accesso è bloccato dalle policy e dalle associazioni di Principal Access Boundary correnti
- L'accesso non è bloccato dalle policy e dalle associazioni di Principal Access Boundary proposte
Affinché l'accesso venga revocato, devono essere soddisfatte tutte le seguenti condizioni:
- Il tentativo di accesso più recente non è stato bloccato
- L'accesso non è bloccato dalle policy e dalle associazioni di Principal Access Boundary correnti
- L'accesso è bloccato dalle policy e dalle associazioni di Principal Access Boundary proposte
Un insieme di policy e associazioni di Principal Access Boundary blocca l'accesso di un'entità se tutte le seguenti condizioni sono vere:
- Le policy di Principal Access Boundary influiscono sull'accesso dell'entità. In altre parole, l'entità è soggetta ad almeno una policy di Principal Access Boundary con una versione di applicazione che supporta l'autorizzazione nella richiesta.
- Nessuna delle policy di Principal Access Boundary a cui è soggetta l'entità include la risorsa.
Un insieme di policy e associazioni di Principal Access Boundary non blocca l'accesso dell'entità se una qualsiasi delle seguenti condizioni è vera:
- Le policy di Principal Access Boundary non influiscono sull'accesso dell'entità. In altre parole, l'entità non è soggetta a policy di Principal Access Boundary con una versione di applicazione che supporta l'autorizzazione nella richiesta.
- Almeno una delle policy di Principal Access Boundary a cui è soggetta l'entità include la risorsa.
Errori
I seguenti errori possono causare il fallimento di una simulazione:
- Timeout: l'esecuzione della simulazione ha richiesto troppo tempo e si è verificato un timeout. Per risolvere il problema, prova a eseguire di nuovo la simulazione.
- Costruzione della simulazione non valida: la policy o l'associazione di policy di Principal Access Boundary proposta non è valida. Ad esempio, la policy proposta ha un'espressione di condizione non valida oppure l'associazione proposta riguarda un insieme di entità già associato al numero massimo di policy. Per risolvere il problema, correggi la policy o l'associazione e riprova.
- Autorizzazione negata: non hai l'autorizzazione per eseguire una simulazione. Per risolvere il problema, assicurati di aver ricevuto i ruoli richiesti e riprova.
Tipi di entità supportati
Policy Simulator per le policy di Principal Access Boundary esamina solo i log di accesso per i seguenti tipi di entità:
- Account Google
- Service account
Quando simula le policy e le associazioni di Principal Access Boundary, Policy Simulator non esamina i log di accesso per altri tipi di entità. Di conseguenza, non segnala se le modifiche proposte alle policy o alle associazioni influiranno sull'accesso di queste entità.
Simulazione dei limiti all'accesso con credenziali
Puoi utilizzare i limiti all'accesso con credenziali per ridurre l'ambito o limitare le autorizzazioni IAM che una credenziale di breve durata può utilizzare per accedere alle risorse Cloud Storage. Per ridurre l'ambito delle autorizzazioni, un utente o un account di servizio (il broker di token) definisce le autorizzazioni disponibili su un insieme di risorse in un token di accesso con ambito ridotto e poi fornisce il token di accesso a un altro utente o account di servizio (il consumatore di token).
Il broker di token deve avere un ruolo che includa le autorizzazioni concesse al consumatore di token con un token di accesso con ambito ridotto. Se impedisci all'utente di accedere a questa risorsa utilizzando un Principal Access Boundary, blocchi anche l'accesso per il consumatore di token. Tuttavia, Policy Simulator non valuta in che modo le modifiche alle autorizzazioni del broker di token influiscono sull'accesso del consumatore di token.
Ad esempio, considera un utente a cui è stato concesso il ruolo Lettore bucket legacy di Storage (roles/storage.legacyBucketReader) su una risorsa utilizzando un token di accesso con ambito ridotto creato con un limite all'accesso con credenziali.
Se simuli il blocco del ruolo Lettore bucket legacy di Storage per questo utente utilizzando un Principal Access Boundary, Policy Simulator non segnala una perdita di accesso.
Se simuli il blocco del ruolo Lettore bucket legacy di Storage per il broker di token utilizzando un Principal Access Boundary, Policy Simulator non segnala una perdita di accesso per l'utente. Allo stesso modo, se l'accesso del broker di token non viene utilizzato entro 90 giorni, non viene incluso nella simulazione.
Per saperne di più, consulta Limiti all'accesso con credenziali per Cloud Storage.
Passaggi successivi
- Scopri come simulare una modifica a una policy o a un'associazione di Principal Access Boundary.
- Scopri altri strumenti di Policy Intelligence.