Policy Simulator für Principal Access Boundary-Richtlinien

Mit dem Policy Simulator für Principal Access Boundary-Richtlinien (PAB) können Sie sehen, wie sich eine Änderung an einer Principal Access Boundary-Richtlinie oder Bindung auf den Zugriff Ihrer Hauptkonten auswirken kann, bevor Sie die Änderung vornehmen. Mit dem Policy Simulator können Sie die potenziellen Auswirkungen einer Änderung an einer Principal Access Boundary-Richtlinie oder -Bindung nachvollziehen, bevor Sie sie anwenden.

Bei dieser Funktion wird der Zugriff nur auf Grundlage von Principal Access Boundary-Richtlinien und Richtlinienbindungen bewertet.

Informationen zum Simulieren von Änderungen an anderen Richtlinientypen finden Sie hier:

Funktionsweise des Richtliniensimulators für Principal Access Boundary-Richtlinien

Mit dem Policy Simulator für Principal Access Boundary-Richtlinien können Sie feststellen, wie sich eine Änderung an einer Principal Access Boundary-Richtlinie oder -Richtlinienbindung auf den Zugriff für Hauptkonten in Ihrer Organisation auswirkt.

Wenn Sie eine Simulation für eine Principal Access Boundary-Richtlinie oder -Richtlinienbindung ausführen, führt der Policy Simulator folgende Schritte aus:

  • Er überprüft Zugriffslogs aus der Organisation, die während des Wiederholungszeitraums im Kontext der aktuellen Principal Access Boundary-Richtlinien und -Bindungen sowie der simulierten Principal Access Boundary Richtlinie oder -Bindung generiert wurden.

  • Er gibt eine Reihe von Zugriffsänderungen zurück. Diese Zugriffsänderungen zeigen, bei welchen Zugriffsversuchen aus den Logs wahrscheinlich andere Ergebnisse erzielt werden, wenn Sie die simulierte Richtlinie oder Bindung anwenden.

Weitere Informationen zu den Zugriffsänderungen, die der Policy Simulator zurückgibt, finden Sie unter Ergebnisse des Richtliniensimulators.

Wiederholungszeitraum

Der Wiederholungszeitraum ist der Zeitraum, für den der Policy Simulator Zugriffslogs abruft, wenn er eine Simulation ausführt. Zugriffslogs, die vor dem ersten oder nach dem letzten Tag des Wiederholungszeitraums auftreten, werden nicht in die Simulation einbezogen.

In der Regel liegt der letzte Tag des Wiederholungszeitraums einen Tag vor der Simulation. In einigen Fällen kann der letzte Tag des Wiederholungszeitraums jedoch bis zu 10 Tage vor der Simulation liegen. Zugriffslogs, die nach dem letzten Tag des Wiederholungszeitraums auftreten, werden nicht in die Simulation einbezogen.

Der Wiederholungszeitraum beträgt 90 Tage. Wenn die Organisation noch keine 90 Tage alt ist, ruft der Policy Simulator alle Zugriffsversuche seit der Erstellung der Organisation ab.

Das Wiederholungsfenster ist ebenfalls letztendlich konsistent. Das bedeutet, dass einige Daten bei der Ausführung einer Simulation möglicherweise aktueller sind als andere. Letztendlich haben jedoch alle Daten denselben Aktualitätsgrad.

Ergebnisse des Policy Simulator

Der Policy Simulator für Principal Access Boundary-Richtlinien meldet die Auswirkungen einer vorgeschlagenen Änderung an einer Principal Access Boundary-Richtlinie oder -Bindung als Liste von Zugriffs änderungen. Eine Zugriffsänderung stellt einen Zugriffsversuch aus dem Wiederholungszeitraum dar, der bei Anwendung der simulierten Richtlinie wahrscheinlich ein anderes Ergebnis hätte.

Für jede Zugriffsänderung meldet der Policy Simulator außerdem die folgenden Informationen:

  • Das Hauptkonto, die Berechtigung und, falls verfügbar, die Ressource, die am Zugriffsversuch beteiligt sind.
  • Die Anzahl der Tage im Wiederholungszeitraum, an denen das Hauptkonto versucht hat, mit der Berechtigung auf die Ressource zuzugreifen. Diese Gesamtzahl umfasst nur die Zugriffsversuche, die dasselbe Ergebnis wie der letzte Zugriffsversuch haben.
  • Das Datum des letzten Zugriffsversuchs.

Zugriffsänderungen

Eine Zugriffsänderung gibt an, dass sich der Zugriff eines Nutzers auf Grundlage der relevanten Principal Access Boundary-Richtlinien wahrscheinlich ändert, wenn Sie die simulierte Richtlinie oder Bindung anwenden. Zugriffsänderungen können entweder Zugriff erhalten oder Zugriff widerrufen sein.

Bei der Berechnung von Zugriffsänderungen bewertet der Policy Simulator für Principal Access Boundary-Richtlinien nur Principal Access Boundary-Richtlinien und -Bindungen. Andere Richtlinientypen werden nicht bewertet.

Der Policy Simulator berechnet Zugriffsänderungen anhand der folgenden Informationen:

  • Das Ergebnis des letzten Zugriffsversuchs
  • Die Auswirkungen der aktuellen Principal Access Boundary-Richtlinien und -Bindungen
  • Die Auswirkungen der vorgeschlagenen Principal Access Boundary-Richtlinien und -Bindungen

Damit Zugriff erhalten wird, müssen alle folgenden Bedingungen erfüllt sein:

  • Der letzte Zugriffsversuch wurde blockiert.
  • Der Zugriff wird durch die aktuellen Principal Access Boundary-Richtlinien und -Bindungen blockiert.
  • Der Zugriff wird nicht durch die vorgeschlagenen Principal Access Boundary-Richtlinien und -Bindungen blockiert.

Damit Zugriff widerrufen wird, müssen alle folgenden Bedingungen erfüllt sein:

  • Der letzte Zugriffsversuch wurde nicht blockiert.
  • Der Zugriff wird nicht durch die aktuellen Principal Access Boundary-Richtlinien und -Bindungen blockiert.
  • Der Zugriff wird durch die vorgeschlagenen Principal Access Boundary-Richtlinien und -Bindungen blockiert.

Eine Reihe von Principal Access Boundary-Richtlinien und -Bindungen blockiert den Zugriff eines Hauptkontos, wenn alle folgenden Bedingungen erfüllt sind:

  • Principal Access Boundary-Richtlinien wirken sich auf den Zugriff des Hauptkontos aus. Mit anderen Worten: Das Hauptkonto unterliegt mindestens einer Principal Access Boundary-Richtlinie, die eine Erzwingungs version hat, die die Berechtigung in der Anfrage unterstützt.
  • Keine der Principal Access Boundary-Richtlinien, denen das Hauptkonto unterliegt, enthält die Ressource.

Eine Reihe von Principal Access Boundary-Richtlinien und -Bindungen blockiert den Zugriff des Hauptkontos nicht, wenn eine der folgenden Bedingungen erfüllt ist:

  • Principal Access Boundary-Richtlinien wirken sich nicht auf den Zugriff des Hauptkontos aus. Mit anderen Worten: Das Hauptkonto unterliegt keinen Principal Access Boundary-Richtlinien mit einer Erzwingungs version, die die Berechtigung in der Anfrage unterstützt.
  • Mindestens eine der Principal Access Boundary-Richtlinien, denen das Hauptkonto unterliegt, enthält die Ressource.

Fehler

Die folgenden Fehler können dazu führen, dass eine Simulation fehlschlägt:

  • Zeitüberschreitung: Die Ausführung der Simulation hat zu lange gedauert und es ist eine Zeitüberschreitung aufgetreten. Um das Problem zu beheben, führen Sie die Simulation noch einmal aus.
  • Ungültige Simulationskonstruktion: Die vorgeschlagene Principal Access Boundary-Richtlinie oder Principal Access Boundary-Richtlinienbindung ist ungültig. Beispielsweise hat die vorgeschlagene Richtlinie einen ungültigen Bedingungsausdruck oder die vorgeschlagene Bindung gilt für einen Hauptkontosatz, der bereits an die maximale Anzahl von Richtlinien gebunden ist. Um das Problem zu beheben, korrigieren Sie die Richtlinie oder Bindung und versuchen Sie es noch einmal.
  • Berechtigung verweigert: Sie sind nicht berechtigt, eine Simulation auszuführen. Um das Problem zu beheben, prüfen Sie, ob Ihnen die erforderlichen Rollen zugewiesen wurden, und versuchen Sie es noch einmal.

Unterstützte Hauptkontotypen

Der Policy Simulator für Principal Access Boundary-Richtlinien überprüft nur Zugriffslogs für die folgenden Hauptkontotypen:

  • Google-Konten
  • Dienstkonten

Beim Simulieren von Principal Access Boundary-Richtlinien und -Bindungen überprüft der Policy Simulator keine Zugriffslogs für andere Hauptkontotypen. Daher wird nicht gemeldet, ob sich die vorgeschlagenen Änderungen an Ihren Richtlinien oder Bindungen auf den Zugriff dieser Hauptkonten auswirken.

Nächste Schritte