Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סימולטור מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

סימולטור המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) מאפשר לכם לראות איך שינוי במדיניות לקביעת גבול הגישה לחשבונות משתמשים או בקישור עשוי להשפיע על הגישה של חשבונות המשתמשים לפני שתאשרו את השינוי. אתם יכולים להשתמש בסימולטור המדיניות כדי להבין את ההשפעה הפוטנציאלית של שינוי במדיניות או בהרשאה של גבולות הגישה של חשבון משתמש לפני שאתם מיישמים אותו.

התכונה הזו מעריכה את הגישה רק על סמך מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) וקישורי מדיניות.

כדי ללמוד איך לדמות שינויים בסוגי מדיניות אחרים, אפשר לעיין במאמרים הבאים:

איך פועל סימולטור המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

סימולטור המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) עוזר לכם להבין איך שינוי במדיניות לקביעת גבול הגישה לחשבונות משתמשים או בקישור למדיניות משפיע על הגישה של חשבונות משתמשים בארגון.

כשמריצים סימולציה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים או של קישור מדיניות, סימולטור המדיניות מבצע את הפעולות הבאות:

יומני הגישה של הביקורות מהארגון שנוצרו במהלך תקופת ההפעלה מחדש בהקשר של המדיניות והקשרים הנוכחיים לקביעת גבול הגישה לחשבונות משתמשים, ושל המדיניות או הקשרים המדומים לקביעת גבול הגישה לחשבונות משתמשים.
מחזירה סדרה של שינויים בהרשאות הגישה. שינויי הגישה האלה מראים אילו ניסיונות גישה מתוך היומנים צפויים להניב תוצאות שונות אם תחיל מדיניות או קשירה מדומה.

מידע נוסף על שינויי הגישה שמוצגים בסימולטור המדיניות זמין במאמר תוצאות סימולטור המדיניות.

תקופת ההפעלה מחדש

תקופת ההפעלה מחדש היא הזמן שבו כלי סימולציית המדיניות מקבל גישה ליומני אירועים כדי להריץ סימולציה. יומני גישה שמתרחשים לפני היום הראשון של תקופת ההפעלה החוזרת או אחרי היום האחרון של תקופת ההפעלה החוזרת לא נכללים בסימולציה. תקופת ההפעלה מחדש היא 90 ימים. אם משאב הארגון קיים פחות מהזמן הזה, כלי סימולטור המדיניות מאחזר את כל ניסיונות הגישה מאז שהארגון נוצר. חלון הזמנים לצפייה חוזרת הוא גם עקביות הדרגתית. כלומר, כשמריצים סימולציה, יכול להיות שחלק מהנתונים יהיו עדכניים יותר מנתונים אחרים. עם זאת, בסופו של דבר, כל הנתונים יהיו עדכניים באותה מידה. עם מודל עקביות הדרגתי, תקופת ההפעלה מחדש מסתיימת בדרך כלל תוך כמה ימים, אבל יכולה להסתיים עד 15 ימים מוקדם יותר. תוצאות הסימולציה מראות את חלון ההפעלה המדויק. יומני גישה שנוצרו אחרי התקופה הזו לא נכללים.

תוצאות של סימולטור המדיניות

הסימולטור של המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) מציג את ההשפעה של שינוי מוצע במדיניות או בהרשאה לקביעת גבול הגישה לחשבונות משתמשים (PAB) כרשימה של שינויים בגישה. שינוי בגישה מייצג ניסיון גישה מתקופת ההפעלה מחדש, שכנראה יניב תוצאה שונה אם תוחל המדיניות המדומה.

בנוסף, סימולטור המדיניות מדווח על המידע הבא לגבי כל שינוי בגישה:

חשבון המשתמש, ההרשאה והמשאב שקשורים לניסיון הגישה, אם הם זמינים.
מספר הימים במהלך תקופת ההפעלה מחדש שבהם הגורם הראשי ניסה להשתמש בהרשאה כדי לגשת למשאב. הסכום הכולל הזה כולל רק את הניסיונות לגשת לחשבון שהתוצאה שלהם זהה לתוצאה של הניסיון האחרון לגשת לחשבון.
התאריך של ניסיון הגישה האחרון.

שינויים בהגדרות הגישה

שינוי בגישה מציין שעל סמך מדיניות הגבלת הגישה הרלוונטית של הגורם הראשי, סביר להניח שהגישה של המשתמש תשתנה אם תפעילו את המדיניות או את הקישור שנוצרו בסימולציה. שינויים בהרשאות הגישה יכולים להיות קבלת גישה או ביטול גישה.

כשמחשבים שינויים בגישה, סימולטור המדיניות לבקרת גישה לישויות מורשות (PAB) מעריך רק את המדיניות לקביעת גבול הגישה לחשבונות משתמשים ואת הקישורים שלה. היא לא מעריכה סוגים אחרים של מדיניות.

סימולטור המדיניות מחשב את שינויי הגישה באמצעות המידע הבא:

התוצאה של ניסיון הגישה האחרון
ההשפעה של המדיניות הנוכחית לקביעת גבול הגישה לחשבונות משתמשים (PAB) והקישורים שלה
ההשפעה של המדיניות והקישורים המוצעים לקביעת גבול הגישה לחשבונות משתמשים

כדי לקבל גישה, צריכים להתקיים כל התנאים הבאים:

ניסיון הגישה האחרון נחסם
הגישה נחסמת על ידי המדיניות וההרשאות הנוכחיות לקביעת גבול הגישה לחשבונות משתמשים (PAB)
הגישה לא נחסמת על ידי המדיניות והקישורים המוצעים לקביעת גבול הגישה לחשבונות משתמשים

כדי לבטל את הגישה, כל התנאים הבאים צריכים להתקיים:

ניסיון הגישה האחרון לא נחסם
הגישה לא נחסמת על ידי המדיניות וההרשאות הנוכחיות לקביעת גבול הגישה לחשבונות משתמשים (PAB)
הגישה נחסמת על ידי המדיניות וההרשאות המוצעות לקביעת גבול הגישה לחשבונות משתמשים

קבוצה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) וקשירות חוסמת את הגישה של חשבון משתמש אם כל התנאים הבאים מתקיימים:

המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) משפיעה על הגישה של חשבון המשתמש. במילים אחרות, חשבון המשתמש כפוף לפחות למדיניות אחת לקביעת גבול הגישה לחשבונות משתמשים (PAB) שיש לה גרסת אכיפה שתומכת בהרשאה שבבקשה.
אף אחת ממדיניות הגבלת הגישה לחשבונות משתמשים שחלה על חשבון המשתמש לא כוללת את המשאב.

קבוצה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) וקישורים לא חוסמת את הגישה של חשבון משתמש אם אחד מהתנאים הבאים מתקיים:

המדיניות לקביעת גבול הגישה לחשבונות משתמשים לא משפיעה על הגישה של חשבון המשתמש. במילים אחרות, חשבון המשתמש לא כפוף למדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שיש לה גרסת אכיפה שתומכת בהרשאה שבבקשה.
לפחות אחת מהמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שחלה על חשבון המשתמש כוללת את המשאב.

שגיאות

השגיאות הבאות עלולות לגרום לסימולציה להיכשל:

זמן קצוב לתפוגה: ההרצה של ההדמיה נמשכה יותר מדי זמן והיא הופסקה בגלל זמן קצוב לתפוגה. כדי לפתור את הבעיה, צריך להפעיל שוב את הסימולציה.
בניית סימולציה לא תקינה: המדיניות המוצעת לקביעת גבול הגישה לחשבונות משתמשים (PAB) או הקישור של המדיניות לקביעת גבול הגישה לחשבונות משתמשים לא תקינים. לדוגמה, למדיניות המוצעת יש ביטוי תנאי לא תקין, או שההתאמה המוצעת היא עבור קבוצת ישויות ראשית שכבר הותאמה למספר המדיניות המקסימלי. כדי לפתור את הבעיה, צריך לתקן את המדיניות או את הקישור ולנסות שוב.
ההרשאה נדחתה: אין לכם הרשאה להפעיל סימולציה. כדי לפתור את הבעיה, צריך לוודא שהוקצו לכם התפקידים הנדרשים ולנסות שוב.

סוגי החשבונות הנתמכים

הכלי Policy Simulator למדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) בודק רק את יומני הגישה לסוגים הבאים של חשבונות משתמשים:

חשבונות Google
חשבונות שירות

כשמדמים מדיניות לקביעת גבולות גישה לחשבונות משתמשים וקישורים, הכלי Policy Simulator לא בודק יומני גישה לסוגים אחרים של חשבונות משתמשים. כתוצאה מכך, לא מדווח אם השינויים המוצעים במדיניות או בהרשאות ישפיעו על הגישה של הגורמים האלה.

הדמיה של גבולות גישה לפרטי כניסה

אתם יכולים להשתמש בגבולות גישה לפרטי כניסה כדי לצמצם (להגביל) את הרשאות ה-IAM שניתנות לפרטי כניסה עם תוקף קצר, כדי לגשת למשאבים של Cloud Storage. כדי לצמצם את היקף ההרשאות, משתמש או חשבון שירות (ברוקר האסימונים) מגדירים את ההרשאות הזמינות בקבוצת משאבים באסימון גישה עם היקף מצומצם, ואז מספקים את אסימון הגישה למשתמש או לחשבון שירות אחר (צרכן האסימונים).

לברוקר האסימון צריך להיות תפקיד שכולל את ההרשאות שניתנות לצרכן האסימון עם אסימון גישה עם היקף מצומצם. חסימת הגישה של המשתמש למשאב באמצעות מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) חוסמת גם את הגישה של צרכן הטוקן. עם זאת, סימולטור המדיניות לא בודק איך שינויים בהרשאות של ברוקר האסימונים משפיעים על הגישה של צרכן האסימונים.

לדוגמה, נניח שלמשתמש מסוים הוקצה התפקיד Storage Legacy Bucket Reader (roles/storage.legacyBucketReader) במשאב באמצעות אסימון גישה עם היקף מצומצם שנוצר באמצעות Credential Access Boundary.

אם תדמו חסימה של התפקיד Storage Legacy Bucket Reader מהמשתמש הזה באמצעות גבול גישה לחשבון משתמש, סימולטור המדיניות לא ידווח על אובדן גישה.
אם מדמים חסימה של התפקיד Storage Legacy Bucket Reader מתווך האסימונים באמצעות גבול גישה של חשבון ראשי, סימולטור המדיניות לא מדווח על אובדן גישה של המשתמש. באופן דומה, אם לא נעשה שימוש בגישה של ברוקר האסימונים תוך 90 יום, הגישה שלו לא נכללת בסימולציה.

מידע נוסף זמין במאמר גבולות גישה של פרטי כניסה ל-Cloud Storage.

סימולטור מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.