主體存取邊界政策的政策模擬工具

主體存取邊界 (PAB) 政策的 Policy Simulator 可讓您在確定變更前,先瞭解主體存取邊界政策繫結的變更,可能會對主體的存取權造成哪些影響。您可以使用 Policy Simulator,在套用主體存取邊界政策或繫結的變更前,瞭解可能造成的影響。

這項功能只會根據主體存取邊界政策和政策繫結評估存取權。

如要瞭解如何模擬其他政策類型的變更,請參閱下列內容:

主體存取邊界政策的 Policy Simulator 運作方式

主體存取邊界政策的 Policy Simulator 可協助您判斷,主體存取邊界政策或政策繫結的變更,對貴機構中主體的存取權有何影響。

模擬主體存取邊界政策或政策繫結時,Policy Simulator 會執行下列操作:

  • 根據目前的主體存取邊界政策和繫結,以及模擬的主體存取邊界政策或繫結,檢查機構在重播期間產生的存取記錄。

  • 傳回一系列的存取權變更。這些存取權異動會顯示,如果套用模擬政策或繫結,記錄中的哪些存取嘗試可能會產生不同結果。

如要進一步瞭解 Policy Simulator 傳回的存取權變更,請參閱「Policy Simulator 結果」。

重播期限

重播期間是指 Policy Simulator 執行模擬作業時,可存取存取記錄的時間範圍。重播期間第一天之前或最後一天之後的存取記錄,不會納入模擬作業。

一般來說,重播期的最後一天是模擬作業前 1 天。不過,在某些情況下,重播期最後一天可能是在模擬測驗前 10 天。重播期最後一天之後的存取記錄不會納入模擬。

重播期限為 90 天。如果機構存在時間超過 90 天,政策模擬器會擷取機構建立以來的所有存取嘗試。

重播視窗也具有最終一致性。也就是說,執行模擬時,部分資料可能比其他資料更新。不過,最終所有資料都會具有相同的即時性。

Policy Simulator 結果

Policy Simulator for principal access boundary reports the impact of a proposed change to a principal access boundary policy or binding as a list of access changes. 存取權變更是指重播期間的存取嘗試,如果套用模擬政策,結果可能會有所不同。

對於每項存取權變更,Policy Simulator 也會回報下列資訊:

  • 存取嘗試中涉及的主體、權限和資源 (如有)。
  • 在重播期間,主體嘗試使用權限存取資源的天數。這個總計只會納入與最近一次存取嘗試結果相同的存取嘗試。
  • 最近一次嘗試存取的日期。

存取權變更

存取權變更表示根據相關主體存取邊界政策,如果套用模擬政策或繫結,使用者的存取權可能會變更。存取權變更可分為存取權授予存取權撤銷

計算存取權變更時,主體存取邊界 Policy Simulator 只會評估主體存取邊界政策和繫結。不會評估其他類型的政策。

政策模擬器會使用下列資訊計算存取權變更:

  • 最近一次嘗試存取的結果
  • 目前主體存取邊界政策和繫結的影響
  • 建議主體存取邊界政策和繫結的影響

如要取得存取權,必須符合下列所有條件:

  • 最近一次嘗試存取遭拒
  • 目前的主體存取邊界政策和繫結會封鎖存取權
  • 存取權未遭建議的主體存取邊界政策和繫結封鎖

如要撤銷存取權,必須符合下列所有條件:

  • 最近一次嘗試存取時未遭到封鎖
  • 目前的主體存取邊界政策和繫結不會封鎖存取權
  • 系統會根據建議的主體存取邊界政策和繫結封鎖存取權

如果所有下列條件皆成立,一組主體存取邊界政策和繫結就會封鎖主體的存取權:

  • 主體存取邊界政策會影響主體的存取權。換句話說,主體須遵守至少一項主體存取邊界政策,且該政策的強制執行版本支援要求中的權限。
  • 主體適用的主體存取邊界政策都不包含該資源。

如果符合下列任一條件,一組主體存取邊界政策和繫結就不會封鎖主體的存取權:

  • 主體存取邊界政策不會影響主體的存取權。換句話說,主體不受任何主體存取邊界政策的約束,且這些政策的強制執行版本支援要求中的權限。
  • 主體適用的主體存取邊界政策中,至少有一項包含該資源。

錯誤

下列錯誤可能會導致模擬失敗:

  • 逾時:模擬作業執行時間過長,因此逾時。如要解決這個問題,請再次執行模擬。
  • 模擬建構無效:建議的主體存取邊界政策或主體存取邊界政策繫結無效。舉例來說,建議的政策含有無效的條件運算式,或是建議的繫結適用於已繫結政策數量上限的主體集。如要解決這個問題,請修正政策或繫結,然後重試。
  • 權限遭拒:您沒有執行模擬的權限。如要解決這個問題,請確認您已獲派必要角色,然後再試一次。

支援的主體類型

Policy Simulator for principal access boundary policies only reviews access logs for the following types of principals:

  • Google 帳戶
  • 服務帳戶

模擬主體存取邊界政策和繫結時,Policy Simulator 不會檢查任何其他主體類型的存取記錄。因此,這項工具不會回報提議的政策或繫結變更是否會影響這些主體的存取權。

模擬憑證存取權範圍

您可以使用憑證存取權界線「縮減」或限制短期憑證可用的 IAM 權限,藉此控管憑證存取 Cloud Storage 資源的權限。如要縮減權限範圍,使用者或服務帳戶 (權杖代理人) 會在一組資源的縮減範圍存取權杖中定義可用權限,然後將存取權杖提供給其他使用者或服務帳戶 (權杖消費者)。

權杖中介服務必須具備某個角色,其中包含授予權杖消費者權限的範圍縮減存取權杖。使用主體存取邊界封鎖使用者存取該資源,也會封鎖權杖消費者的存取權。不過,Policy Simulator 不會評估權杖代理人的權限變更對權杖消費者存取權的影響。

舉例來說,假設使用者已獲授權,可透過使用以憑證存取權界線建立的範圍縮減存取權權杖,對資源執行「Storage Legacy Bucket Reader」 (roles/storage.legacyBucketReader) 角色。

  • 如果您使用主體存取邊界,模擬封鎖該使用者的「Storage 舊版值區讀取者」角色,Policy Simulator 就無法回報存取權遭撤銷。

  • 如果您使用主體存取邊界,模擬從權杖代理程式封鎖 Storage Legacy Bucket Reader 角色,政策模擬器將無法回報使用者失去存取權。同樣地,如果權杖中介服務的存取權在 90 天內未使用,模擬作業就不會納入該存取權。

詳情請參閱「Cloud Storage 的憑證存取權界線」。

後續步驟