Policy Simulator para las políticas de límite de acceso de las entidades (PAB) te permite ver cómo un cambio en una política de límite de acceso de las entidades o vinculación puede afectar el acceso de tus entidades antes de que realices la modificación. Puedes usar Policy Simulator para comprender el impacto potencial de un cambio en una política o vinculación de límite de acceso de las principales antes de aplicarlo.
Esta función solo evalúa el acceso en función de las políticas y vinculaciones de límite de acceso de las principales.
Para obtener información sobre cómo simular cambios en otros tipos de políticas, consulta lo siguiente:
- Policy Simulator para políticas de permisos
- Policy Simulator para políticas de denegación
- Policy Simulator para políticas de la organización
Cómo funciona Policy Simulator para las políticas de límite de acceso de las principales
Policy Simulator para las políticas de límite de acceso de las principales te ayuda a determinar cómo un cambio en una política o vinculación de límite de acceso de las principales afecta el acceso de las principales de tu organización.
Cuando ejecutas una simulación para una política o vinculación de límite de acceso de las principales, Policy Simulator hace lo siguiente:
Revisa los registros de acceso de la organización que se generaron durante el período de reproducción en el contexto de las políticas y vinculaciones de límite de acceso de las principales actuales y la política o vinculación de límite de acceso de las principales simulada.
Muestra una serie de cambios de acceso. Estos cambios de acceso muestran qué intentos de acceso de los registros es probable que tengan resultados diferentes si aplicas la política o vinculación simulada.
Para obtener más información sobre los cambios de acceso que muestra Policy Simulator, consulta Resultados de Policy Simulator.
Período de reproducción
El período de reproducción es el tiempo durante el cual Policy Simulator obtiene registros de acceso cuando ejecuta una simulación. Los registros de acceso que ocurren antes del primer día del período de reproducción o después del último día del período de reproducción no se incluyen en la simulación. El período de reproducción es de 90 días. Si el recurso de la organización existe desde hace menos tiempo, Policy Simulator recupera todos los intentos de acceso desde que se creó la organización. La ventana de reproducción también es eventualmente coherente. Esto significa que, cuando ejecutas una simulación, algunos datos pueden ser más recientes que otros. Sin embargo, con el tiempo, todos los datos tendrán la misma antigüedad. Con la coherencia eventual, el período de reproducción suele terminar en unos días, pero puede terminar hasta 15 días antes. Los resultados de la simulación muestran la ventana de reproducción exacta. No se incluyen los registros de acceso posteriores a este período.
Resultados de Policy Simulator
Policy Simulator para el límite de acceso de la entidad informa el impacto de un cambio propuesto en una política o vinculación de límite de acceso de la entidad como una lista de cambios de acceso. Un cambio de acceso representa un intento de acceso del período de reproducción que probablemente tendría un resultado diferente si se aplicara la política simulada.
Para cada cambio de acceso, Policy Simulator también informa la siguiente información:
- La principal, el permiso y, si está disponible, el recurso involucrado en el intento de acceso
- La cantidad de días durante el período de reproducción en los que la principal intentó usar el permiso para acceder al recurso Este total incluye solo los intentos de acceso que tienen el mismo resultado que el intento de acceso más reciente.
- La fecha del intento de acceso más reciente
Cambios en el acceso
Un cambio de acceso indica que, según las políticas de límite de acceso de las principales pertinentes, es probable que cambie el acceso de un usuario si aplicas la política o vinculación simulada. Los cambios de acceso pueden ser acceso obtenido o acceso revocado.
Cuando calcula los cambios de acceso, Policy Simulator para el límite de acceso de la entidad solo evalúa las políticas y vinculaciones de límite de acceso de las entidades. No evalúa otros tipos de políticas.
Policy Simulator calcula los cambios de acceso con la siguiente información:
- El resultado del intento de acceso más reciente
- El impacto de las políticas y vinculaciones de límite de acceso de las principales actuales
- El impacto de las políticas y vinculaciones de límite de acceso de las principales propuestas
Para que se obtenga acceso, se deben cumplir todas las siguientes condiciones:
- Se bloqueó el intento de acceso más reciente.
- Las políticas y vinculaciones de límite de acceso de las principales actuales bloquean el acceso.
- Las políticas y vinculaciones de límite de acceso de las principales propuestas no bloquean el acceso.
Para que se revoque el acceso, se deben cumplir todas las siguientes condiciones:
- No se bloqueó el intento de acceso más reciente.
- Las políticas y vinculaciones de límite de acceso de las principales actuales no bloquean el acceso.
- Las políticas y vinculaciones de límite de acceso de las principales propuestas bloquean el acceso.
Un conjunto de políticas y vinculaciones de límite de acceso de las principales bloquean el acceso de una principal si se cumplen todas las siguientes condiciones:
- Las políticas de límite de acceso de las principales afectan el acceso de la principal. En otras palabras, la principal está sujeta a al menos una política de límite de acceso de las principales que tiene una versión de aplicación que admite el permiso en la solicitud.
- Ninguna de las políticas de límite de acceso de las principales a las que está sujeta la principal incluye el recurso.
Un conjunto de políticas y vinculaciones de límite de acceso de las principales no bloquean el acceso de la principal si se cumple alguna de las siguientes condiciones:
- Las políticas de límite de acceso de las principales no afectan el acceso de la principal. En otras palabras, la principal no está sujeta a ninguna política de límite de acceso de las principales que tenga una versión de aplicación que admita el permiso en la solicitud.
- Al menos una de las políticas de límite de acceso de las principales a las que está sujeta la principal incluye el recurso.
Errores
Los siguientes errores pueden hacer que falle una simulación:
- Tiempo de espera agotado: La simulación tardó demasiado en ejecutarse y se agotó el tiempo de espera. Para resolverlo, vuelve a ejecutar la simulación.
- Construcción de simulación no válida: La política o vinculación de límite de acceso de las principales propuesta no es válida. Por ejemplo, la política propuesta tiene una expresión de condición no válida, o la vinculación propuesta es para un conjunto de principales que ya está vinculado a la cantidad máxima de políticas. Para resolver el problema, corrige la política o vinculación y vuelve a intentarlo.
- Permiso denegado: No tienes permiso para ejecutar una simulación. Para resolver el problema, asegúrate de que se te otorguen los roles necesarios y vuelve a intentarlo.
Tipos de principales admitidos
Policy Simulator para las políticas de límite de acceso de las principales solo revisa los registros de acceso de los siguientes tipos de principales:
- Cuentas de Google
- Cuentas de servicio
Cuando se simulan políticas y vinculaciones de límite de acceso de las principales, Policy Simulator no revisa los registros de acceso de ningún otro tipo de principal. Como resultado, no informa si los cambios propuestos en tus políticas o vinculaciones afectarán el acceso de esas principales.
Simulación de límites de acceso a las credenciales
Puedes usar los límites de acceso a las credenciales para reducir o restringir los permisos de IAM que puede usar una credencial de corta duración para acceder a los recursos de Cloud Storage. Para reducir los permisos, un usuario o una cuenta de servicio (el agente de tokens) define los permisos disponibles en un conjunto de recursos en un token de acceso reducido y, luego, proporciona el token de acceso a otro usuario o cuenta de servicio (el consumidor de tokens).
El agente de tokens debe tener un rol que incluya los permisos otorgados al consumidor de tokens con un token de acceso reducido. Si se bloquea el acceso del usuario a ese recurso mediante un límite de acceso de la entidad, también se bloquea el acceso para el consumidor de tokens. Sin embargo, Policy Simulator no evalúa cómo los cambios en los permisos del agente de tokens afectan el acceso del consumidor de tokens.
Por ejemplo, considera un usuario al que se le otorgó el rol de Lector de buckets heredados de Storage (roles/storage.legacyBucketReader) en un recurso con un token de acceso reducido creado con un límite de acceso a las credenciales.
Si simulas el bloqueo del rol de Lector de buckets heredados de Storage de ese usuario mediante un límite de acceso de las principales, Policy Simulator no informa una pérdida de acceso.
Si simulas el bloqueo del rol de Lector de buckets heredados de Storage del agente de tokens mediante un límite de acceso de las principales, Policy Simulator no informa una pérdida de acceso para el usuario. Del mismo modo, si no se usa el acceso del agente de tokens en un plazo de 90 días, su acceso no se incluye en la simulación.
Para obtener más información, consulta Límites de acceso a las credenciales para Cloud Storage.
¿Qué sigue?
- Aprende a simular un cambio en una política o vinculación de límite de acceso de las principales.
- Explora otras herramientas de Policy Intelligence.