Policy Simulator untuk kebijakan batas akses utama (PAB) memungkinkan Anda melihat pengaruh perubahan pada kebijakan batas akses utama atau binding terhadap akses akun utama sebelum Anda berkomitmen untuk melakukan perubahan. Anda dapat menggunakan Policy Simulator untuk membantu memahami potensi dampak perubahan pada kebijakan atau binding batas akses utama sebelum Anda menerapkannya.
Fitur ini hanya mengevaluasi akses berdasarkan kebijakan dan binding batas akses utama.
Untuk mempelajari cara menyimulasikan perubahan pada jenis kebijakan lainnya, lihat hal berikut:
- Policy Simulator untuk kebijakan izin
- Policy Simulator untuk kebijakan penolakan
- Policy Simulator untuk kebijakan organisasi
Cara kerja Policy Simulator untuk kebijakan batas akses utama
Policy Simulator untuk kebijakan batas akses utama membantu Anda menentukan pengaruh perubahan pada kebijakan atau binding batas akses utama terhadap akses akun utama di organisasi Anda.
Saat Anda menjalankan simulasi untuk kebijakan atau binding batas akses utama, Policy Simulator akan melakukan hal berikut:
Menampilkan serangkaian perubahan akses. Perubahan akses ini menunjukkan upaya akses dari log yang kemungkinan akan memiliki hasil berbeda jika Anda menerapkan kebijakan atau binding yang disimulasikan.
Untuk mempelajari lebih lanjut perubahan akses yang ditampilkan Policy Simulator, lihat Hasil Policy Simulator.
Periode putar ulang
Periode putar ulang adalah waktu saat Policy Simulator mendapatkan log akses ketika menjalankan simulasi. Log akses yang terjadi sebelum hari pertama periode putar ulang atau setelah hari terakhir periode putar ulang tidak disertakan dalam simulasi. Periode putar ulang adalah 90 hari. Jika resource organisasi telah ada selama kurang dari waktu tersebut, Policy Simulator akan mengambil semua upaya akses sejak organisasi dibuat. Jendela putar ulang juga memiliki konsistensi tertunda. Artinya, saat Anda menjalankan simulasi, beberapa data mungkin lebih baru daripada data lainnya. Namun, pada akhirnya, semua data akan memiliki tingkat kebaruan yang sama. Dengan konsistensi tertunda, periode putar ulang biasanya berakhir dalam beberapa hari, tetapi dapat berakhir hingga 15 hari lebih awal. Hasil simulasi menunjukkan jendela putar ulang yang tepat. Log akses dari setelah periode ini tidak disertakan.
Hasil Policy Simulator
Policy Simulator untuk principal access boundary melaporkan dampak perubahan yang diusulkan pada kebijakan atau binding principal access boundary sebagai daftar perubahan akses. Perubahan akses mewakili upaya akses dari periode putar ulang yang kemungkinan akan memiliki hasil berbeda jika kebijakan yang disimulasikan diterapkan.
Untuk setiap perubahan akses, Policy Simulator juga melaporkan informasi berikut:
- Akun utama, izin, dan, jika tersedia, resource yang terlibat dalam upaya akses.
- Jumlah hari selama periode putar ulang saat akun utama mencoba menggunakan izin untuk mengakses resource. Total ini hanya mencakup upaya akses yang memiliki hasil yang sama dengan upaya akses terbaru.
- Tanggal upaya akses terbaru.
Perubahan akses
Perubahan akses menunjukkan bahwa, berdasarkan kebijakan batas akses utama yang relevan, akses pengguna kemungkinan akan berubah jika Anda menerapkan kebijakan atau binding yang disimulasikan. Perubahan akses dapat berupa akses diperoleh atau akses dicabut.
Saat menghitung perubahan akses, Policy Simulator untuk principal access boundary hanya mengevaluasi kebijakan dan binding principal access boundary. Kebijakan ini tidak mengevaluasi jenis kebijakan lainnya.
Policy Simulator menghitung perubahan akses menggunakan informasi berikut:
- Hasil upaya akses terbaru
- Dampak kebijakan dan binding batas akses utama saat ini
- Dampak kebijakan dan binding batas akses utama yang diusulkan
Agar akses diperoleh, semua hal berikut harus benar:
- Upaya akses terbaru diblokir
- Akses diblokir oleh kebijakan dan binding batas akses utama saat ini
- Akses tidak diblokir oleh kebijakan dan binding batas akses utama yang diusulkan
Agar akses dicabut, semua hal berikut harus benar:
- Upaya akses terbaru tidak diblokir
- Akses tidak diblokir oleh kebijakan dan binding batas akses utama saat ini
- Akses diblokir oleh kebijakan dan binding batas akses utama yang diusulkan
Kumpulan kebijakan dan binding batas akses utama memblokir akses akun utama jika semua hal berikut benar:
- kebijakan batas akses utama memengaruhi akses akun utama. Dengan kata lain, akun utama tunduk pada setidaknya satu kebijakan batas akses utama yang memiliki versi penerapan yang mendukung izin dalam permintaan.
- Tidak ada kebijakan batas akses utama yang tunduk pada akun utama yang menyertakan resource.
Kumpulan kebijakan dan binding batas akses utama tidak memblokir akses akun utama jika salah satu hal berikut benar:
- kebijakan batas akses utama tidak memengaruhi akses akun utama. Dengan kata lain, akun utama tidak tunduk pada kebijakan batas akses utama yang memiliki versi penerapan yang mendukung izin dalam permintaan.
- Setidaknya salah satu kebijakan batas akses utama yang tunduk pada akun utama menyertakan resource.
Error
Error berikut dapat menyebabkan simulasi gagal:
- Waktu tunggu habis: Simulasi membutuhkan waktu terlalu lama untuk dijalankan dan waktu tunggu habis. Untuk mengatasinya, coba jalankan simulasi lagi.
- Konstruksi simulasi tidak valid: Kebijakan batas akses utama atau binding kebijakan batas akses utama yang diusulkan tidak valid. Misalnya, kebijakan yang diusulkan memiliki ekspresi kondisi yang tidak valid, atau binding yang diusulkan adalah untuk kumpulan akun utama yang sudah terikat ke jumlah kebijakanmaksimum. Untuk mengatasinya, koreksi kebijakan atau binding, lalu coba lagi.
- Izin ditolak: Anda tidak memiliki izin untuk menjalankan simulasi. Untuk mengatasinya, pastikan Anda diberi peran yang diperlukan, lalu coba lagi.
Jenis akun utama yang didukung
Policy Simulator untuk kebijakan batas akses utama hanya meninjau log akses untuk jenis akun utama berikut:
- Akun Google
- Akun layanan
Saat menyimulasikan kebijakan dan binding batas akses utama, Policy Simulator tidak meninjau log akses untuk jenis akun utama lainnya. Akibatnya, Policy Simulator tidak melaporkan apakah perubahan yang diusulkan pada kebijakan atau binding Anda akan memengaruhi akses akun utama tersebut.
Menyimulasikan Batas Akses Kredensial
Anda dapat menggunakan Batas Akses Kredensial untuk memperkecil cakupan, atau membatasi, izin IAM yang dapat digunakan kredensial yang berlaku singkat untuk mengakses resource Cloud Storage. Untuk memperkecil cakupan izin, pengguna atau akun layanan (broker token) menentukan izin yang tersedia pada sekumpulan resource dalam token akses yang diperkecil cakupannya, lalu memberikan token akses tersebut kepada pengguna atau akun layanan lain (konsumen token).
Broker token harus memiliki peran yang mencakup izin yang diberikan kepada konsumen token dengan token akses yang diperkecil cakupannya. Memblokir pengguna agar tidak mengakses resource tersebut menggunakan principal access boundary juga akan memblokir akses untuk konsumen token. Namun, Policy Simulator tidak mengevaluasi pengaruh perubahan pada izin broker token terhadap akses konsumen token.
Misalnya, pertimbangkan pengguna yang telah diberi peran Storage Legacy Bucket Reader (roles/storage.legacyBucketReader) pada resource menggunakan token akses yang diperkecil cakupannya yang dibuat dengan Batas Akses Kredensial.
Jika Anda menyimulasikan pemblokiran peran Storage Legacy Bucket Reader dari pengguna tersebut menggunakan batas akses utama, Policy Simulator akan gagal melaporkan hilangnya akses.
Jika Anda menyimulasikan pemblokiran peran Storage Legacy Bucket Reader dari broker token menggunakan batas akses utama, Policy Simulator akan gagal melaporkan hilangnya akses untuk pengguna. Demikian pula, jika akses broker token tidak digunakan dalam waktu 90 hari, aksesnya tidak akan disertakan dalam simulasi.
Untuk mengetahui informasi selengkapnya, lihat Batas Akses Kredensial untuk Cloud Storage.
Langkah berikutnya
- Pelajari cara menyimulasikan perubahan pada kebijakan atau binding batas akses utama.
- Pelajari alat Policy Intelligence lainnya.