Policy Simulator per le policy di confine di accesso dell'entità (PAB) ti consente di vedere in che modo una modifica a una policy di confine di accesso dell'entità o a un'associazione potrebbe influire sull'accesso delle tue entità prima di impegnarti ad apportare la modifica. Puoi utilizzare Policy Simulator per comprendere il potenziale impatto di una modifica a un'associazione o a una policy di Principal Access Boundary prima di applicarla.
Questa funzionalità valuta l'accesso solo in base alle policy di Principal Access Boundary e alle associazioni delle policy.
Per scoprire come simulare le modifiche ad altri tipi di policy, consulta quanto segue:
- Policy Simulator per i criteri di autorizzazione
- Policy Simulator per le policy di negazione
- Policy Simulator per le policy dell'organizzazione
Come funziona Policy Simulator per le policy di Principal Access Boundary
Policy Simulator per le policy di Principal Access Boundary ti aiuta a determinare in che modo una modifica a una policy di Principal Access Boundary o a un'associazione di policy influisce sull'accesso per le entità della tua organizzazione.
Quando esegui una simulazione per una policy di Principal Access Boundary o un'associazione di policy, Policy Simulator esegue le seguenti operazioni:
Esamina i log di accesso dell'organizzazione generati durante il periodo di riproduzione nel contesto delle attuali policy e associazioni di Principal Access Boundary e della policy o dell'associazione di Principal Access Boundary simulata.
Restituisce una serie di modifiche all'accesso. Queste modifiche all'accesso mostrano quali tentativi di accesso dai log potrebbero avere risultati diversi se avessi applicato la policy o il binding simulati.
Per scoprire di più sulle modifiche all'accesso restituite da Policy Simulator, consulta Risultati di Policy Simulator.
Periodo di riproduzione
Il periodo di riproduzione è il periodo di tempo in cui Policy Simulator ottiene l'accesso ai log durante l'esecuzione di una simulazione. I log di accesso precedenti al primo giorno del periodo di riproduzione o successivi all'ultimo giorno del periodo di riproduzione non sono inclusi nella simulazione. Il periodo di replay è di 90 giorni. Se la risorsa dell'organizzazione esiste da meno di questo periodo di tempo, Policy Simulator recupera tutti i tentativi di accesso dalla creazione dell'organizzazione. Anche la finestra di riproduzione è a coerenza finale. Ciò significa che, quando esegui una simulazione, alcuni dati potrebbero essere più recenti di altri. Tuttavia, alla fine tutti i dati avranno la stessa freschezza. Con la coerenza finale, il periodo di riproduzione termina in genere in pochi giorni, ma può terminare fino a 15 giorni prima. I risultati della simulazione mostrano la finestra di replay esatta. I log di accesso successivi a questo periodo non sono inclusi.
Risultati di Policy Simulator
Policy Simulator per il confine di accesso dell'entità segnala l'impatto di una modifica proposta a una policy o un'associazione del confine di accesso dell'entità come elenco di modifiche all'accesso. Una modifica all'accesso rappresenta un tentativo di accesso dal periodo di riproduzione che probabilmente avrebbe un risultato diverso se venisse applicata la policy simulata.
Per ogni modifica dell'accesso, Policy Simulator segnala anche le seguenti informazioni:
- L'entità, l'autorizzazione e, se disponibile, la risorsa coinvolta nel tentativo di accesso.
- Il numero di giorni durante il periodo di riproduzione in cui l'entità ha tentato di utilizzare l'autorizzazione per accedere alla risorsa. Questo totale include solo i tentativi di accesso che hanno lo stesso risultato dell'ultimo tentativo di accesso.
- La data dell'ultimo tentativo di accesso.
Modifiche di accesso
Una modifica dell'accesso indica che, in base alle policy di Principal Access Boundary pertinenti, l'accesso di un utente probabilmente cambierà se applichi la policy o l'associazione simulata. Le modifiche dell'accesso possono essere accesso acquisito o accesso revocato.
Quando calcola le modifiche all'accesso, Policy Simulator per confine di accesso dell'entità valuta solo le policy e le associazioni di confine di accesso dell'entità. Non valuta altri tipi di policy.
Policy Simulator calcola le modifiche all'accesso utilizzando le seguenti informazioni:
- Il risultato dell'ultimo tentativo di accesso
- L'impatto delle attuali policy di Principal Access Boundary e delle associazioni
- Impatto delle policy e delle associazioni di Principal Access Boundary proposte
Per ottenere l'accesso, devono essere vere tutte le seguenti condizioni:
- L'ultimo tentativo di accesso è stato bloccato
- L'accesso è bloccato dalle attuali policy di Principal Access Boundary e dalle associazioni
- L'accesso non è bloccato dalle associazioni e dalle policy di Principal Access Boundary proposte
Affinché l'accesso venga revocato, devono verificarsi tutte le seguenti condizioni:
- L'ultimo tentativo di accesso non è stato bloccato
- L'accesso non è bloccato dalle attuali policy di Principal Access Boundary e dalle relative associazioni
- L'accesso è bloccato dalle policy di Principal Access Boundary e dalle associazioni proposte
Un insieme di policy di Principal Access Boundary e associazioni blocca l'accesso di un'entità se tutte le seguenti condizioni sono vere:
- le policy di Principal Access Boundary influiscono sull'accesso dell'entità. In altre parole, l'entità è soggetta ad almeno un criterio di Principal Access Boundary che ha una versione di applicazione che supporta l'autorizzazione nella richiesta.
- Nessuna delle policy di Principal Access Boundary a cui è soggetta l'entità include la risorsa.
Un insieme di policy di Principal Access Boundary e associazioni non blocca l'accesso dell'entità se una delle seguenti condizioni è vera:
- le policy di Principal Access Boundary non influiscono sull'accesso dell'entità. In altre parole, l'entità non è soggetta a criteri di confine di accesso dell'entità che hanno una versione di applicazione che supporta l'autorizzazione nella richiesta.
- Almeno una delle policy di Principal Access Boundary a cui è soggetta l'entità include la risorsa.
Errori
I seguenti errori possono causare l'interruzione di una simulazione:
- Timeout: l'esecuzione della simulazione ha richiesto troppo tempo ed è scaduta. Per risolvere il problema, prova a eseguire di nuovo la simulazione.
- Costruzione della simulazione non valida: la proposta di policy di Principal Access Boundary o l'associazione della policy di Principal Access Boundary non è valida. Ad esempio, la policy proposta ha un'espressione di condizione non valida oppure l'associazione proposta riguarda un insieme di principal già associato al numero massimo di policy. Per risolvere il problema, correggi la policy o l'associazione e riprova.
- Autorizzazione negata: non hai l'autorizzazione per eseguire una simulazione. Per risolvere il problema, assicurati di disporre dei ruoli richiesti e riprova.
Tipi di entità supportati
Policy Simulator per le policy di Principal Access Boundary esamina solo i log di accesso per i seguenti tipi di entità:
- Account Google
- Service account
Quando simula le policy e le associazioni di Principal Access Boundary, Policy Simulator non esamina i log di accesso per altri tipi di entità. Di conseguenza, non segnala se le modifiche proposte alle policy o alle associazioni influiranno sull'accesso di queste entità.
Simulazione dei limiti di accesso alle credenziali
Puoi utilizzare i limiti di accesso delle credenziali per ridurre l'ambito o limitare le autorizzazioni IAM che una credenziale di breve durata può utilizzare per accedere alle risorse Cloud Storage. Per ridurre l'ambito delle autorizzazioni, un utente o un account di servizio (il broker di token) definisce le autorizzazioni disponibili per un insieme di risorse in un token di accesso con ambito ridotto e poi fornisce il token di accesso a un altro utente o account di servizio (il consumer di token).
Il broker di token deve avere un ruolo che includa le autorizzazioni concesse al consumer di token con un token di accesso con ambito ridotto. Il blocco dell'accesso dell'utente a questa risorsa tramite un confine di accesso dell'entità blocca anche l'accesso per il consumer del token. Tuttavia, Policy Simulator non valuta in che modo le modifiche alle autorizzazioni del broker di token influiscono sull'accesso del consumer di token.
Ad esempio, considera un utente a cui è stato concesso il ruolo
Lettore bucket legacy di Storage (roles/storage.legacyBucketReader) per una risorsa utilizzando un token di accesso con ambito ridotto creato con un limite di accesso alle credenziali.
Se simuli il blocco del ruolo Lettore bucket legacy Storage per quell'utente utilizzando un Principal Access Boundary, Policy Simulator non riesce a segnalare una perdita di accesso.
Se simuli il blocco del ruolo Lettore bucket legacy di Storage dal broker di token utilizzando un limite di accesso dell'entità, Policy Simulator non riesce a segnalare una perdita di accesso per l'utente. Analogamente, se l'accesso del broker di token non viene utilizzato entro 90 giorni, non viene incluso nella simulazione.
Per maggiori informazioni, consulta Limiti di accesso alle credenziali per Cloud Storage.
Passaggi successivi
- Scopri come simulare una modifica a una policy di Principal Access Boundary o a un'associazione.
- Esplora altri strumenti di Policy Intelligence.