주 구성원 액세스 경계 (PAB) 정책에 대한 정책 시뮬레이터를 사용하면 변경사항을 커밋하기 전에 보안 주체 액세스 경계 정책 또는 바인딩 변경사항이 보안 주체의 액세스에 어떠한 영향을 미치는지 확인할 수 있습니다. 정책 시뮬레이터를 사용하면 보안 주체 액세스 경계 정책 또는 바인딩을 적용하기 전에 변경사항이 미칠 수 있는 영향을 파악할 수 있습니다.
이 기능은 주 구성원 액세스 경계 정책 및 정책 바인딩에 기반한 액세스만 평가합니다.
다른 정책 유형에 대한 변경사항을 시뮬레이션하는 방법을 알아보려면 다음을 참고하세요.
주 구성원 액세스 경계 정책의 정책 시뮬레이터 작동 방식
주 구성원 액세스 경계 정책의 정책 시뮬레이터를 사용하면 주 구성원 액세스 경계 정책 또는 정책 바인딩의 변경사항이 조직의 주 구성원의 액세스에 미치는 영향을 확인할 수 있습니다.
주 구성원 액세스 경계 정책 또는 정책 바인딩에 대한 시뮬레이션을 실행하면 정책 시뮬레이터에서 다음을 수행합니다.
현재 주 구성원 액세스 경계 정책 및 바인딩과 시뮬레이션된 주 구성원 액세스 경계 정책 또는 바인딩의 컨텍스트에서 재생 기간 중에 생성된 조직의 액세스 로그를 검토합니다.
일련의 액세스 변경사항을 반환합니다. 이러한 액세스 변경사항은 시뮬레이션된 정책 또는 바인딩을 적용할 경우 로그의 액세스 시도 결과가 달라질 수 있음을 보여줍니다.
정책 시뮬레이터에서 반환하는 액세스 변경사항에 대해 자세히 알아보려면 정책 시뮬레이터 결과를 참고하세요.
다시보기 기간
재생 기간은 시뮬레이션을 실행할 때 정책 시뮬레이터가 액세스 로그를 가져오는 시간입니다. 재생 기간의 첫날 이전 또는 재생 기간의 마지막 날 이후에 발생하는 액세스 로그는 시뮬레이션에 포함되지 않습니다. 다시보기 기간은 90일입니다. 조직 리소스가 해당 기간보다 짧은 기간 동안 존재한 경우 정책 시뮬레이터는 조직이 생성된 이후의 모든 액세스 시도를 검색합니다. 재생 창도 eventual consistency를 가집니다. 즉, 시뮬레이션을 실행할 때 일부 데이터가 다른 데이터보다 최신일 수 있습니다. 하지만 결국 모든 데이터의 업데이트 빈도가 동일해집니다. 결과적 일관성을 사용하면 일반적으로 리플레이 기간이 며칠 내에 종료되지만 최대 15일 일찍 종료될 수 있습니다. 시뮬레이션 결과에 정확한 리플레이 창이 표시됩니다. 이 기간 이후의 액세스 로그는 포함되지 않습니다.
정책 시뮬레이터 결과
보안 주체 액세스 경계 정책 시뮬레이터는 보안 주체 액세스 경계 정책 또는 바인딩에 대한 제안된 변경사항의 영향을 액세스 변경사항 목록으로 보고합니다. 액세스 변경사항은 시뮬레이션된 정책이 적용될 경우 결과가 달라질 수 있는 재생 기간의 액세스 시도를 나타냅니다.
각 액세스 변경사항에 대해 정책 시뮬레이터는 다음 정보도 보고합니다.
- 액세스 시도와 관련된 주 구성원, 권한, 리소스(있는 경우)입니다.
- 주 구성원이 리소스에 액세스하기 위해 권한을 사용하려고 시도한 리플레이 기간의 일수입니다. 이 합계에는 가장 최근 액세스 시도와 결과가 동일한 액세스 시도만 포함됩니다.
- 가장 최근 액세스 시도 날짜입니다.
액세스 변경사항
액세스 변경은 관련 주 구성원 액세스 경계 정책에 따라 시뮬레이션된 정책 또는 바인딩을 적용할 경우 사용자의 액세스가 변경될 가능성이 있음을 나타냅니다. 액세스 변경은 액세스 권한 획득 또는 액세스 권한 취소일 수 있습니다.
액세스 변경사항을 계산할 때 보안 주체 액세스 경계의 정책 시뮬레이터는 보안 주체 액세스 경계 정책 및 바인딩만 평가합니다. 다른 정책 유형은 평가하지 않습니다.
정책 시뮬레이터는 다음 정보를 사용하여 액세스 변경사항을 계산합니다.
- 가장 최근 액세스 시도의 결과
- 현재 주 구성원 액세스 경계 정책 및 바인딩의 영향
- 제안된 주 구성원 액세스 경계 정책 및 바인딩의 영향
액세스 권한을 획득하려면 다음 조건이 모두 충족되어야 합니다.
- 가장 최근 액세스 시도가 차단됨
- 현재 주 구성원 액세스 경계 정책 및 바인딩에 의해 액세스가 차단됨
- 제안된 주 구성원 액세스 경계 정책 및 바인딩으로 액세스가 차단되지 않음
액세스 권한이 취소되려면 다음 조건을 모두 충족해야 합니다.
- 최근 액세스 시도가 차단되지 않음
- 현재 주 구성원 액세스 경계 정책 및 바인딩으로 액세스가 차단되지 않음
- 제안된 주 구성원 액세스 경계 정책 및 바인딩으로 인해 액세스가 차단됨
다음이 모두 참인 경우 주 구성원 액세스 경계 정책 및 바인딩 집합이 주 구성원의 액세스를 차단합니다.
- 주 구성원 액세스 경계 정책은 주 구성원의 액세스에 영향을 미칩니다. 즉, 주 구성원에게 요청의 권한을 지원하는 적용 버전이 있는 주 구성원 액세스 경계 정책이 하나 이상 적용됩니다.
- 주 구성원에게 적용되는 주 구성원 액세스 경계 정책에 리소스가 포함되지 않습니다.
다음 중 하나라도 참이면 주 구성원 액세스 경계 정책 및 바인딩 집합이 주 구성원의 액세스를 차단하지 않습니다.
- 주 구성원 액세스 경계 정책은 주 구성원의 액세스에 영향을 미치지 않습니다. 즉, 주 구성원에게 요청의 권한을 지원하는 적용 버전이 있는 주 구성원 액세스 경계 정책이 적용되지 않습니다.
- 주 구성원에게 적용되는 주 구성원 액세스 경계 정책 중 하나 이상에 리소스가 포함되어 있습니다.
오류
다음 오류로 인해 시뮬레이션이 실패할 수 있습니다.
- 시간 초과: 시뮬레이션을 실행하는 데 너무 오래 걸려 시간이 초과되었습니다. 이 문제를 해결하려면 시뮬레이션을 다시 실행해 보세요.
- 잘못된 시뮬레이션 구성: 제안된 주 구성원 액세스 경계 정책 또는 주 구성원 액세스 경계 정책 바인딩이 잘못되었습니다. 예를 들어 제안된 정책에 잘못된 조건 표현식이 있거나 제안된 바인딩이 이미 최대 정책 수에 바인딩된 주 구성원 집합에 적용됩니다. 이 문제를 해결하려면 정책 또는 바인딩을 수정하고 다시 시도하세요.
- 권한 거부: 시뮬레이션을 실행할 권한이 없습니다. 이 문제를 해결하려면 필수 역할이 부여되었는지 확인하고 다시 시도하세요.
지원되는 주 구성원 유형
주 구성원 액세스 경계 정책용 정책 시뮬레이터는 다음 유형의 주 구성원의 액세스 로그만 검토합니다.
- Google 계정
- 서비스 계정
주 구성원 액세스 경계 정책 및 바인딩을 시뮬레이션할 때 정책 시뮬레이터는 다른 주 구성원 유형의 액세스 로그를 검토하지 않습니다. 따라서 정책 또는 바인딩에 대한 제안된 변경사항이 해당 주 구성원의 액세스에 영향을 미치는지 여부를 보고하지 않습니다.
사용자 인증 정보 액세스 경계 시뮬레이션
사용자 인증 정보 액세스 경계를 사용하여 단기 사용자 인증 정보가 Cloud Storage 리소스에 액세스하는 데 사용할 수 있는 IAM 권한을 축소하거나 제한할 수 있습니다. 권한을 축소하려면 사용자 또는 서비스 계정(토큰 브로커)이 축소된 액세스 토큰의 리소스 집합에 사용 가능한 권한을 정의한 다음 다른 사용자 또는 서비스 계정 (토큰 소비자)에 액세스 토큰을 제공합니다.
토큰 브로커에는 범위가 축소된 액세스 토큰으로 토큰 소비자에게 부여된 권한이 포함된 역할이 있어야 합니다. 보안 주체 액세스 경계를 사용하여 사용자가 해당 리소스에 액세스하지 못하도록 차단하면 토큰 소비자도 액세스할 수 없습니다. 하지만 정책 시뮬레이터는 토큰 브로커의 권한 변경사항이 토큰 소비자의 액세스에 미치는 영향을 평가하지 않습니다.
예를 들어 사용자 인증 정보 액세스 경계로 생성된 범위가 축소된 액세스 토큰을 사용하여 리소스에 대한 스토리지 기존 버킷 리더 (roles/storage.legacyBucketReader) 역할이 부여된 사용자를 생각해 보세요.
주 구성원 액세스 경계를 사용하여 해당 사용자의 스토리지 기존 버킷 읽기 권한 사용자 역할을 차단하는 것을 시뮬레이션하면 정책 시뮬레이터에서 액세스 권한 손실을 보고하지 못합니다.
주 구성원 액세스 경계를 사용하여 토큰 브로커에서 스토리지 기존 버킷 리더 역할을 차단하는 것을 시뮬레이션하면 정책 시뮬레이터에서 사용자의 액세스 손실을 보고하지 못합니다. 마찬가지로 토큰 브로커의 액세스가 90일 이내에 사용되지 않으면 해당 액세스가 시뮬레이션에 포함되지 않습니다.
자세한 내용은 Cloud Storage의 사용자 인증 정보 액세스 경계를 참고하세요.
다음 단계
- 주 구성원 액세스 경계 정책 또는 바인딩에 대한 변경사항을 시뮬레이션하는 방법을 알아봅니다.
- 다른 정책 인텔리전스 도구 살펴보기