Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

בדיקת שינויים במדיניות הדחייה באמצעות Policy Simulator

בדף הזה מוסבר איך לדמות שינוי במדיניות של דחיית גישה (deny) ב-IAM באמצעות Policy Simulator. בנוסף, נסביר איך לפרש את תוצאות הסימולציה ואיך להחיל את מדיניות הדחייה שנוצרה בסימולציה, אם תבחרו לעשות זאת.

התכונה הזו מעריכה את הגישה רק על סמך מדיניות של דחיית גישה.

כדי ללמוד איך לדמות סוגים אחרים של מדיניות, אפשר לעיין במאמרים הבאים:

לפני שמתחילים

מפעילים את Policy Simulator ואת ממשקי ה-API של ניהול הזהויות והרשאות הגישה (IAM).
תפקידים שנדרשים להפעלת ממשקי API
כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים
הפעלת ממשקי ה-API
אופציונלי: איך פועל סימולטור המדיניות לכללי מדיניות הדחייה

התפקידים הנדרשים

כדי לקבל את ההרשאות שנדרשות לבדיקת שינויים בכללי מדיניות הדחייה, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Deny Admin (roles/iam.denyAdmin) בארגון. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

סימולציה של שינוי במדיניות דחייה

סימולציה של מדיניות דחייה כוללת את השלבים הבאים:

התחלת הסימולציה
המתנה לסיום הסימולציה
עיון בדוח הסימולציה
ביצוע פעולות על סמך הסימולציה

התחלת סימולציה

אפשר להתחיל סימולציה בדרכים הבאות:

סימולציה של מדיניות דחייה חדשה:
1. במסוף Google Cloud , עוברים לכרטיסייה Deny בדף IAM.
כניסה לדף IAM
1. בוחרים פרויקט, תיקייה או ארגון.
2. פועלים לפי השלבים ליצירת מדיניות דחייה, אבל לא לוחצים על יצירה אחרי שמזינים את פרטי מדיניות הדחייה. במקום זאת, לוחצים על בדיקת המדיניות.
סימולציה של עריכה במדיניות דחייה:
1. במסוף Google Cloud , עוברים לכרטיסייה Deny בדף IAM.
  
  כניסה לדף IAM
2. בוחרים פרויקט, תיקייה או ארגון.
3. בעמודה מזהה המדיניות, לוחצים על מזהה המדיניות שרוצים לערוך.
4. לוחצים על עריכה.
5. מעדכנים את מדיניות הדחייה:
  - כדי לשנות את השם המוצג של המדיניות, עורכים את השדה Display name.
  - כדי לערוך כלל דחייה קיים, לוחצים על כלל הדחייה ואז משנים את חשבונות המשתמש העיקריים של הכלל, חשבונות המשתמש העיקריים של החריג, ההרשאות שנדחו, הרשאות החריג או תנאי הדחייה.
  - כדי להסיר כלל דחייה, מוצאים את כלל הדחייה שרוצים למחוק ולוחצים על מחיקה באותה שורה.
  - כדי להוסיף כלל דחייה, לוחצים על הוספת כלל דחייה ויוצרים כלל דחייה כמו שיוצרים מדיניות דחייה.
6. כשמסיימים לעדכן את מדיניות הדחייה, לוחצים על בדיקת שינויים.

כשלוחצים על בדיקת מדיניות או על בדיקת שינויים, כלי סימולציית המדיניות מתחיל את הסימולציה ומפנה אתכם לדף דוחות סימולציה של דחייה. אתם יכולים לצאת מהדף הזה בלי לאבד את ההתקדמות.

מחכים לסיום הסימולציה

אחרי שמתחילים סימולציה, במסוף נוצרת התראה שהסימולציה פועלת. Google Cloud

אחרי שהסימולציה מסתיימת, במסוף Google Cloud מוצגת הודעה נוספת שהסימולציה הסתיימה. כשמקבלים את ההתראה הזו, אפשר לצפות בדוח הסימולציה.

כל משתמש יכול להריץ עד 50 סימולציות בו-זמנית.

צפייה בדוח סימולציה

נכנסים לדף Deny simulation reports במסוף Google Cloud .

מעבר לדוחות סימולציה של דחייה
מוצאים את הסימולציה שרוצים לראות את הדוח שלה ולוחצים על הצגת הדוח בשורה הזו.

דוח הסימולציה כולל את המידע הבא:

סקירה כללית של פרטי הסימולציה, כולל המדיניות שסימלנו, הפעולה שסימלנו וזמן הסימולציה.
לחצן הצגת המדיניות או הצגת השינויים במדיניות, שבלחיצה עליו מוצגת המדיניות המדומה בפורמט JSON. אם אתם מבצעים סימולציה של שינוי המדיניות, יכול להיות שיוצג גם ההבדל בין המדיניות הנוכחית לבין המדיניות בסימולציה.
הקטע הפעלת התוצאות, שבו מוצגות תוצאות הסימולציה. במאמר תוצאות של סימולטור המדיניות מוסבר איך לפרש את התוצאות האלה.

יוצרים קמפיינים על סמך סימולציה

אחרי שבודקים את דוח הסימולציה, אפשר לבצע את הפעולות הבאות:

ייצוא תוצאות הסימולציה: כדי לייצא את תוצאות הסימולציה כקובץ CSV, לוחצים על ייצוא תוצאות.

כשלוחצים על הלחצן הזה, קובץ CSV עם דוחות הסימולציה יורד למחשב.
החלת השינוי המדומה במדיניות: כדי להחיל את המדיניות או את השינוי המדומה במדיניות, לוחצים על הגדרת מדיניות.

כשלוחצים על הלחצן הזה, Google Cloud המסוף מגדיר את המדיניות המדומה.
עריכת השינוי המדומה במדיניות: כדי לבצע שינויים נוספים במדיניות המדומה או בשינוי המדומה במדיניות, לוחצים על שינוי המדיניות.

כשלוחצים על הלחצן הזה, Google Cloud המסוף מפנה אתכם לכלי לעריכת מדיניות הדחייה.

אפשר גם ללחוץ על ביטול כדי לצאת מדוח הסימולציה בלי לבצע פעולה כלשהי.

צפייה בהיסטוריית הסימולציות

בדף דוחות סימולציה של דחייה מופיעה טבלה עם כל הסימולציות שהרצתם ב-14 הימים האחרונים. הרשימה הזו ייחודית לכל משתמש ואי אפשר לשתף אותה.

כדי להציג את הדף דוחות סימולציה של דחייה:

במסוף Google Cloud , עוברים לכרטיסייה Deny בדף IAM.

כניסה לדף IAM
בוחרים את הפרויקט, התיקייה או הארגון שרוצים לראות את הסימולציות שלהם.
לוחצים על היסטוריית הסימולציות.

לכל סימולציה, בדף מופיעים כלל המדיניות שהסימולציה מיועדת לו, התאריך שבו התחלתם את הסימולציה והסטטוס שלה.

הסימולציות יכולות להיות באחד מהסטטוסים הבאים:

בתהליך: הסימולציה פועלת, אבל עדיין לא הסתיימה. אפשר להפעיל עד 50 סימולציות בו-זמנית.
הושלמה: הסימולציה הושלמה.
שגיאה: לא ניתן היה להשלים את הסימולציה בגלל שגיאה.