Änderungen an Ablehnungsrichtlinien mit Policy Simulator testen

Auf dieser Seite wird beschrieben, wie Sie eine Änderung an einer IAM Ablehnungsrichtlinie mit dem Policy Simulator simulieren. Außerdem wird erläutert, wie Sie die Ergebnisse der Simulation interpretieren und die simulierte Ablehnungsrichtlinie anwenden können.

Bei dieser Funktion wird der Zugriff nur auf Grundlage von Ablehnungsrichtlinien ausgewertet.

Informationen zum Simulieren anderer Richtlinientypen finden Sie unter:

• Änderungen an Organisationsrichtlinien mit dem Policy Simulator testen
• Änderungen an Principal Access Boundary-Richtlinien mit dem Policy Simulator testen
• Rollenänderungen mit dem Policy Simulator testen

Hinweis

• Aktivieren Sie die Policy Simulator API und die Identity and Access Management API.

  Rollen, die zum Aktivieren von APIs erforderlich sind

  Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen.

  APIs aktivieren

• Optional: Informationen zur Funktionsweise des Policy Simulator für Ablehnungsrichtlinien

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Ablehnungsadministrator (roles/iam.denyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Testen von Änderungen an Ablehnungsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Änderung an einer Ablehnungsrichtlinie simulieren

Die Simulation einer Ablehnungsrichtlinie umfasst die folgenden Schritte:

1. Simulation starten
2. Warten, bis die Simulation abgeschlossen ist
3. Simulationsbericht ansehen
4. Auf Grundlage der Simulation Maßnahmen ergreifen

Simulation starten

Sie haben folgende Möglichkeiten, eine Simulation zu starten:

• Neue Ablehnungsrichtlinie simulieren:

  1. Rufen Sie in der Google Cloud Console auf der Seite IAM den Tab Ablehnen auf.

  IAM aufrufen

  1. Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
  2. Führen Sie die Schritte zum Erstellen einer Ablehnungsrichtlinie aus, klicken Sie aber nicht auf Erstellen , nachdem Sie die Details der Ablehnungsrichtlinie eingegeben haben. Klicken Sie stattdessen auf Richtlinie testen.

• Änderung an einer Ablehnungsrichtlinie simulieren:

  1. Rufen Sie in der Google Cloud Console auf der Seite IAM den Tab Ablehnen auf.

     IAM aufrufen

  2. Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.

  3. Klicken Sie in der Spalte Richtlinien-ID auf die ID der Richtlinie, die Sie bearbeiten möchten.

  4. Klicken Sie auf edit Bearbeiten.

  5. Aktualisieren Sie die Ablehnungsrichtlinie:

     • Wenn Sie den Anzeigenamen der Richtlinie ändern möchten, bearbeiten Sie das Feld Anzeigename.
     • Wenn Sie eine vorhandene Ablehnungsregel bearbeiten möchten, klicken Sie auf die Ablehnungsregel und ändern Sie dann die Principals, Ausnahme-Principals, abgelehnten Berechtigungen, Ausnahmeberechtigungen oder die Ablehnungsbedingung der Regel.
     • Wenn Sie eine Anlehnungsregel entfernen möchten, suchen Sie die entsprechende Regel und klicken Sie in der Zeile auf delete Löschen.
     • Wenn Sie eine Ablehnungsregel hinzufügen möchten, klicken Sie auf Ablehnungsregel hinzufügen und erstellen Sie dann eine Ablehnungsregel wie beim Erstellen einer Ablehnungsrichtlinie.

  6. Wenn Sie die Ablehnungsrichtlinie aktualisiert haben, klicken Sie auf Änderungen testen.

Wenn Sie auf Richtlinie testen oder Änderungen testen klicken, startet der Policy Simulator die Simulation und leitet Sie zur Seite Simulationsberichte zu Ablehnungen weiter. Sie können diese Seite verlassen, ohne dass der Fortschritt verloren geht.

Warten, bis eine Simulation abgeschlossen ist

Nachdem Sie eine Simulation gestartet haben, wird in der Google Cloud Console eine Benachrichtigung angezeigt, dass die Simulation ausgeführt wird.

Nach Abschluss der Simulation wird in der Google Cloud Console eine weitere Benachrichtigung angezeigt, dass die Simulation abgeschlossen ist. Wenn Sie diese Benachrichtigung erhalten, können Sie den Simulationsbericht ansehen.

Jeder Nutzer kann bis zu 10 laufende Simulationen haben.

Simulationsbericht ansehen

1. Rufen Sie in der Google Cloud Console die Seite Simulationsberichte zu Ablehnungen auf.

   Simulationsberichte zu Ablehnungen aufrufen

2. Suchen Sie die Simulation, deren Bericht Sie ansehen möchten, und klicken Sie in dieser Zeile auf Bericht ansehen.

Der Simulationsbericht enthält Folgendes:

• Eine Übersicht über die Simulationsdetails, einschließlich der simulierten Richtlinie, der simulierten Aktion und der Simulationszeit.
• Die Schaltfläche Richtlinie ansehen oder Richtlinienänderungen ansehen. Wenn Sie darauf klicken, wird die simulierte Richtlinie im JSON-Format angezeigt. Wenn Sie die Richtlinienänderung simulieren, wird möglicherweise auch der Unterschied zwischen der aktuellen und der simulierten Richtlinie angezeigt.
• Ein Abschnitt Ergebnisse wiedergeben mit den Ergebnissen der Simulation. Informationen zum Interpretieren dieser Ergebnisse finden Sie unter Ergebnisse des Policy Simulators.

Auf Grundlage einer Simulation Maßnahmen ergreifen

Nachdem Sie einen Simulationsbericht geprüft haben, können Sie folgende Maßnahmen ergreifen:

• Simulationsergebnisse exportieren: Wenn Sie die Ergebnisse einer Simulation als CSV-Datei exportieren möchten, klicken Sie auf Ergebnisse exportieren.

  Wenn Sie auf diese Schaltfläche klicken, wird eine CSV-Datei mit den Simulationsberichten auf Ihren Computer heruntergeladen.

• Simulierte Richtlinienänderung anwenden: Wenn Sie die simulierte Richtlinie oder Richtlinien änderung anwenden möchten, klicken Sie auf Richtlinie festlegen.

  Wenn Sie auf diese Schaltfläche klicken, wird in der Google Cloud Console die simulierte Richtlinie festgelegt.

• Simulierte Änderung an der Richtlinie bearbeiten: Wenn Sie weitere Änderungen an der simulierten Richtlinie oder Richtlinienänderung vornehmen möchten, klicken Sie auf Richtlinie ändern.

  Wenn Sie auf diese Schaltfläche klicken, werden Sie in der Google Cloud Console zum Editor für Ablehnungsrichtlinien weitergeleitet.

Alternativ können Sie auf Abbrechen klicken, um den Simulationsbericht zu verlassen, ohne Maßnahmen zu ergreifen.

Simulationsverlauf ansehen

Die Seite Simulationsberichte zu Ablehnungen enthält eine Tabelle mit allen Simulationen, die Sie in den letzten 14 Tagen ausgeführt haben. Diese Liste ist für jeden Nutzer eindeutig und kann nicht freigegeben werden.

So rufen Sie die Seite Simulationsberichte zu Ablehnungen auf:

1. Rufen Sie in der Google Cloud Console auf der Seite IAM den Tab Ablehnen auf.

   IAM aufrufen

2. Wählen Sie das Projekt, den Ordner oder die Organisation aus, für die Sie Simulationen ansehen möchten.

3. Klicken Sie auf schedule Simulationsverlauf.

Für jede Simulation werden auf der Seite die Richtlinie, für die die Simulation ausgeführt wurde, das Datum, an dem Sie die Simulation gestartet haben, und der Status der Simulation aufgeführt.

Simulationen können folgende Status haben:

• In Bearbeitung: Die Simulation wird ausgeführt, ist aber noch nicht abgeschlossen. Sie können bis zu 10 laufende Simulationen haben.
• Abgeschlossen: Die Simulation ist abgeschlossen.
• Fehler: Die Simulation konnte aufgrund eines Fehlers nicht abgeschlossen werden.

Nächste Schritte

• Änderungen an Organisationsrichtlinien mit dem Policy Simulator testen
• Rollenänderungen mit dem Policy Simulator testen