Halaman ini menjelaskan cara menyimulasikan perubahan pada kebijakan penolakan IAM menggunakan Policy Simulator. Halaman ini juga menjelaskan cara menafsirkan hasil simulasi, dan cara menerapkan kebijakan penolakan yang disimulasikan jika Anda memilih untuk melakukannya.
Fitur ini hanya mengevaluasi akses berdasarkan kebijakan penolakan.
Untuk mempelajari cara menyimulasikan jenis kebijakan lainnya, lihat hal berikut:
- Menguji perubahan kebijakan organisasi dengan Policy Simulator
- Menguji perubahan kebijakan batas akses utama dengan Policy Simulator
- Menguji perubahan peran dengan Policy Simulator
Sebelum memulai
-
Aktifkan Policy Simulator dan Identity and Access Management API.
Peran yang diperlukan untuk mengaktifkan API
Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (
roles/serviceusage.serviceUsageAdmin), yang berisi izinserviceusage.services.enable. Pelajari cara memberikan peran. - Opsional: Pelajari cara kerja Policy Simulator untuk kebijakan penolakan.
Peran yang diperlukan
Guna mendapatkan izin yang diperlukan untuk menguji perubahan pada kebijakan penolakan, minta administrator untuk memberi Anda peran IAM Deny Admin (roles/iam.denyAdmin) di organisasi.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Menyimulasikan perubahan pada kebijakan penolakan
Menyimulasikan kebijakan penolakan melibatkan langkah-langkah berikut:
- Memulai simulasi
- Menunggu simulasi selesai
- Melihat laporan simulasi
- Mengambil tindakan berdasarkan simulasi
Memulai simulasi
Anda dapat memulai simulasi dengan cara berikut:
Simulasikan kebijakan penolakan baru:
- Di Google Cloud konsol, buka tab Deny di halaman IAM.
- Pilih project, folder, atau organisasi.
- Ikuti langkah-langkah untuk membuat kebijakan penolakan, tetapi jangan klik Create setelah memasukkan detail kebijakan penolakan. Sebagai gantinya, klik Test policy.
Simulasikan pengeditan pada kebijakan penolakan:
Di Google Cloud konsol, buka tab Deny di halaman IAM.
Pilih project, folder, atau organisasi.
Di kolom Policy ID, klik ID kebijakan yang ingin Anda edit.
Klik Edit.
Perbarui kebijakan penolakan:
- Untuk mengubah nama tampilan kebijakan, edit kolom Display name.
- Untuk mengedit aturan penolakan yang ada, klik aturan penolakan, lalu ubah akun utama aturan, akun utama pengecualian, izin yang ditolak, izin pengecualian, atau kondisi penolakan.
- Untuk menghapus aturan penolakan, temukan aturan penolakan yang ingin Anda hapus, dan lalu klik Delete di baris tersebut.
- Untuk menambahkan aturan penolakan, klik Add deny rule, lalu buat aturan penolakan seperti yang Anda lakukan saat membuat kebijakan penolakan.
Setelah selesai memperbarui kebijakan penolakan, klik Test changes.
Saat Anda mengklik Test policy atau Test changes, Policy Simulator akan memulai simulasi dan mengarahkan Anda ke halaman Deny simulation reports. Anda dapat keluar dari halaman ini tanpa kehilangan progres.
Menunggu simulasi selesai
Setelah Anda memulai simulasi, Google Cloud konsol akan membuat notifikasi bahwa simulasi sedang berjalan.
Setelah simulasi selesai, konsol akan membuat notifikasi lain bahwa simulasi telah selesai. Google Cloud Saat menerima notifikasi ini, Anda dapat melihat laporan simulasi.
Setiap pengguna dapat memiliki maksimal 10 simulasi yang sedang berlangsung.
Melihat laporan simulasi
Di Google Cloud konsol, buka halaman Deny simulation reports.
Temukan simulasi yang ingin Anda lihat laporannya, lalu klik View report di baris tersebut.
Laporan simulasi berisi hal berikut:
- Ringkasan detail simulasi, termasuk kebijakan yang disimulasikan, tindakan yang disimulasikan, dan waktu simulasi.
- Tombol View policy atau View policy changes, yang, jika diklik, akan menampilkan kebijakan yang disimulasikan dalam format JSON. Jika Anda menyimulasikan perubahan kebijakan, tombol ini mungkin juga menampilkan perbedaan antara kebijakan saat ini dan kebijakan yang disimulasikan.
- Bagian Replay results, yang menampilkan hasil simulasi. Untuk mempelajari cara menafsirkan hasil ini, lihat Hasil Policy Simulator hasil.
Mengambil tindakan berdasarkan simulasi
Setelah meninjau laporan simulasi, Anda dapat melakukan tindakan berikut:
Mengekspor hasil simulasi: Untuk mengekspor hasil simulasi sebagai file CSV, klik Export results.
Saat Anda mengklik tombol ini, file CSV dengan laporan simulasi akan didownload ke komputer Anda.
Menerapkan perubahan kebijakan yang disimulasikan: Untuk menerapkan kebijakan atau perubahan kebijakan yang disimulasikan, klik Set policy.
Saat Anda mengklik tombol ini, konsol akan menetapkan kebijakan yang disimulasikan. Google Cloud
Mengedit perubahan yang disimulasikan pada kebijakan: Untuk membuat perubahan lebih lanjut pada kebijakan atau perubahan kebijakan yang disimulasikan, klik Modify policy.
Saat Anda mengklik tombol ini, konsol akan mengarahkan Anda ke editor kebijakan penolakan. Google Cloud
Atau, Anda dapat mengklik Cancel untuk keluar dari laporan simulasi tanpa mengambil tindakan apa pun.
Melihat histori simulasi
Halaman Deny simulation reports berisi tabel yang mencantumkan semua simulasi yang telah Anda jalankan selama 14 hari terakhir. Daftar ini unik untuk setiap pengguna dan tidak dapat dibagikan.
Untuk melihat halaman Deny simulation reports, lakukan hal berikut:
Di Google Cloud konsol, buka tab Deny di halaman IAM.
Pilih project, folder, atau organisasi yang ingin Anda lihat simulasinya.
Klik Simulation history.
Untuk setiap simulasi, halaman ini mencantumkan kebijakan yang digunakan simulasi, tanggal Anda memulai simulasi, dan status simulasi.
Simulasi dapat memiliki status berikut:
- Dalam proses: Simulasi sedang berjalan, tetapi belum selesai. Anda dapat memiliki maksimal 10 simulasi yang sedang berlangsung.
- Selesai: Simulasi telah selesai.
- Error: Simulasi tidak dapat diselesaikan karena terjadi error.
Langkah berikutnya
- Menguji perubahan kebijakan organisasi dengan Policy Simulator
- Menguji perubahan peran dengan Policy Simulator