Policy Simulator で拒否ポリシーの変更をテストする

このページでは、Policy Simulator を使用して IAM 拒否ポリシーの変更をシミュレートする方法について説明します。また、シミュレーションの結果を解釈する方法と、シミュレートした拒否ポリシーを適用する方法（そのように選択した場合）についても説明します。

この機能は、拒否ポリシーに基づくアクセスのみを評価します。

他の種類のポリシーをシミュレートする方法については、以下をご覧ください。

始める前に

Policy Simulator API と Identity and Access Management API を有効にします。
API を有効にするために必要なロール
API を有効にするには、serviceusage.services.enable 権限を含む Service Usage 管理者 IAM ロール（roles/serviceusage.serviceUsageAdmin）が必要です。詳しくは、ロールを付与する方法をご覧ください。
API を有効にする
省略可: 拒 0}拒否ポリシーの Policy Simulator の仕組みをご覧ください。

必要なロール

拒否ポリシーの変更をテストするために必要な権限を取得するには、組織に対する拒否管理者（roles/iam.denyAdmin）の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

拒否ポリシーの変更をシミュレートする

拒否ポリシーのシミュレーションには、次の手順が含まれます。

シミュレーションを開始する
シミュレーションが完了するまで待つ
シミュレーションレポートを表示する
シミュレーションに基づいて対応する

シミュレーションを開始する

シミュレーションは次の方法で開始できます。

新しい拒否ポリシーをシミュレートする:
1. コンソールで、[IAM] ページの [拒否] タブに移動します。 Google Cloud
[IAM] に移動
1. プロジェクト、フォルダ、または組織を選択します。
2. 手順に沿って拒否ポリシーを作成しますが、拒否ポリシーの詳細を入力したら [作成] をクリックしないでください。代わりに、[ポリシーをテスト] をクリックします。
拒否ポリシーの編集をシミュレートする:
1. コンソールで、[IAM] ページの [拒否] タブに移動します。 Google Cloud
  
  [IAM] に移動
2. プロジェクト、フォルダ、または組織を選択します。
3. [ポリシー ID] 列で、編集するポリシーの ID をクリックします。
4. [ 編集] をクリックします。
5. 拒否ポリシーを更新します。
  - ポリシーの表示名を変更するには、[表示名] フィールドを編集します。
  - 既存の拒否ルールを編集するには、拒否ルールをクリックし、ルールのプリンシパル、例外のプリンシパル、拒否される権限、例外の権限、拒否条件を変更します。
  - 拒否ルールを削除するには、削除する拒否ルールを見つけて、その行の [削除] をクリックします。
  - 拒否ルールを追加するには、[拒否ルールを追加] をクリックし、拒否ポリシーを作成するときと同様に拒否ルールを作成します。
6. 拒否ポリシーの更新が完了したら、[変更をテスト] をクリックします。

When you click [Test policy] or [Test changes], Policy Simulator starts the simulation and redirects you to the [Deny simulation reports] page. このページから移動しても、進行状況は失われません。

シミュレーションが完了するまで待つ

シミュレーションを開始すると、 Google Cloud コンソールにシミュレーションが実行中であることを示す通知が生成されます。

シミュレーションが完了すると、 Google Cloud コンソールにシミュレーションが完了したことを示す別の通知が生成されます。この通知を受け取ったら、シミュレーションレポートを表示できます。

各ユーザーは、最大 10 個の進行中のシミュレーションを実行できます。

シミュレーションレポートを表示する

コンソールで、[**拒否シミュレーションレポート**] ページに移動します。 Google Cloud

[拒否シミュレーションレポート] に移動
レポートを表示するシミュレーションを見つけて、その行の [レポートを表示] をクリックします。

シミュレーションレポートには、次の情報が含まれます。

シミュレートされたポリシー、シミュレートされたアクション、シミュレーション時間など、シミュレーションの詳細の概要。
[ポリシーを表示] または [ポリシーの変更を表示] ボタン。クリックすると、シミュレートされたポリシーが JSON 形式で表示されます。ポリシーの変更をシミュレートしている場合は、現在のポリシーとシミュレートされたポリシーの違いも表示されることがあります。
シミュレーションの結果を表示する [結果を再生] セクション。これらの結果の解釈方法については、Policy Simulator の結果をご覧ください。

シミュレーションに基づいて対応する

シミュレーションレポートを確認したら、次の操作を行います。

シミュレーション結果をエクスポートする: シミュレーションの結果を CSV ファイルとしてエクスポートするには、[結果をエクスポート] をクリックします。

このボタンをクリックすると、シミュレーションレポートを含む CSV ファイルがパソコンにダウンロードされます。
シミュレートされたポリシーの変更を適用する: シミュレートされたポリシーまたはポリシーの変更を適用するには、[**ポリシーを設定**] をクリックします。

このボタンをクリックすると、 Google Cloud コンソールにシミュレートされたポリシーが設定されます。
シミュレートされたポリシーの変更を編集する: シミュレートされたポリシーまたはポリシーの変更をさらに変更するには、[ポリシーを変更] をクリックします。

このボタンをクリックすると、 Google Cloud コンソールで拒否ポリシーエディタにリダイレクトされます。

または、[キャンセル] をクリックして、何もせずにシミュレーションレポートを終了することもできます。

シミュレーションの履歴を表示する

[拒否シミュレーションレポート] ページには、過去 14 日間に実行したすべてのシミュレーションのリストが表形式で表示されます。このリストはユーザーごとに固有であり、共有することはできません。

[拒否シミュレーションレポート] ページを表示する手順は次のとおりです。

コンソールで、[IAM] ページの [拒否] タブに移動します。 Google Cloud

[IAM] に移動
シミュレーションを表示するプロジェクト、フォルダ、または組織を選択します。
[ シミュレーションの履歴] をクリックします。

各シミュレーションについて、シミュレーションの対象となるポリシー、シミュレーションを開始した日付、シミュレーションのステータスがページに表示されます。

シミュレーションのステータスは次のとおりです。

進行中: シミュレーションは実行中ですが、まだ完了していません。進行中のシミュレーションは最大 10 個まで実行できます。
完了: シミュレーションが完了しました。
エラー: エラーが発生したため、シミュレーションを完了できませんでした。