Testar mudanças na política de negação com o Simulador de política

Nesta página, descrevemos como simular uma mudança em uma política de negação do IAM usando o Simulador de política. Ela também explica como interpretar os resultados da simulação e como aplicar a política de negação simulada, se você quiser.

Esse recurso avalia apenas o acesso com base em políticas de negação.

Para saber como simular outros tipos de políticas, consulte o seguinte:

Antes de começar

Funções exigidas

Para receber as permissões necessárias para testar mudanças nas políticas de negação, peça ao administrador para conceder a você o papel do IAM de administrador de negação (roles/iam.denyAdmin) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

Simular uma mudança em uma política de negação

A simulação de uma política de negação envolve as seguintes etapas:

  1. Iniciar a simulação
  2. Aguardar a conclusão da simulação
  3. Visualizar o relatório de simulação
  4. Realizar ações com base na simulação

Iniciar uma simulação

É possível iniciar uma simulação das seguintes maneiras:

  • Simular uma nova política de negação:

    1. No Google Cloud console, acesse a guia Negar na página IAM.

    Acessar IAM

    1. Selecione um projeto, pasta ou organização.
    2. Siga as etapas para criar uma política de negação, mas não clique em Criar depois de inserir os detalhes da política de negação. Em vez disso, clique em Testar política.

  • Simular uma edição em uma política de negação:

    1. No Google Cloud console, acesse a guia Negar na página IAM.

      Acessar IAM

    2. Selecione um projeto, pasta ou organização.

    3. Na coluna ID da política, clique no ID da política que você quer editar.

    4. Clique em Editar.

    5. Atualize a política de negação:

      • Para mudar o nome de exibição da política, edite o campo Nome de exibição.
      • Para editar uma regra de negação atual, clique nela e modifique os principais, os principais de exceção, as permissões negadas, as permissões de exceção ou a condição de negação da regra.
      • Para remover uma regra de negação, encontre a regra que você quer excluir e clique em Excluir nessa linha.
      • Para adicionar uma regra de negação, clique em Adicionar regra de negação e crie uma regra de negação como você faz ao criar uma política de negação.

    6. Quando terminar de atualizar a política de negação, clique em Testar mudanças.

Quando você clica em Testar política ou Testar mudanças, o Simulador de política inicia a simulação e redireciona você para a página Negar relatórios de simulação. É possível sair dessa página sem perder o progresso.

Aguardar a conclusão de uma simulação

Depois de iniciar uma simulação, o Google Cloud console gera uma notificação de que a simulação está em execução.

Quando a simulação terminar, o Google Cloud console vai gerar outra notificação de que a simulação foi concluída. Quando você receber essa notificação, você poderá visualizar o relatório de simulação.

Cada usuário pode ter até 10 simulações em andamento.

Visualizar um relatório de simulação

  1. No Google Cloud console, acesse a página Negar relatórios de simulação.

    Acessar relatórios de simulação de negação

  2. Encontre a simulação cujo relatório você quer visualizar e clique em Visualizar relatório nessa linha.

O relatório de simulação contém o seguinte:

  • Uma visão geral dos detalhes da simulação, incluindo a política simulada, a ação simulada e o tempo de simulação.
  • Um botão Visualizar política ou Visualizar mudanças de política que, quando clicado, mostra a política simulada no formato JSON. Se você estiver simulando a mudança de política, também poderá mostrar a diferença entre a política atual e a política simulada.
  • Uma seção Repetir resultados, que mostra os resultados da simulação. Para saber como interpretar esses resultados, consulte Resultados do Simulador de política resultados.

Entre em ação com base em uma simulação

Depois de analisar um relatório de simulação, você pode realizar as seguintes ações:

  • Exportar os resultados da simulação: para exportar os resultados de uma simulação como um arquivo CSV, clique em Exportar resultados.

    Quando você clica nesse botão, um arquivo CSV com os relatórios de simulação é baixado para o computador.

  • Aplicar a mudança de política simulada: para aplicar a política simulada ou a política mudança, clique em Definir política.

    Quando você clica nesse botão, o Google Cloud console define a política simulada.

  • Editar a mudança simulada na política: para fazer mais mudanças na política simulada ou na mudança de política, clique em Modificar política.

    Quando você clica nesse botão, o Google Cloud console redireciona você para o editor de políticas de negação.

Como alternativa, clique em Cancelar para sair do relatório de simulação sem realizar nenhuma ação.

Visualizar o histórico de simulação

A página Negar relatórios de simulação contém uma tabela com todas as simulações que você executou nos últimos 14 dias. Essa lista é exclusiva de cada usuário e não pode ser compartilhada.

Para acessar a página Negar relatórios de simulação, faça o seguinte:

  1. No Google Cloud console, acesse a guia Negar na página IAM.

    Acessar IAM

  2. Selecione o projeto, a pasta ou a organização para a qual você quer visualizar as simulações.

  3. Clique em Histórico de simulação.

Para cada simulação, a página lista a política para a qual a simulação é, a data em que você iniciou a simulação e o status dela.

As simulações podem ter os seguintes status:

  • Em andamento: a simulação está em execução, mas ainda não foi concluída. Você pode ter até 10 simulações em andamento.
  • Concluída: a simulação foi concluída.
  • Erro: não foi possível concluir a simulação devido a um erro.

A seguir