Questa pagina descrive come simulare una modifica a una policy o un'associazione di Principal Access Boundary (PAB) utilizzando Policy Simulator. Spiega anche come interpretare i risultati della simulazione e come applicare la policy o l'associazione di Principal Access Boundary simulata, se lo desideri.
Questa funzionalità valuta l'accesso solo in base alle policy di Principal Access Boundary.
Per scoprire come simulare le modifiche ad altri tipi di policy, consulta quanto segue:
- Testa le modifiche alle policy di negazione con Policy Simulator
- Testa le modifiche alla policy dell'organizzazione con Policy Simulator
- Testa le modifiche dei ruoli con Policy Simulator
Prima di iniziare
-
Abilita le API Cloud Asset Inventory, Identity and Access Management, Policy Analyzer e Policy Simulator.
Ruoli richiesti per abilitare le API
Per abilitare le API, devi disporre del ruolo IAM Amministratore Service Usage (
roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazioneserviceusage.services.enable. Scopri come concedere i ruoli. - (Facoltativo) Scopri come funziona Policy Simulator per le policy di Principal Access Boundary.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per testare le modifiche alle policy e alle associazioni di Principal Access Boundary, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:
- Visualizzatore operazioni IAM (
roles/iam.operationViewer) - Amministratore pool di forza lavoro IAM (
roles/iam.workforcePoolAdmin) - Amministratore pool di identità del workload IAM (
roles/iam.workloadIdentityPoolAdmin) - Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin) - Amministratore policy di Principal Access Boundary (
roles/iam.principalAccessBoundaryAdmin) - Amministratore IAM pool di spazi di lavoro (
roles/iam.workspacePoolAdmin)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Avvia una simulazione
Le sezioni seguenti descrivono i modi in cui puoi avviare una simulazione per una modifica a una policy o un'associazione di Principal Access Boundary.
Simula una nuova associazione per una policy di Principal Access Boundary
Segui i passaggi per creare un'associazione di policy, ma non fare clic su Aggiungi dopo aver inserito i dettagli dell'associazione. Fai invece clic su Testa modifiche.
Simula una modifica a una policy di Principal Access Boundary esistente
Segui i passaggi per modificare una policy di Principal Access Boundary, ma non fare clic su Salva dopo aver modificato la policy. Fai invece clic su Testa modifiche.
Simula una modifica a un'associazione esistente per una policy di Principal Access Boundary
Segui i passaggi per modificare un'associazione di policy, ma non fare clic su Salva dopo aver modificato l'associazione. Fai invece clic su Testa modifiche.
Simula l'eliminazione delle regole di Principal Access Boundary
Nella Google Cloud console, vai alla pagina Policy di Principal Access Boundary policies.
Seleziona l'organizzazione proprietaria della policy di Principal Access Boundary di cui vuoi eliminare le regole.
Fai clic sull'ID della policy di Principal Access Boundary di cui vuoi eliminare la regola.
Nella tabella Regole del limite, seleziona le regole che vuoi eliminare, quindi fai clic su Testa regole di eliminazione.
Simula l'eliminazione di una policy di Principal Access Boundary
Nella Google Cloud console, vai alla pagina Policy di Principal Access Boundary policies.
Seleziona l'organizzazione proprietaria della policy di Principal Access Boundary di cui vuoi eliminare l'associazione.
Trova l'ID della policy che vuoi eliminare. Nella riga della policy, fai clic su Azioni, quindi fai clic su Testa eliminazione policy.
Simula l'eliminazione di un'associazione per una policy di Principal Access Boundary
Nella Google Cloud console, vai alla pagina Policy di Principal Access Boundary policies.
Seleziona l'organizzazione proprietaria della policy di Principal Access Boundary di cui vuoi eliminare l'associazione.
Fai clic sull'ID della policy di Principal Access Boundary di cui vuoi eliminare le associazioni.
Fai clic sulla scheda Associazioni.
Trova l'ID dell'associazione che vuoi eliminare. Nella riga dell'associazione, fai clic su Azioni, quindi su Testa eliminazione associazione.
Comprendi i risultati della simulazione
La pagina dei risultati per una simulazione di policy o associazione di Principal Access Boundary contiene le seguenti informazioni:
Una sezione Accesso revocato, che contiene le seguenti informazioni:
- Il numero di entità che perderebbero l'accesso se applicassi la policy o l'associazione di Principal Access Boundary simulata
- Il numero di risorse note a cui le entità perderebbero l'accesso se applicassi la policy o l'associazione di Principal Access Boundary simulata
Una sezione Accesso ottenuto, che contiene le seguenti informazioni:
- Il numero di entità che otterrebbero l'accesso se applicassi la policy o l'associazione di Principal Access Boundary simulata
- Il numero di risorse note a cui le entità otterrebbero l'accesso se applicassi la policy o l'associazione di Principal Access Boundary simulata
Una tabella delle modifiche all'accesso, che mostra l'impatto della policy o dell'associazione simulata. Per scoprire come interpretare queste modifiche all'accesso, consulta Risultati di Policy Simulator.
Passa all'azione in base a una simulazione
Dopo aver esaminato un report di simulazione, puoi svolgere le seguenti azioni:
Esporta i risultati della simulazione: per esportare i risultati di una simulazione come file CSV, fai clic su Esporta risultati non elaborati.
Quando fai clic su questo pulsante, sul computer viene scaricato un file CSV con i report di simulazione.
Applica la modifica della policy simulata: il pulsante su cui fai clic per applicare una modifica della policy simulata dipende dal tipo di modifica che stai simulando.
- Simula una policy o una regola di Principal Access Boundary modificata oppure una regola eliminata regola: fai clic su Imposta policy.
- Simula una nuova associazione o un'associazione modificata per una policy di Principal Access Boundary: fai clic su Imposta associazione.
- Simula l'eliminazione di una policy di Principal Access Boundary: fai clic su Elimina policy.
- Simula l'eliminazione di un'associazione per una policy di Principal Access Boundary: fai clic su Elimina associazione.
Quando fai clic su questo pulsante, la Google Cloud console imposta la policy o l'associazione simulata.
Modifica la modifica simulata alla policy o all'associazione: per apportare ulteriori modifiche alla policy o all'associazione di policy simulata, fai clic su Indietro o Torna alla modifica.
Quando fai clic su questo pulsante, la Google Cloud console ti reindirizza all' editor di policy o di associazione di policy.
Passaggi successivi
- Testa le modifiche alla policy dell'organizzazione con Policy Simulator
- Testa le modifiche dei ruoli con Policy Simulator