Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

בדיקת שינויים במדיניות לקביעת גבול הגישה לחשבונות משתמשים באמצעות סימולטור המדיניות

בדף הזה מוסבר איך לדמות שינוי במדיניות של גבולות גישה לחשבון ראשי (PAB) או בקישור באמצעות סימולטור המדיניות. בנוסף, מוסבר איך לפרש את תוצאות הסימולציה ואיך להחיל את המדיניות או את הקישור של גבול הגישה לחשבון המשתמש שנוצר בסימולציה, אם רוצים.

התכונה הזו מעריכה את הגישה רק על סמך מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB).

כדי ללמוד איך לדמות שינויים בסוגי מדיניות אחרים, אפשר לעיין במאמרים הבאים:

לפני שמתחילים

מפעילים את ממשקי מאגר משאבי ענן API,‏ Identity and Access Management API,‏ כלי הניתוח למדיניות API ו-Policy Simulator API.
תפקידים שנדרשים להפעלת ממשקי API
כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים
הפעלת ממשקי ה-API
אופציונלי: איך סימולטור המדיניות עובד עם מדיניות לקביעת גבול הגישה לחשבונות משתמשים

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לבדיקת שינויים במדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) ובקישורי תפקידים, אתם צריכים לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:

צפייה בפעולות IAM (roles/iam.operationViewer)
אדמין במאגר זהויות של כוח עבודה ב-IAM (roles/iam.workforcePoolAdmin)
אדמין של מאגר זהויות של עומסי עבודה ב-IAM (roles/iam.workloadIdentityPoolAdmin)
אדמין ארגוני (roles/resourcemanager.organizationAdmin)
אדמין במדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) (roles/iam.principalAccessBoundaryAdmin)
אדמין IAM במאגר Workspace (roles/iam.workspacePoolAdmin)

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

התחלת סימולציה

בקטעים הבאים מתוארות הדרכים שבהן אפשר להתחיל סימולציה של שינוי במדיניות או בקשירת גבול הגישה לחשבונות משתמשים.

סימולציה של קישור חדש למדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

פועלים לפי השלבים ליצירת קשר מדיניות, אבל לא לוחצים על הוספה אחרי שמזינים את פרטי הקשר. במקום זאת, לוחצים על בדיקת שינויים.

סימולציה של עריכה במדיניות קיימת לקביעת גבול הגישה לחשבונות משתמשים

פועלים לפי השלבים לעריכת מדיניות לקביעת גבול הגישה לחשבונות משתמשים, אבל לא לוחצים על שמירה אחרי עריכת המדיניות. במקום זאת, לוחצים על בדיקת שינויים.

סימולציה של עריכה בקישור קיים למדיניות לקביעת גבול הגישה לחשבונות משתמשים

פועלים לפי השלבים לעריכת שיוך מדיניות, אבל לא לוחצים על שמירה אחרי עריכת השיוך. במקום זאת, לוחצים על בדיקת שינויים.

הדמיה של מחיקת כללים לבקרת גישה לישויות מורשות (PAB)

נכנסים לדף Principal Access Boundary policies במסוף Google Cloud .

מעבר למדיניות של גבולות הגישה של ישויות מרכזיות
בוחרים את הארגון שבבעלותו המדיניות בנושא גבולות גישה של חשבונות ראשיים, שרוצים למחוק את הכללים שלה.
לוחצים על מזהה המדיניות של המדיניות לקביעת גבול הגישה לחשבונות משתמשים שרוצים למחוק את הכלל שלה.
בטבלה כללי הגבולות, בוחרים את הכללים שרוצים למחוק ולוחצים על בדיקה של מחיקת כללים.

סימולציה של מחיקת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

נכנסים לדף Principal Access Boundary policies במסוף Google Cloud .

מעבר למדיניות של גבולות הגישה של ישויות מרכזיות
בוחרים את הארגון שבבעלותו מדיניות הגבלת הגישה של חשבון המשתמש שרוצים למחוק את הקישור שלה.
מאתרים את המדיניות שרוצים למחוק. בשורה של המדיניות, לוחצים על פעולות ואז על בדיקת מחיקת מדיניות.

סימולציה של מחיקת קישור למדיניות לקביעת גבול הגישה לחשבונות משתמשים

נכנסים לדף Principal Access Boundary policies במסוף Google Cloud .

מעבר למדיניות של גבולות הגישה של ישויות מרכזיות
בוחרים את הארגון שבבעלותו מדיניות הגבלת הגישה של חשבון המשתמש שרוצים למחוק את הקישור שלה.
לוחצים על מזהה המדיניות של המדיניות לקביעת גבול הגישה לחשבונות משתמשים שרוצים למחוק את הקישורים שלה.
לוחצים על הכרטיסייה Bindings (קישורים).
מאתרים את המזהה של הקישור שרוצים למחוק. בשורה של הקישור, לוחצים על פעולות ואז על בדיקת מחיקת הקישור.

הסבר על תוצאות הסימולציה

דף התוצאות של סימולציה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) או של קשירת מדיניות מכיל את המידע הבא:

קטע Access revoked (הגישה בוטלה), שכולל את הפרטים הבאים:
- מספר החשבונות הראשיים שיאבדו את הגישה אם תפעילו את המדיניות או את הקישור המדומים לקביעת גבול הגישה לחשבונות משתמשים
- מספר המשאבים הידועים שחשבונות המשתמשים יאבדו את הגישה אליהם אם תפעילו את המדיניות או את הקישור המדומים לקביעת גבול הגישה לחשבונות משתמשים
קטע הגישה הוענקה, שכולל את הפרטים הבאים:
- מספר חשבונות המשתמשים שיקבלו גישה אם תפעילו את המדיניות או את הקישור המדומים לקביעת גבול הגישה לחשבונות משתמשים
- מספר המשאבים הידועים שלחשבונות המשתמשים תהיה גישה אליהם אם תפעילו את המדיניות או את הקישור המדומים לקביעת גבול הגישה לחשבונות משתמשים
טבלה של שינויי הגישה, שבה מוצגת ההשפעה של המדיניות או הקישור המדומים. כאן אפשר לקרוא על תוצאות סימולטור המדיניות.

יוצרים קמפיינים על סמך סימולציה

אחרי שבודקים את דוח הסימולציה, אפשר לבצע את הפעולות הבאות:

ייצוא תוצאות הסימולציה: כדי לייצא את תוצאות הסימולציה כקובץ CSV, לוחצים על ייצוא תוצאות גולמיות.

כשלוחצים על הלחצן הזה, קובץ CSV עם דוחות הסימולציה יורד למחשב.
החלת השינוי המדומה במדיניות: הלחצן שעליו לוחצים כדי להחיל שינוי מדומה במדיניות תלוי בסוג השינוי שמדמים.
- הדמיה של מדיניות או כלל שערכתם לגבי גבול הגישה לחשבונות משתמשים, או של כלל שמחקתם: לוחצים על הגדרת מדיניות.
- הדמיה של קשירה חדשה או ערוכה למדיניות לקביעת גבול הגישה לחשבונות משתמשים: לוחצים על הגדרת קשירה.
- הדמיה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים שנמחקה: לוחצים על מחיקת המדיניות.
- הדמיה של קישור שנמחק במדיניות לקביעת גבול הגישה לחשבונות משתמשים: לוחצים על מחיקת קישור.
כשלוחצים על הלחצן הזה, Google Cloud המסוף מגדיר את המדיניות או הקישור המדומים.
עריכת השינוי המדומה במדיניות או בקישור: כדי לבצע שינויים נוספים במדיניות המדומה או בקישור המדיניות, לוחצים על הקודם או על חזרה לעריכה.

כשלוחצים על הלחצן הזה, Google Cloud מסוף Google Cloud מפנה אתכם לעורך של המדיניות או של הקישור למדיניות.

בדיקת שינויים במדיניות לקביעת גבול הגישה לחשבונות משתמשים באמצעות סימולטור המדיניות קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.