Cette page explique comment simuler une modification d'une stratégie ou d'une liaison de limite d'accès des comptes principaux (PAB) à l'aide de Policy Simulator. Elle explique également comment interpréter les résultats de la simulation et comment appliquer la stratégie ou la liaison de limite d'accès des comptes principaux simulée si vous le souhaitez.
Cette fonctionnalité n'évalue l'accès que sur la base des stratégies de limite d'accès des comptes principaux.
Pour savoir comment simuler des modifications d'autres types de stratégies, consultez les pages suivantes :
- Tester les modifications apportées aux stratégies de refus avec Policy Simulator
- Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator
- Tester les modifications de rôle avec Policy Simulator
Avant de commencer
-
Activez les API inventaire des éléments cloud, Identity and Access Management, Policy Analyzer et Policy Simulator.
Rôles requis pour activer les API
Pour activer les API, vous avez besoin du rôle IAM Administrateur d'utilisation du service (
roles/serviceusage.serviceUsageAdmin), qui contient l'autorisationserviceusage.services.enable. Découvrez comment attribuer des rôles. - (Facultatif) Découvrez le fonctionnement de Policy Simulator pour les stratégies de limite d'accès des comptes principaux.
Rôles requis
Pour obtenir les autorisations nécessaires pour tester les modifications apportées aux stratégies et liaisons de limite d'accès des comptes principaux, demandez à votre administrateur de vous accorder les rôles IAM suivants dans l'organisation :
- Lecteur des opérations IAM (
roles/iam.operationViewer) - Administrateur IAM de pool d'employés (
roles/iam.workforcePoolAdmin) - Administrateur IAM de pool d'identités de charge de travail (
roles/iam.workloadIdentityPoolAdmin) - Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin) - Administrateur des stratégies de limite d'accès des principaux (
roles/iam.principalAccessBoundaryAdmin) - Administrateur IAM de pool Workspace (
roles/iam.workspacePoolAdmin)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Lancer une simulation
Les sections suivantes décrivent les différentes manières de lancer une simulation pour une modification d'une stratégie ou d'une liaison de limite d'accès des comptes principaux.
Simuler une nouvelle liaison pour une stratégie de limite d'accès des comptes principaux
Suivez les étapes pour créer une liaison de stratégie, mais ne cliquez pas sur Ajouter après avoir saisi les détails de la liaison. Cliquez plutôt sur Tester les modifications.
Simuler une modification d'une stratégie de limite d'accès des comptes principaux existante
Suivez les étapes pour modifier une stratégie de limite d'accès des comptes principaux, mais ne cliquez pas sur Enregistrer après avoir modifié la stratégie. Cliquez plutôt sur Tester les modifications.
Simuler une modification d'une liaison existante pour une stratégie de limite d'accès des comptes principaux
Suivez les étapes pour modifier une liaison de stratégie, mais ne cliquez pas sur Enregistrer après avoir modifié la liaison. Cliquez plutôt sur Tester les modifications.
Simuler la suppression de règles de limite d'accès des comptes principaux
Dans la Google Cloud console, accédez à la page Stratégies de limite d'accès des principaux.
Accéder aux stratégies de limite d'accès des comptes principaux
Sélectionnez l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer les règles.
Cliquez sur l'ID de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer la règle.
Dans le tableau Règles de limite, sélectionnez les règles que vous souhaitez supprimer, puis cliquez sur Tester les règles de suppression.
Simuler la suppression d'une stratégie de limite d'accès des comptes principaux
Dans la Google Cloud console, accédez à la page Stratégies de limite d'accès des principaux.
Accéder aux stratégies de limite d'accès des comptes principaux
Sélectionnez l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer la liaison.
Recherchez l'ID de la stratégie que vous souhaitez supprimer. Dans la ligne de cette stratégie, cliquez sur Actions, puis cliquez sur Tester la suppression de la stratégie.
Simuler la suppression d'une liaison pour une stratégie de limite d'accès des comptes principaux
Dans la Google Cloud console, accédez à la page Stratégies de limite d'accès des principaux.
Accéder aux stratégies de limite d'accès des comptes principaux
Sélectionnez l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer la liaison.
Cliquez sur l'ID de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer les liaisons.
Cliquez sur l'onglet Liaisons.
Recherchez l'ID de la liaison que vous souhaitez supprimer. Dans la ligne de cette liaison, cliquez sur Actions, puis cliquez sur Tester la suppression de la liaison.
Comprendre les résultats de la simulation
La page de résultats d'une simulation de stratégie ou de liaison de limite d'accès des comptes principaux contient les informations suivantes :
Une section Accès révoqué, qui contient les informations suivantes :
- Nombre de comptes principaux qui perdraient l'accès si vous appliquiez la stratégie ou la liaison de limite d'accès des comptes principaux simulée
- Nombre de ressources connues auxquelles les comptes principaux perdraient l'accès si vous appliquiez la stratégie ou la liaison de limite d'accès des comptes principaux simulée
Une section Accès obtenu, qui contient les informations suivantes :
- Nombre de comptes principaux qui obtiendraient l'accès si vous appliquiez la stratégie ou la liaison de limite d'accès des comptes principaux simulée
- Nombre de ressources connues auxquelles les comptes principaux obtiendraient l'accès si vous appliquiez la stratégie ou la liaison de limite d'accès des comptes principaux simulée
Un tableau des modifications d'accès, qui indique l'impact de la stratégie ou de la liaison simulée. Pour savoir comment interpréter ces modifications d'accès, consultez Résultats de Policy Simulator.
Passez à l'action en fonction d'une simulation
Après avoir examiné un rapport de simulation, vous pouvez effectuer les actions suivantes :
Exporter les résultats de la simulation : pour exporter les résultats d’une simulation sous forme de fichier fichier CSV, cliquez sur Exporter les résultats bruts.
Lorsque vous cliquez sur ce bouton, un fichier CSV contenant les rapports de simulation est téléchargé sur votre ordinateur.
Appliquer la modification de stratégie simulée : le bouton sur lequel vous cliquez pour appliquer une modification de stratégie simulée dépend du type de modification que vous simulez.
- Simuler une stratégie ou une règle de limite d'accès des comptes principaux modifiée, ou une règle supprimée règle : cliquez sur Définir la stratégie.
- Simuler une liaison nouvelle ou modifiée pour une stratégie de limite d'accès des comptes principaux: cliquez sur Définir la liaison.
- Simuler une stratégie de limite d'accès des comptes principaux supprimée : cliquez sur Supprimer la stratégie.
- Simuler une liaison supprimée pour une stratégie de limite d'accès des comptes principaux : cliquez sur Supprimer la liaison.
Lorsque vous cliquez sur ce bouton, la Google Cloud console définit la stratégie ou la liaison simulée.
Modifier la modification simulée de la stratégie ou de la liaison : pour apporter d'autres modifications à la stratégie ou à la liaison de stratégie simulée, cliquez sur Retour ou Retour à la modification.
Lorsque vous cliquez sur ce bouton, la Google Cloud console vous redirige vers l' éditeur de stratégie ou de liaison de stratégie.
Étape suivante
- Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator
- Tester les modifications de rôle avec Policy Simulator