このページでは、Policy Simulator を使用してプリンシパル アクセス境界(PAB)ポリシーまたはバインディングの変更をシミュレートする方法について説明します。また、シミュレーションの結果を解釈する方法と、シミュレートしたプリンシパル アクセス境界ポリシーまたはバインディングを適用する方法(そのように選択した場合)についても説明します。
この機能は、プリンシパル アクセス境界ポリシーに基づいてアクセスを評価するだけです。
他のポリシー タイプの変更をシミュレートする方法については、以下をご覧ください。
始める前に
-
Cloud Asset Inventory、Identity and Access Management、Policy Analyzer、Policy Simulator の各 API を有効にします。
API を有効にするために必要なロール
API を有効にするには、
serviceusage.services.enable権限を含む Service Usage 管理者 IAM ロール(roles/serviceusage.serviceUsageAdmin)が必要です。ロールを付与する方法を確認する。 - 省略可: プリンシパル アクセス境界ポリシーの Policy Simulator の仕組みをご覧ください。
必要なロール
プリンシパル アクセス境界ポリシーとバインディングの変更をテストするために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。
-
IAM オペレーション閲覧者 (
roles/iam.operationViewer) -
IAM Workforce プール管理者 (
roles/iam.workforcePoolAdmin) -
IAM Workload Identity プール管理者 (
roles/iam.workloadIdentityPoolAdmin) -
組織管理者(
roles/resourcemanager.organizationAdmin) -
プリンシパル アクセス境界ポリシー管理者 (
roles/iam.principalAccessBoundaryAdmin) -
Workspace プール IAM 管理者 (
roles/iam.workspacePoolAdmin)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
シミュレーションを開始する
以降のセクションでは、プリンシパル アクセス境界ポリシーまたはバインディングの変更のシミュレーションを開始する方法について説明します。
プリンシパル アクセス境界ポリシーの新しいバインディングをシミュレートする
ポリシー バインディングを作成する手順に沿って操作しますが、バインディングの詳細を入力した後、[追加] はクリックしないでください。代わりに、[変更をテスト] をクリックします。
既存のプリンシパル アクセス境界ポリシーの編集をシミュレートする
プリンシパル アクセス境界ポリシーを編集する手順に沿って操作しますが、ポリシーの編集後に [保存] をクリックしないでください。代わりに、[変更をテスト] をクリックします。
プリンシパル アクセス境界ポリシーの既存のバインディングの編集をシミュレートする
ポリシー バインディングを編集するの手順に沿って操作しますが、バインディングの編集後に [保存] をクリックしないでください。代わりに、[変更をテスト] をクリックします。
プリンシパル アクセス境界ルールの削除をシミュレートする
Google Cloud コンソールで、[プリンシパル アクセス境界ポリシー] ページに移動します。
ルールを削除するプリンシパル アクセス境界ポリシーの組織を選択します。
ルールを削除するプリンシパル アクセス境界ポリシーのポリシー ID をクリックします。
[境界ルール] テーブルで、削除するルールを選択し、 [テスト削除ルール] をクリックします。
プリンシパル アクセス境界ポリシーの削除をシミュレートする
Google Cloud コンソールで、[プリンシパル アクセス境界ポリシー] ページに移動します。
バインディングを削除するプリンシパル アクセス境界ポリシーの組織を選択します。
削除するポリシーの ID を見つけます。そのポリシーの行で、(アクション)をクリックし、[ポリシーの削除をテスト] をクリックします。
プリンシパル アクセス境界ポリシーのバインディングの削除をシミュレートする
Google Cloud コンソールで、[プリンシパル アクセス境界ポリシー] ページに移動します。
バインディングを削除するプリンシパル アクセス境界ポリシーの組織を選択します。
バインディングを削除するプリンシパル アクセス境界ポリシーのポリシー ID をクリックします。
[バインディング] タブをクリックします。
削除するバインディングの ID を見つけます。そのバインディングの行で、(アクション)をクリックし、[バインディングの削除をテスト] をクリックします。
シミュレーション結果を理解する
プリンシパル アクセス境界ポリシーまたはバインディングのシミュレーションの結果ページには、次の情報が表示されます。
[Access revoked](アクセス権の取り消し)セクション。次の情報が含まれます。
- シミュレートされたプリンシパル アクセス境界ポリシーまたはバインディングを適用した場合にアクセス権を失うプリンシパルの数
- シミュレートされたプリンシパル アクセス境界ポリシーまたはバインディングを適用した場合に、プリンシパルがアクセスできなくなる既知のリソースの数
[Access gained](アクセス権が付与された)セクション。次の情報が含まれます。
- シミュレートされたプリンシパル アクセス境界ポリシーまたはバインディングを適用した場合にアクセス権が付与されるプリンシパルの数
- シミュレートされたプリンシパル アクセス境界ポリシーまたはバインディングを適用した場合に、プリンシパルがアクセスできるようになる既知のリソースの数
アクセス権の変更の表。シミュレートされたポリシーまたはバインディングの影響を示します。これらのアクセス権の変更を解釈する方法については、Policy Simulator の結果をご覧ください。
シミュレーションに基づいて対応する
シミュレーション レポートを確認したら、次の操作を行うことができます。
シミュレーション結果をエクスポートする: シミュレーションの結果を CSV ファイルとしてエクスポートするには、[未加工の結果をエクスポート] をクリックします。
このボタンをクリックすると、シミュレーション レポートを含む CSV ファイルがパソコンにダウンロードされます。
シミュレートされたポリシーの変更を適用する: シミュレートされたポリシーの変更を適用するためにクリックするボタンは、シミュレートする変更のタイプによって異なります。
- 編集されたプリンシパル アクセス境界ポリシーまたはルール、または削除されたルールをシミュレートする: [ポリシーを設定] をクリックします。
- プリンシパル アクセス境界ポリシーの新しいバインディングまたは編集されたバインディングをシミュレートする: [バインディングを設定] をクリックします。
- 削除されたプリンシパル アクセス境界ポリシーのシミュレーション: [ポリシーを削除] をクリックします。
- プリンシパル アクセス境界ポリシーの削除されたバインディングをシミュレートする: [バインディングを削除] をクリックします。
このボタンをクリックすると、 Google Cloud コンソールでシミュレートされたポリシーまたはバインディングが設定されます。
シミュレートされたポリシーまたはバインディングの変更を編集する: シミュレートされたポリシーまたはポリシー バインディングをさらに変更するには、[戻る] または [編集に戻る] をクリックします。
このボタンをクリックすると、 Google Cloud コンソールでポリシーまたはポリシー バインディング エディタにリダイレクトされます。