Nesta página, descrevemos como simular uma mudança em uma política ou vinculação de limite de acesso de principal (PAB, na sigla em inglês) usando o Simulador de política. Ela também explica como interpretar os resultados da simulação e como aplicar a política ou vinculação de limite de acesso de principal simulada, se você quiser.
Esse recurso avalia o acesso apenas com base nas políticas de limite de acesso de principal.
Para saber como simular mudanças em outros tipos de política, consulte o seguinte:
- Testar mudanças na política de negação com o Simulador de política
- Testar mudanças na política da organização com o Simulador de política
- Testar mudanças de papéis com o Simulador de política
Antes de começar
-
Ative as APIs Inventário de recursos do Cloud, Identity and Access Management, Análise de políticas e Simulador de política.
Funções necessárias para ativar APIs
Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (
roles/serviceusage.serviceUsageAdmin), que contém a permissãoserviceusage.services.enable. Saiba como conceder papéis. - Opcional: saiba como o Simulador de política para políticas de limite de acesso de principal funciona.
Funções exigidas
Para ter as permissões que você precisa para testar mudanças nas políticas e vinculações de limite de acesso de principal, peça ao administrador para conceder a você os seguintes papéis do IAM na organização:
- Leitor de operações do IAM (
roles/iam.operationViewer) - Administrador de pool de força de trabalho do IAM (
roles/iam.workforcePoolAdmin) - Administrador de pool de Identidade da carga de trabalho do IAM (
roles/iam.workloadIdentityPoolAdmin) - Administrador da organização (
roles/resourcemanager.organizationAdmin) - Administrador de políticas de limite de acesso de principal (
roles/iam.principalAccessBoundaryAdmin) - Administrador de IAM do pool do espaço de trabalho (
roles/iam.workspacePoolAdmin)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.
Iniciar uma simulação
As seções a seguir descrevem as maneiras de iniciar uma simulação para uma mudança em uma política ou vinculação de limite de acesso de principal.
Simular uma nova vinculação para uma política de limite de acesso de principal
Siga as etapas para criar uma vinculação de política, mas não clique em Adicionar depois de inserir os detalhes da vinculação. Em vez disso, clique em Testar mudanças.
Simular uma edição em uma política de limite de acesso de principal
Siga as etapas para editar uma política de limite de acesso de principal, mas não clique em Salvar depois de editar a política. Em vez disso, clique em Testar mudanças.
Simular uma edição em uma vinculação para uma política de limite de acesso de principal
Siga as etapas para editar uma vinculação de política, mas não clique em Salvar depois de editar a vinculação. Em vez disso, clique em Testar mudanças.
Simular a exclusão de regras de limite de acesso de principal
No Google Cloud console do Google Cloud, acesse a página Políticas de limite de acesso de principal.
Selecione a organização que tem a política de limite de acesso de principal com as regras que você quer excluir.
Clique no ID da política de limite de acesso de principal com a regra que você quer excluir.
Na tabela Regras de limite , selecione as regras que você quer excluir e clique em Testar regras de exclusão.
Simular a exclusão de uma política de limite de acesso de principal
No Google Cloud console do Google Cloud, acesse a página Políticas de limite de acesso de principal.
Selecione a organização que é proprietária da política de limite de acesso de principal cuja vinculação você quer excluir.
Encontre o ID da política que você quer excluir. Na linha da política, clique em Ações e, em seguida, clique em Testar exclusão de política.
Simular a exclusão de uma vinculação para uma política de limite de acesso de principal
No Google Cloud console do Google Cloud, acesse a página Políticas de limite de acesso de principal.
Selecione a organização que é proprietária da política de limite de acesso de principal cuja vinculação você quer excluir.
Clique no ID da política de limite de acesso de principal com as vinculações que você quer excluir.
Clique na guia Vinculações.
Encontre o ID da vinculação que você quer excluir. Na linha da vinculação, clique em Ações e, em seguida, clique em Testar exclusão de vinculação.
Entender os resultados da simulação
A página de resultados de uma política de limite de acesso de principal ou simulação de vinculação contém as seguintes informações:
Uma seção Acesso revogado, que contém as seguintes informações:
- O número de principais que perderiam o acesso se você aplicasse a política ou vinculação de limite de acesso de principal simulada
- O número de recursos conhecidos que os principais perderiam o acesso se você aplicasse a política ou vinculação de limite de acesso de principal simulada
Uma seção Acesso concedido, que contém as seguintes informações:
- O número de principais que ganhariam acesso se você aplicasse a política ou vinculação de limite de acesso de principal simulada
- O número de recursos conhecidos que os principais ganhariam acesso se você aplicasse a política ou vinculação de limite de acesso de principal simulada
Uma tabela das mudanças de acesso, que mostra o impacto da política ou vinculação simulada. Para saber como interpretar essas mudanças de acesso, consulte Resultados do Simulador de política.
Entre em ação com base em uma simulação
Depois de analisar um relatório de simulação, você pode realizar as seguintes ações:
Exportar os resultados da simulação: para exportar os resultados de uma simulação como um arquivo CSV, clique em Exportar resultados brutos.
Quando você clica nesse botão, um arquivo CSV com os relatórios de simulação é baixado para o computador.
Aplicar a mudança de política simulada: o botão em que você clica para aplicar uma mudança de política simulada depende do tipo de mudança que você está simulando.
- Simular uma política ou regra de limite de acesso de principal editada ou uma regra excluída rule: clique em Definir política.
- Simular uma vinculação nova ou editada para uma política de limite de acesso de principal: clique em Definir vinculação.
- Simular uma política de limite de acesso de principal excluída: clique em Excluir política.
- Simular uma vinculação excluída para uma política de limite de acesso de principal: clique em Excluir vinculação.
Quando você clica nesse botão, o Google Cloud console define a política ou vinculação simulada.
Editar a mudança simulada na política ou vinculação: para fazer mais mudanças na política ou vinculação de política simulada, clique em Voltar ou Voltar à edição.
Quando você clica nesse botão, o Google Cloud console do Google Cloud redireciona você para o editor de políticas ou vinculações de políticas.
A seguir
- Testar mudanças na política da organização com o Simulador de política
- Testar mudanças de papéis com o Simulador de política