Policy Simulator per i criteri di autorizzazione di Identity and Access Management ti consente di vedere in che modo una modifica a un criterio di autorizzazione potrebbe influire sull'accesso di un'entità prima di impegnarti a apportare la modifica. Puoi utilizzare Policy Simulator per assicurarti che le modifiche apportate non causino la perdita dell'accesso necessario da parte di un'entità.
Come funziona Policy Simulator
Policy Simulator ti aiuta a determinare l'impatto che una modifica a un criterio di autorizzazione potrebbe avere per i tuoi utenti. Per farlo, non confronta solo le autorizzazioni nei criteri di autorizzazione attuali e proposti. Utilizza invece i log di accesso per concentrarsi sulle modifiche alle autorizzazioni che interessano effettivamente i tuoi utenti.
Per scoprire in che modo una modifica a un criterio di autorizzazione potrebbe influire sull'accesso di un entità, Policy Simulator determina quali tentativi di accesso degli ultimi 90 giorni hanno risultati diversi in base al criterio di autorizzazione proposto e al criterio di autorizzazione corrente. Poi, genera un report con questi risultati sotto forma di elenco di modifiche dell'accesso.
Quando simuli una modifica a un criterio di autorizzazione, fornisci un criterio di autorizzazione proposto con le modifiche che vuoi testare. Questo criterio di autorizzazione proposto può essere utilizzato per qualsiasi risorsa che accetta i criteri di autorizzazione.
Quando esegui una simulazione, Policy Simulator esegue le seguenti operazioni:
Recupera i log di accesso per i tipi di risorse supportati degli ultimi 90 giorni. La posizione da cui vengono raccolti questi log dipende dalla risorsa di cui stai simulando il criterio di autorizzazione:
- Se stai simulando un criterio di autorizzazione per un progetto o un'organizzazione, Policy Simulator recupera i log di accesso per quel progetto o quell'organizzazione.
- Se stai simulando un criterio di autorizzazione per un tipo diverso di risorsa, Policy Simulator recupera i log di accesso per il progetto o l'organizzazione di primo livello della risorsa.
- Se simuli contemporaneamente i criteri di autorizzazione di più risorse, Policy Simulator recupera i log di accesso per il progetto o l'organizzazione comuni più vicini alle risorse.
Se la risorsa principale non esiste da 90 giorni, Policy Simulator recupera tutti i tentativi di accesso dalla creazione della risorsa.
Rivaluta o riesegue i tentativi di accesso registrati nei log di accesso utilizzando i criteri di autorizzazione attuali, tenendo conto di eventuali criteri di autorizzazione ereditati e di eventuali criteri di autorizzazione impostati sulle risorse discendenti.
La riproduzione dei tentativi di accesso con il criterio di autorizzazione corrente garantisce che Policy Simulator registri solo le modifiche di accesso derivanti dal criterio di autorizzazione proposto e non registri le modifiche derivanti da altre modifiche del criterio di autorizzazione apportate negli ultimi 90 giorni.
Riproduci di nuovo i tentativi di accesso utilizzando il criterio di autorizzazione proposto, tenendo conto ancora una volta di eventuali criteri di autorizzazione ereditati e di eventuali criteri di autorizzazione impostati sulle risorse discendenti.
Confronta i risultati delle due riproduzioni e segnala le differenze, che mostrano in che modo le modifiche proposte inciderebbero sull'accesso dell'entità.
Esempio: test delle modifiche ai criteri
Immagina di voler rimuovere il ruolo Visualizzatore dell'organizzazione (roles/resourcemanager.organizationViewer) di un utente. Vuoi utilizzare Policy Simulator per verificare che questa modifica non influisca sull'accesso dell'utente.
Utilizza la console Google Cloud, l'API REST o l'Google Cloud CLI per simulare la modifica del criterio di autorizzazione.
Quando avvii la simulazione, Policy Simulator esegue le seguenti operazioni:
- Recupera i log di accesso della tua organizzazione degli ultimi 90 giorni.
- Riproduci i tentativi di accesso utilizzando il criterio di autorizzazione corrente dell'organizzazione, se l'utente ha il ruolo Visualizzatore organizzazione.
- Riproduci di nuovo i tentativi di accesso utilizzando il criterio di autorizzazione proposto, in cui l'utente non dispone del ruolo Visualizzatore dell'organizzazione.
- Confronta i risultati delle due repliche e riporta le differenze tra loro.
Puoi quindi esaminare i risultati per capire in che modo la modifica proposta influisce sull'accesso dell'utente.
Esempio: ereditarietà delle norme
Immagina di voler simulare una modifica a un criterio di autorizzazione per una cartella,Engineering, in un'organizzazione con la seguente struttura:
Tieni presente che Engineering ha una risorsa principale, l'organizzazione example.com, da cui eredita i criteri di autorizzazione. Ha anche tre progetti secondari che possono avere i propri criteri di autorizzazione: example-prod, example-dev e example-test.
Fornisci un criterio di autorizzazione proposto ed esegui la simulazione. Quando avvii la simulazione, Policy Simulator esegue le seguenti operazioni:
- Recupera tutti i log pertinenti degli ultimi 90 giorni. Poiché
Engineeringè una cartella, Policy Simulator recupera i log dalla sua organizzazione principale,example.com. - Riproduce i tentativi di accesso utilizzando il criterio di autorizzazione corrente della cartella, il criterio di autorizzazione ereditato da
example.come i criteri di autorizzazione dei progetti secondari. - Riproduce di nuovo ogni tentativo di accesso utilizzando il criterio di autorizzazione proposto, il criterio di autorizzazione ereditato da
example.come i criteri di autorizzazione dei progetti secondari. - Confronta i risultati delle repliche e segnala le differenze tra le varie repliche.
Puoi quindi esaminare i risultati per capire in che modo la modifica proposta influisce sull'accesso dell'utente.
Esamina i risultati di Policy Simulator
Policy Simulator riporta l'impatto di una modifica proposta a un criterio di autorizzazione come elenco di modifiche di accesso. Una modifica dell'accesso rappresenta un tentativo di accesso negli ultimi 90 giorni che avrebbe un esito diverso in base al criterio di autorizzazione proposto rispetto a quello attuale.
Policy Simulator elenca anche gli errori che si sono verificati durante la simulazione, il che ti aiuta a identificare potenziali lacune nella simulazione.
Esistono diversi tipi di modifiche dell'accesso:
| Modifica accesso | Dettagli |
|---|---|
| Accesso revocato | L'entità aveva accesso in base al criterio di autorizzazione corrente, ma non avrà più accesso dopo la modifica proposta. |
| Accesso potenzialmente revocato |
Questo risultato può verificarsi per i seguenti motivi:
|
| Accesso ottenuto | L'entità non aveva accesso ai sensi del criterio di autorizzazione corrente, ma lo avrà dopo la modifica proposta. |
| Accesso potenzialmente ottenuto |
Questo risultato può verificarsi per i seguenti motivi:
|
| Accesso sconosciuto | L'accesso dell'entità sia nel criterio di autorizzazione corrente sia in quello proposto è sconosciuto e le modifiche proposte potrebbero influire sull'accesso dell'entità. |
| Errore | Si è verificato un errore durante la simulazione. |
Risultati sconosciuti
Se un risultato di accesso è sconosciuto, significa che Policy Simulator non ha avuto informazioni sufficienti per valutare completamente il tentativo di accesso.
Esistono diversi motivi per cui un risultato può essere sconosciuto:
- Informazioni sul ruolo negate: l'entità che esegue la simulazione non aveva l'autorizzazione per visualizzare i dettagli di uno o più ruoli simulati.
- Impossibile accedere al criterio: l'entità che esegue la simulazione non aveva l'autorizzazione per recuperare il criterio di autorizzazione per una o più risorse coinvolte nella simulazione.
- Informazioni sull'appartenenza negate: l'entità che esegue la simulazione non aveva l'autorizzazione per visualizzare i membri di uno o più gruppi inclusi nel criterio di autorizzazione simulato.
- Condizione non supportata: nel criterio di autorizzazione in fase di test è presente un'associazione di ruoli condizionale. Policy Simulator non supporta le condizioni, pertanto non è stato possibile valutare l'associazione.
Se il risultato di un accesso è sconosciuto, i risultati di Policy Simulator riportano il motivo per cui non è noto, oltre ai ruoli specifici, ai criteri di autorizzazione, alle informazioni sull'appartenenza e ai criteri condizionali a cui non è stato possibile accedere o valutare.
Errori
Policy Simulator segnala anche eventuali errori che si sono verificati durante la simulazione. È importante esaminare questi errori per comprendere le potenziali lacune nella simulazione.
Policy Simulator potrebbe segnalare diversi tipi di errori:
Errori di operazione: non è stato possibile eseguire la simulazione.
Se il messaggio di errore indica che la simulazione non è stata eseguita perché esistono troppi log nel progetto o nell'organizzazione, non puoi eseguire una simulazione sulla risorsa.
Se ricevi questo errore per un altro motivo, prova a eseguire di nuovo la simulazione. Se non riesci ancora a eseguire la simulazione, contatta policy-simulator-feedback@google.com.
Errori di riproduzione: la riproduzione di un singolo tentativo di accesso non è andata a buon fine, pertanto Policy Simulator non è stato in grado di determinare se il risultato del tentativo di accesso cambierebbe in base al criterio di autorizzazione proposto.
Errori relativi a tipi di risorse non supportati: il criterio di autorizzazione proposto influisce sulle autorizzazioni associate a un tipo di risorsa non supportato, che Policy Simulator non può simulare. Policy Simulator elenca queste autorizzazioni nei risultati della simulazione in modo che tu possa sapere quali autorizzazioni non è stato possibile simulare.
Dimensioni massime della riproduzione dei log
Il numero massimo di log di accesso che una simulazione può riprodurre è 5000. Se sono presenti più di 5000 log di accesso per il tuo progetto o la tua organizzazione negli ultimi 90 giorni, la simulazione non andrà a buon fine.
Per scoprire in che modo Policy Simulator decide quali log di accesso recuperare, consulta Come funziona Policy Simulator in questa pagina.
Livelli di assistenza per i tipi di risorse
Policy Simulator non supporta tutti i tipi di risorse nelle simulazioni. Ciò influisce sulle modifiche alle autorizzazioni che è in grado di simulare.
Tipi di risorse supportati
Policy Simulator supporta solo i seguenti tipi di risorse:
| Servizio | Tipi di risorse supportati |
|---|---|
| Cloud Storage |
|
| Pub/Sub |
|
| Cloud SQL |
|
| Spanner |
|
| Resource Manager |
|
| Compute Engine |
|
Tipi di risorse non supportati
I tipi di risorse non supportati sono i tipi di risorse per i quali Policy Simulator non può recuperare i log di accesso. Se Policy Simulator non riesce a recuperare i log di accesso per una risorsa, non può valutare in che modo la policy di autorizzazione proposta potrebbe influire su questi tentativi di accesso.
Se una modifica proposta a un criterio di autorizzazione prevede autorizzazioni per un tipo di risorsa non supportato, Policy Simulator le elenca nei risultati della simulazione in modo che tu sappia quali autorizzazioni non è stato possibile simulare.
Ad esempio, Policy Simulator non supporta i modelli di AI Platform. Pertanto, se un criterio di autorizzazione proposto rimuove un ruolo con l'autorizzazione aiplatform.models.list, i risultati della simulazione indicano che non è stato possibile simulare l'autorizzazione aiplatform.models.list.
Passaggi successivi
- Scopri come simulare una modifica a un criterio di autorizzazione.
- Esplora altri strumenti di Policy Intelligence.