Diese Seite wurde von der Cloud Translation API übersetzt.

Policy Simulator für Ablehnungsrichtlinien

Mit dem Policy Simulator für Ablehnungsrichtlinien können Sie sehen, wie sich eine Änderung an einer IAM-Ablehnungsrichtlinie auf den Zugriff eines Hauptkontos auswirken kann, bevor Sie die Änderung vornehmen. Mit dem Richtliniensimulator können Sie dafür sorgen, dass Änderungen nicht dazu führen, dass ein Hauptkonto den erforderlichen Zugriff verliert.

Mit diesem Feature werden nur Ablehnungsrichtlinien ausgewertet. Informationen zum Simulieren anderer Richtlinientypen finden Sie hier:

Funktionsweise des Policy Simulators für Ablehnungsrichtlinien

Mit dem Policy Simulator für Ablehnungsrichtlinien können Sie ermitteln, ob eine Änderung an einer Ablehnungsrichtlinie den Zugriff blockiert, den Ihre Hauptkonten verwenden.

Wenn Sie eine Simulation für eine Ablehnungsrichtlinie ausführen, führt der Policy Simulator folgende Schritte aus:

Ruft Zugriffslogs für die Organisation ab, die während des Wiedergabezeitraums generiert wurden. Der Zeitraum für die Wiedergabe beträgt 90 Tage.

Wenn die Organisation seit weniger als 90 Tagen besteht, ruft der Policy Simulator alle Zugriffslogs seit der Erstellung der Organisation ab.
Bestimmt, welche Zugriffslogs für die Simulation relevant sind. Relevante Zugriffslogs sind alle Zugriffslogs, die den letzten Versuch eines Hauptkontos darstellen, mit einer Berechtigung auf eine Ressource zuzugreifen.
Für jedes relevante Zugriffslog wird ermittelt, ob die aktuellen Ablehnungsrichtlinien zusammen mit den vorgeschlagenen Änderungen den versuchten Zugriff zulassen würden. Dieser Vorgang wird als Wiederholung der Zugriffsversuche bezeichnet.
Für jedes Zugriffslog wird der Zugriffsstatus aus der Wiedergabe mit dem Zugriffsstatus in den Zugriffslogs verglichen. Anschließend meldet der Policy Simulator alle bisherigen Zugriffsversuche, die im Zugriffslog nicht blockiert wurden, aber bei der Wiederholung blockiert wurden. Diese Unterschiede, die als Zugriffsänderungen bezeichnet werden, zeigen, welche Zugriffsversuche blockiert worden wären, wenn die simulierte Ablehnungsrichtlinie zum Zeitpunkt des Versuchs gültig gewesen wäre.

Hinweis: Der Zugriffsstatus in einem Zugriffslog spiegelt möglicherweise nicht den aktuellen Zugriffsstatus wider. In diesen Fällen vergleicht Policy Simulator die Ergebnisse der Wiederholung immer mit dem Ergebnis aus dem Zugriffslog und nicht mit dem aktuellen Zugriffszustand.

Wiederholungszeitraum

Der Wiederholungszeitraum ist der Zeitraum, für den der Policy Simulator Zugriffslogs abruft, wenn er eine Simulation ausführt. Zugriffslogs, die vor dem ersten oder nach dem letzten Tag des Wiedergabezeitraums erfolgen, werden nicht in die Simulation einbezogen.

In der Regel ist der letzte Tag des Replay-Zeitraums ein Tag vor der Simulation. In einigen Fällen kann der letzte Tag des Replay-Zeitraums jedoch bis zu 10 Tage vor der Simulation liegen. Zugriffslogs, die nach dem letzten Tag des Replay-Zeitraums erfolgen, werden nicht in die Simulation einbezogen.

Der Zeitraum für die Wiedergabe beträgt 90 Tage. Wenn die Organisation seit weniger als 90 Tagen besteht, ruft der Policy Simulator alle Zugriffsversuche seit der Erstellung der Organisation ab.

Das Replay-Fenster unterliegt ebenfalls der Eventual Consistency. Das bedeutet, dass einige Daten aktueller sein können als andere. Letztendlich haben jedoch alle Daten dieselbe Aktualität.

Ergebnisse des Policy Simulator

Der Policy Simulator meldet die Auswirkungen einer vorgeschlagenen Änderung an einer Ablehnungsrichtlinie als Liste von Zugriffsänderungen. Bei Ablehnungsrichtlinien meldet der Policy Simulator nur die Zugriffsänderung Zugriff widerrufen.

Policy Simulator meldet, dass der Zugriff entzogen wird, wenn Folgendes zutrifft:

Der letzte Versuch des Hauptkontos, auf die Ressource zuzugreifen, war erfolgreich.
Die aktuellen Ablehnungsrichtlinien blockieren zusammen mit den vorgeschlagenen Änderungen den Zugriff des Hauptkontos auf die Ressource.

Für jede Zugriffsänderung werden Policy Simulator auch die folgenden Informationen angezeigt:

Das Hauptkonto, die Ressource und die Berechtigung, die für den Zugriffsversuch gültig waren.
Die Anzahl der Tage im Replay-Zeitraum, an denen das Hauptkonto versucht hat, mit der Berechtigung auf die Ressource zuzugreifen. Diese Summe umfasst nur die Zugriffsversuche, die dasselbe Ergebnis wie der letzte Zugriffsversuch haben.
Das Datum des letzten Zugriffsversuchs.

Fehler

Die folgenden Fehler können dazu führen, dass eine Simulation fehlschlägt:

Maximale Anzahl gleichzeitiger Simulationen überschritten: Der Nutzer hat bereits 10 laufende Simulationen. Das ist die maximale Anzahl laufender Simulationen, die ein Nutzer haben kann. Warten Sie, bis eine der laufenden Simulationen abgeschlossen ist, und versuchen Sie dann noch einmal, die Simulation auszuführen.
Zeitüberschreitung: Die Ausführung der Simulation hat zu lange gedauert und es kam zu einer Zeitüberschreitung. Um das Problem zu beheben, führen Sie die Simulation noch einmal aus.
Ungültige Simulationskonstruktion: Die vorgeschlagene Ablehnungsrichtlinie ist ungültig. Die vorgeschlagene Richtlinie hat beispielsweise einen ungültigen Bedingungsausdruck. Um das Problem zu beheben, korrigieren Sie die Richtlinie und versuchen Sie es noch einmal.
Zugriff verweigert: Sie sind nicht berechtigt, eine Simulation auszuführen. Prüfen Sie, ob Ihnen die erforderlichen Rollen zugewiesen sind, und versuchen Sie es noch einmal.

Unterstützte Hauptkontotypen

Im Policy Simulator für Ablehnungsrichtlinien werden nur Zugriffslogs für die folgenden Arten von Hauptkonten geprüft:

Google Workspace-Konten
Dienstkonten

Beim Simulieren von Ablehnungsrichtlinien werden von Policy Simulator keine Zugriffslogs für andere Hauptkontotypen überprüft. Daher wird nicht gemeldet, ob sich die vorgeschlagenen Änderungen an Ihren Richtlinien oder Bindungen auf den Zugriff dieser Hauptkonten auswirken.

Nächste Schritte

Änderungen an einer Ablehnungsrichtlinie simulieren
Weitere Informationen zu Policy Intelligence-Tools.