El simulador de políticas de denegación te permite ver cómo puede afectar un cambio en una política de denegación de gestión de identidades y accesos al acceso de una entidad antes de confirmar el cambio. Puedes usar el simulador de políticas para asegurarte de que los cambios que vas a hacer no provoquen que un principal pierda el acceso que necesita.
Esta función solo evalúa las políticas de denegación. Para saber cómo simular otros tipos de políticas, consulta lo siguiente:
- Simulador de política para políticas de organización
- Simulador de política para políticas de permiso
- Simulador de política para políticas de límites de acceso de principales
Cómo funciona el simulador de políticas de denegación
El simulador de políticas de denegación te ayuda a determinar si un cambio en una política de denegación bloqueará el acceso que están usando tus principales.
Cuando ejecutas una simulación de una política de denegación, el Simulador de políticas hace lo siguiente:
Obtiene los registros de acceso de la organización que se generaron durante el periodo de repetición. El periodo de repetición es de 90 días.
Si la organización no tiene más de 90 días, el Simulador de políticas recupera todos los registros de acceso desde que se creó la organización.
Determina qué registros de acceso son relevantes para la simulación. Los registros de acceso relevantes son todos los registros de acceso que representan el intento más reciente de un principal de usar un permiso para acceder a un recurso.
En cada registro de acceso pertinente, determina si las políticas de denegación actuales, junto con los cambios propuestos, permitirían el acceso intentado. Este proceso se denomina reproducción de los intentos de acceso.
Compara el estado de acceso de cada registro de acceso de la reproducción con el estado de acceso de los registros de acceso. A continuación, el simulador de políticas informa de los intentos de acceso históricos que no se bloquearon en el registro de acceso, pero sí en la repetición. Estas diferencias, denominadas cambios de acceso, muestran qué intentos de acceso se habrían bloqueado si la política de denegación simulada hubiera estado vigente en el momento del intento.
Periodo de repetición
El periodo de repetición es el periodo durante el cual Simulador de políticas tiene acceso a los registros para ejecutar una simulación. Los registros de acceso que se producen antes del primer día del periodo de repetición o después del último día del periodo de repetición no se incluyen en la simulación.
Por lo general, el último día del periodo de repetición es el día anterior a la simulación. Sin embargo, en algunos casos, el último día del periodo de repetición puede ser hasta 10 días antes de la simulación. Los registros de acceso que se produzcan después del último día del periodo de repetición no se incluirán en la simulación.
El periodo de repetición es de 90 días. Si la organización no ha existido durante más de 90 días, el Simulador de políticas recupera todos los intentos de acceso desde que se creó la organización.
La ventana de repetición también es coherente con el tiempo. Esto significa que, cuando ejecutas una simulación, algunos datos pueden ser más recientes que otros. Sin embargo, al final, todos los datos tendrán la misma actualización.
Resultados del simulador de políticas
El simulador de políticas informa del impacto de un cambio propuesto en una política de denegación como una lista de cambios en el acceso. En el caso de las políticas de denegación, el único tipo de cambio de acceso que registra Simulador de políticas es el de Acceso revocado.
El simulador de políticas informa de que se revoca el acceso si se cumplen las siguientes condiciones:
- El último intento del principal para acceder al recurso se ha completado correctamente.
- Los cambios propuestos u otra política de denegación impiden que la entidad de seguridad acceda al recurso
Por cada cambio de acceso, el simulador de políticas también proporciona la siguiente información:
- La entidad principal, el recurso y el permiso implicados en el intento de acceso.
- Número de días durante el periodo de repetición en los que el principal ha intentado usar el permiso para acceder al recurso. Este total solo incluye los intentos de acceso que tienen el mismo resultado que el intento de acceso más reciente.
- Fecha del intento de acceso más reciente.
Errores
Los siguientes errores pueden provocar que falle una simulación:
- Se ha superado el número máximo de simulaciones simultáneas: el usuario ya tiene 10 simulaciones en curso, que es el número máximo de simulaciones en curso que puede tener un usuario. Para solucionarlo, espera a que finalice una de las simulaciones en curso y, a continuación, vuelve a ejecutar la simulación.
- Tiempo de espera agotado: la simulación ha tardado demasiado en ejecutarse y se ha agotado el tiempo de espera. Para solucionarlo, vuelve a ejecutar la simulación.
- Construcción de simulación no válida: la política de denegación propuesta no es válida. Por ejemplo, la política propuesta tiene una expresión de condición no válida. Para solucionarlo, corrige la política y vuelve a intentarlo.
- Permiso denegado: no tienes permiso para ejecutar una simulación. Para resolver este problema, asegúrate de que tienes los roles necesarios y vuelve a intentarlo.
Tipos de principales admitidos
El simulador de políticas de denegación solo revisa los registros de acceso de los siguientes tipos de principales:
- Cuentas de Google Workspace
- Cuentas de servicio
- Agentes de servicio
Al simular políticas de denegación, el simulador de políticas no revisa los registros de acceso de ningún otro tipo de principal, incluidos los basados en identidades federadas de un grupo de identidades de carga de trabajo. Por lo tanto, Simulador de políticas no indica si los cambios propuestos en tus políticas o enlaces afectan al acceso de esas principales.
Siguientes pasos
- Consulta cómo simular un cambio en una política de denegación.
- Consulta otras herramientas de Policy Intelligence.