Se usó la API de Cloud Translation para traducir esta página.

Policy Simulator para políticas de denegación

Policy Simulator para políticas de denegación te permite ver cómo un cambio en una política de denegación de IAM podría afectar el acceso de una principal antes de que realices el cambio. Puedes usarlo para asegurarte de que los cambios que realices no harán que una principal pierda el acceso que necesita.

Esta función solo evalúa las políticas de denegación. Para obtener información sobre cómo simular otros tipos de políticas, consulta lo siguiente:

Cómo funciona el simulador de política para políticas de denegación

Policy Simulator para políticas de denegación te ayuda a determinar si un cambio en una política de denegación bloqueará el acceso que usan tus principales.

Cuando ejecutas una simulación para una política de denegación, Policy Simulator hace lo siguiente:

Recupera los registros de acceso de la organización que se generaron durante el período de reproducción. El período de repetición es de 90 días.

Si la organización no existe desde hace más de 90 días, Policy Simulator recupera todos los registros de acceso desde que se creó la organización.
Determina qué registros de acceso son relevantes para la simulación. Los registros de acceso pertinentes son todos los registros de acceso que representan el intento más reciente de una principal por usar un permiso para acceder a un recurso.
Para cada registro de acceso pertinente, determina si las políticas de denegación actuales, junto con los cambios propuestos, permitirían el acceso intentado. Este proceso se denomina repetición de los intentos de acceso.
Para cada registro de acceso, compara el estado de acceso de la reproducción con el estado de acceso de los registros de acceso. Luego, Policy Simulator informa cualquier intento de acceso histórico que no se haya bloqueado en el registro de acceso, pero que sí se haya bloqueado en la repetición. Estas diferencias, denominadas cambios de acceso, muestran qué intentos de acceso se habrían bloqueado si la política de denegación simulada hubiera estado vigente en el momento del intento.

Nota: Es posible que el estado de acceso en un registro de acceso no refleje el estado de acceso actual. En estos casos, Policy Simulator siempre compara los resultados de la reproducción con el resultado del registro de acceso, no con el estado de acceso actual.

Período de reproducción

El período de reproducción es el período durante el cual Policy Simulator obtiene registros de acceso cuando ejecuta una simulación. Los registros de acceso que se producen antes del primer día del período de reproducción o después del último día del período de reproducción no se incluyen en la simulación.

Por lo general, el último día del período de repetición es 1 día antes de la simulación. Sin embargo, en algunos casos, el último día del período de repetición puede ser hasta 10 días antes de la simulación. Los registros de acceso que se producen después del último día del período de repetición no se incluyen en la simulación.

El período de repetición es de 90 días. Si la organización no existe desde hace más de 90 días, Policy Simulator recupera todos los intentos de acceso desde que se creó la organización.

La ventana de reproducción también tiene coherencia eventual. Esto significa que, cuando ejecutas una simulación, algunos datos pueden ser más recientes que otros. Sin embargo, con el tiempo, todos los datos tendrán la misma actualización.

Resultados de Policy Simulator

Policy Simulator informa el impacto de un cambio propuesto en una política de denegación como una lista de cambios de acceso. En el caso de las políticas de denegación, el único tipo de cambio de acceso que informa Policy Simulator es el cambio de acceso Acceso revocado.

Policy Simulator informa que se revocó el acceso si se cumplen las siguientes condiciones:

El intento más reciente de la principal para acceder al recurso se realizó correctamente.
Las políticas de denegación actuales, junto con los cambios propuestos, bloquean el acceso de la principal al recurso.

Para cada cambio de acceso, Policy Simulator también informa la siguiente información:

La principal, el recurso y el permiso involucrados en el intento de acceso.
Es la cantidad de días durante el período de reproducción en los que la principal intentó usar el permiso para acceder al recurso. Este total incluye solo los intentos de acceso que tienen el mismo resultado que el intento de acceso más reciente.
Es la fecha del intento de acceso más reciente.

Errores

Los siguientes errores pueden provocar que falle una simulación:

Se excedió la cantidad máxima de simulaciones simultáneas: El usuario ya tiene 10 simulaciones en curso, que es la cantidad máxima de simulaciones en curso que puede tener un usuario. Para resolverlo, espera a que se complete una de las simulaciones en curso y, luego, vuelve a ejecutar la simulación.
Tiempo de espera agotado: La simulación tardó demasiado en ejecutarse y se agotó el tiempo de espera. Para resolver el problema, vuelve a ejecutar la simulación.
Construcción de simulación no válida: La política de denegación propuesta no es válida. Por ejemplo, la política propuesta tiene una expresión de condición no válida. Para resolver el problema, corrige la política y vuelve a intentarlo.
Permiso denegado: No tienes permiso para ejecutar una simulación. Para resolver el problema, asegúrate de que se te hayan otorgado los roles necesarios y vuelve a intentarlo.

Tipos de principales admitidos

Policy Simulator para políticas de denegación solo revisa los registros de acceso de los siguientes tipos de principales:

Cuentas de Google Workspace
Cuentas de servicio

Cuando se simulan políticas de denegación, Policy Simulator no revisa los registros de acceso de ningún otro tipo de principal. Por lo tanto, no informa si los cambios propuestos en tus políticas o vinculaciones afectarán el acceso de esas principales.

¿Qué sigue?

Obtén más información para simular un cambio en una política de denegación.
Explora otras herramientas de Policy Intelligence.