Cette page a été traduite par l'API Cloud Translation.

Simulateur de règles pour les règles de refus

Policy Simulator pour les stratégies de refus vous permet de voir comment une modification de stratégie de refus IAM peut affecter l'accès d'un compte principal avant de procéder à la modification. Vous pouvez utiliser Policy Simulator pour vous assurer que les modifications que vous apportez n'empêchent pas un compte principal d'accéder aux ressources dont il a besoin.

Cette fonctionnalité n'évalue que les règles de refus. Pour savoir comment simuler d'autres types de règles, consultez les ressources suivantes :

Fonctionnement de Policy Simulator pour les règles de refus

Policy Simulator pour les stratégies de refus vous aide à déterminer si une modification apportée à une stratégie de refus bloquera l'accès utilisé par vos comptes principaux.

Lorsque vous exécutez une simulation pour une règle de refus, Policy Simulator effectue les opérations suivantes :

Récupère les journaux d'accès de l'organisation générés pendant la période de relecture. La période de rediffusion est de 90 jours.

Si l'organisation n'existe pas depuis plus de 90 jours, Policy Simulator récupère tous les journaux d'accès depuis sa création.
Détermine les journaux d'accès pertinents pour la simulation. Les journaux d'accès pertinents sont tous les journaux d'accès qui représentent la dernière tentative d'un compte principal d'utiliser une autorisation pour accéder à une ressource.
Pour chaque journal d'accès pertinent, détermine si les stratégies de refus actuelles, ainsi que les modifications proposées, autoriseraient la tentative d'accès. Ce processus est appelé relecture des tentatives d'accès.
Pour chaque journal d'accès, compare l'état d'accès de la relecture avec l'état d'accès des journaux d'accès. Policy Simulator signale ensuite toutes les tentatives d'accès historiques qui n'ont pas été bloquées dans le journal d'accès, mais qui l'ont été lors de la relecture. Ces différences, appelées modifications d'accès, indiquent les tentatives d'accès qui auraient été bloquées si la stratégie de refus simulée avait été en place au moment de la tentative.

Remarque : L'état d'accès dans un journal d'accès peut ne pas refléter l'état d'accès actuel. Dans ce cas, Policy Simulator compare toujours les résultats de la relecture à ceux du journal d'accès, et non à l'état d'accès actuel.

Période de relecture

La période de relecture correspond à la période pendant laquelle Policy Simulator a accès aux journaux d'accès lors de l'exécution d'une simulation. Les journaux d'accès qui se produisent avant le premier jour de la période de relecture ou après le dernier jour de la période de relecture ne sont pas inclus dans la simulation.

En général, le dernier jour de la période de relecture est la veille de la simulation. Toutefois, dans certains cas, le dernier jour de la période de replay peut être jusqu'à 10 jours avant la simulation. Les journaux d'accès qui se produisent après le dernier jour de la période de relecture ne sont pas inclus dans la simulation.

La période de rediffusion est de 90 jours. Si l'organisation n'existe pas depuis plus de 90 jours, Policy Simulator récupère toutes les tentatives d'accès depuis sa création.

La fenêtre de relecture est également cohérente à terme. Cela signifie que, lorsque vous exécutez une simulation, certaines données peuvent être plus récentes que d'autres. Cependant, toutes les données finiront par avoir la même fraîcheur.

Résultats de Policy Simulator

Policy Simulator fournit le détail de l'impact d'une modification proposée de stratégie de refus, sous la forme d'une liste de modifications d'accès. Pour les stratégies de refus, le seul type de modification d'accès que signale Policy Simulator est Accès révoqué.

Policy Simulator indique que l'accès est révoqué si les conditions suivantes sont remplies :

La dernière tentative d'accès à la ressource par le compte principal a réussi.
Les stratégies de refus actuelles, ainsi que les modifications proposées, bloquent l'accès du compte principal à la ressource.

Pour chaque modification d'accès, Policy Simulator fournit également les informations suivantes :

Le compte principal, la ressource et l'autorisation impliqués dans la tentative d'accès.
Nombre de jours pendant la période de relecture où le compte principal a tenté d'utiliser l'autorisation d'accéder à la ressource. Ce total n'inclut que les tentatives d'accès qui ont le même résultat que la tentative d'accès la plus récente.
Date de la dernière tentative d'accès.

Erreurs

Les erreurs suivantes peuvent entraîner l'échec d'une simulation :

Nombre maximal de simulations simultanées dépassé : l'utilisateur a déjà 10 simulations en cours, ce qui correspond au nombre maximal de simulations qu'il peut avoir. Pour résoudre ce problème, attendez qu'une des simulations en cours soit terminée, puis réessayez d'exécuter la simulation.
Délai dépassé : la simulation a pris trop de temps et a expiré. Pour résoudre ce problème, essayez d'exécuter à nouveau la simulation.
Construction de simulation non valide : la stratégie de refus proposée n'est pas valide. Par exemple, la règle proposée comporte une expression de condition non valide. Pour résoudre ce problème, corrigez la règle et réessayez.
Autorisation refusée : vous n'êtes pas autorisé à exécuter une simulation. Pour résoudre ce problème, assurez-vous de disposer des rôles requis, puis réessayez.

Types de comptes principaux acceptés

Policy Simulator pour les stratégies de refus n'examine les journaux d'accès que pour les types de comptes principaux suivants :

Comptes Google Workspace
Comptes de service

Lorsque vous simulez des stratégies de refus, Policy Simulator n'examine pas les journaux d'accès pour les autres types de comptes principaux. Par conséquent, il n'indique pas si les modifications proposées à vos règles ou liaisons affecteront l'accès de ces comptes principaux.

Étapes suivantes

Découvrez comment simuler une modification de stratégie de refus.
Découvrez d'autres outils Policy Intelligence.