Questa pagina è stata tradotta dall'API Cloud Translation.

Policy Simulator per le policy di negazione

Policy Simulator per le policy di negazione ti consente di vedere in che modo una modifica a una policy di negazione IAM potrebbe influire sull'accesso di un'entità prima di eseguire il commit della modifica. Puoi utilizzare Policy Simulator per assicurarti che le modifiche che stai apportando non causino la perdita dell'accesso necessario per un'entità.

Questa funzionalità valuta solo le policy di negazione. Per scoprire come simulare altri tipi di criteri, consulta quanto segue:

Come funziona Policy Simulator per le policy di negazione

Policy Simulator per le policy di negazione ti aiuta a determinare se una modifica a una policy di negazione bloccherà l'accesso utilizzato dalle tue entità.

Quando esegui una simulazione per una policy di negazione, Policy Simulator esegue le seguenti operazioni:

Recupera i log di accesso per l'organizzazione generati durante il periodo di riproduzione. Il periodo di replay è di 90 giorni.

Se l'organizzazione non esiste da più di 90 giorni, Policy Simulator recupera tutti i log di accesso dalla sua creazione.
Determina quali log di accesso sono pertinenti per la simulazione. I log di accesso pertinenti sono tutti i log di accesso che rappresentano il tentativo più recente di un'entità di utilizzare un'autorizzazione per accedere a una risorsa.
Per ogni log di accesso pertinente, determina se le policy di negazione attuali, insieme alle modifiche proposte, consentirebbero l'accesso tentato. Questa procedura è chiamata ripetizione dei tentativi di accesso.
Per ogni log di accesso, confronta lo stato di accesso della riproduzione con lo stato di accesso nei log di accesso. Policy Simulator segnala quindi eventuali tentativi di accesso storici che non sono stati bloccati nel log di accesso, ma che sono stati bloccati nella riproduzione. Queste differenze, chiamate modifiche all'accesso, mostrano quali tentativi di accesso sarebbero stati bloccati se il criterio di negazione simulato fosse stato in vigore al momento del tentativo.

Nota: lo stato di accesso in un log di accesso potrebbe non riflettere lo stato di accesso attuale. In questi casi, Policy Simulator confronta sempre i risultati della riproduzione con il risultato del log di accesso, non con lo stato di accesso attuale.

Periodo di replay

Il periodo di riproduzione è il periodo di tempo per il quale Policy Simulator ottiene i log di accesso durante l'esecuzione di una simulazione. I log di accesso precedenti al primo giorno del periodo di riproduzione o successivi all'ultimo giorno del periodo di riproduzione non sono inclusi nella simulazione.

In genere, l'ultimo giorno del periodo di replay è il giorno precedente alla simulazione. Tuttavia, in alcuni casi, l'ultimo giorno del periodo di replay può essere fino a 10 giorni prima della simulazione. I log di accesso che si verificano dopo l'ultimo giorno del periodo di replay non sono inclusi nella simulazione.

Il periodo di replay è di 90 giorni. Se l'organizzazione non esiste da più di 90 giorni, Policy Simulator recupera tutti i tentativi di accesso dalla creazione dell'organizzazione.

Anche la finestra di riproduzione è a coerenza finale. Ciò significa che, quando esegui una simulazione, alcuni dati potrebbero essere più recenti di altri dati. Tuttavia, alla fine tutti i dati avranno lo stesso aggiornamento.

Risultati di Policy Simulator

Policy Simulator segnala l'impatto di una modifica proposta a una policy di negazione come un elenco di modifiche all'accesso. Per le policy di negazione, l'unico tipo di modifica dell'accesso segnalata da Policy Simulator è la modifica dell'accesso Accesso revocato.

Policy Simulator segnala che l'accesso viene revocato se si verificano le seguenti condizioni:

L'ultimo tentativo dell'entità di accedere alla risorsa è andato a buon fine
Le attuali policy di negazione, insieme alle modifiche proposte, bloccano l'accesso dell'entità alla risorsa

Per ogni modifica dell'accesso, Policy Simulator segnala anche le seguenti informazioni:

L'entità, la risorsa e l'autorizzazione coinvolte nel tentativo di accesso.
Il numero di giorni durante il periodo di replay in cui l'entità ha tentato di utilizzare l'autorizzazione per accedere alla risorsa. Questo totale include solo i tentativi di accesso che hanno lo stesso risultato del tentativo di accesso più recente.
La data dell'ultimo tentativo di accesso.

Errori

I seguenti errori possono causare il mancato completamento di una simulazione:

Numero massimo di simulazioni simultanee superato: l'utente ha già 10 simulazioni in corso, ovvero il numero massimo di simulazioni in corso che un utente può avere. Per risolvere il problema, attendi il completamento di una delle simulazioni in corso, quindi prova a eseguire di nuovo la simulazione.
Timeout: l'esecuzione della simulazione ha richiesto troppo tempo ed è scaduta. Per risolvere il problema, prova a eseguire di nuovo la simulazione.
Costruzione della simulazione non valida: la policy di negazione proposta non è valida. Ad esempio, la policy proposta ha un'espressione della condizione non valida. Per risolvere il problema, correggi la policy e riprova.
Autorizzazione negata: non hai l'autorizzazione per eseguire una simulazione. Per risolvere il problema, assicurati di disporre dei ruoli richiesti e riprova.

Tipi di entità supportati

Policy Simulator per le policy di negazione esamina solo i log di accesso per i seguenti tipi di entità:

Account Google Workspace
Account di servizio

Quando simula le policy di negazione, Policy Simulator non esamina i log di accesso per altri tipi di entità. Di conseguenza, non indica se le modifiche proposte alle tue policy o alle tue associazioni influiranno sull'accesso di queste entità.

Passaggi successivi

Scopri come simulare una modifica a una policy di negazione.
Esplora altri strumenti di Policy Intelligence.