このページは Cloud Translation API によって翻訳されました。

拒否ポリシーの Policy Simulator

拒否ポリシーの Policy Simulator では、変更を commit する前に IAM 拒否ポリシーへの変更がプリンシパルのアクセス権にどのように影響するかを確認できます。Policy Simulator を使用して、変更を行うことによりプリンシパルが必要なアクセス権を失わないようにできます。

この機能は、拒否ポリシーのみを評価します。他のポリシータイプのシミュレーション方法については、以下をご覧ください。

拒否ポリシーの Policy Simulator の仕組み

拒否ポリシーの Policy Simulator を使用すると、拒否ポリシーの変更によってプリンシパルが使用しているアクセスがブロックされるかどうかを判断できます。

拒否ポリシーのシミュレーションを実行すると、Policy Simulator は次の処理を行います。

再生期間中に生成された組織のアクセスログを取得します。再生期間は 90 日間です。

組織が 90 日以上存在していない場合、Policy Simulator は組織が作成されてからのすべてのアクセスログを取得します。
シミュレーションに関連するアクセスログを特定します。関連するアクセスログは、プリンシパルが権限を使用してリソースにアクセスしようとした最新の試行を表すアクセスログです。
関連するアクセスログごとに、現在の拒否ポリシーと提案された変更によってアクセス試行が許可されるかどうかを判断します。このプロセスは、アクセス試行の再生と呼ばれます。
各アクセスログについて、再生時のアクセス状態とアクセスログのアクセス状態を比較します。次に、Policy Simulator は、アクセスログではブロックされなかったが、リプレイではブロックされた過去のアクセス試行をレポートします。これらの違いはアクセス権の変更と呼ばれ、シミュレートされた拒否ポリシーが試行時に適用されていた場合にブロックされるアクセス試行を示します。

注: アクセスログのアクセス状態は、現在のアクセス状態を反映していない場合があります。このような場合、Policy Simulator は常に、リプレイの結果を現在のアクセス状態ではなく、アクセスログの結果と比較します。

再生期間

リプレイ期間は、シミュレーションの実行時に Policy Simulator がアクセスログを取得する期間です。再生期間の初日より前または再生期間の最終日より後に発生したアクセスログは、シミュレーションに含まれません。

通常、再生期間の最終日はシミュレーションの 1 日前です。ただし、場合によっては、再生期間の最終日がシミュレーションの最大 10 日前になることがあります。再生期間の最終日以降に発生したアクセスログは、シミュレーションに含まれません。

再生期間は 90 日間です。組織が 90 日以上存在していない場合、Policy Simulator は、組織が作成されてからのすべてのアクセス試行を取得します。

再生ウィンドウにも結果整合性があります。つまり、シミュレーションを実行すると、一部のデータが他のデータよりも新しい可能性があります。ただし、最終的にはすべてのデータの鮮度が同じになります。

Policy Simulator の結果

Policy Simulator は、拒否ポリシーに対して提案された変更の影響をアクセス変更のリストとしてレポートします。拒否ポリシーの場合、Policy Simulator がレポートするアクセス権の変更は、アクセス権の取り消しのみです。

次の条件が満たされている場合、Policy Simulator はアクセス権が取り消されたことをレポートします。

プリンシパルがリソースにアクセスしようとした直前の試行が成功しました
現在の拒否ポリシーと提案された変更により、プリンシパルのリソースへのアクセスがブロックされます

Policy Simulator は、アクセス権の変更ごとに次の情報もレポートします。

アクセス試行に関係するプリンシパル、リソース、権限。
プリンシパルが権限を使用してリソースにアクセスしようとした、再生期間中の日数。この合計には、最新のアクセス試行と同じ結果のアクセス試行のみが含まれます。
最後にアクセスが試行された日付。

エラー

次のエラーが発生すると、シミュレーションが失敗する可能性があります。

同時実行シミュレーションの最大数を超えました: ユーザーがすでに 10 個のシミュレーションを実行中です。これは、ユーザーが実行できるシミュレーションの最大数です。この問題を解決するには、進行中のシミュレーションのいずれかが完了するまで待ってから、もう一度シミュレーションを実行します。
タイムアウト: シミュレーションの実行に時間がかかりすぎてタイムアウトしました。この問題を解決するには、もう一度シミュレーションを実行します。
無効なシミュレーションの構築: 提案された拒否ポリシーが無効です。たとえば、提案されたポリシーに無効な条件式が含まれている場合などです。この問題を解決するには、ポリシーを修正してもう一度お試しください。
Permission denied: シミュレーションを実行する権限がありません。解決するには、必要なロールが付与されていることを確認してから、もう一度お試しください。

サポートされているプリンシパルタイプ

拒否ポリシーの Policy Simulator は、次のタイプのプリンシパルのアクセスログのみを確認します。

Google Workspace アカウント
サービスアカウント

拒否ポリシーをシミュレートする場合、Policy Simulator は他のプリンシパルタイプのアクセスログを確認しません。そのため、ポリシーまたはバインディングに対する提案された変更が、これらのプリンシパルのアクセス権に影響するかどうかはレポートされません。

次のステップ

拒否ポリシーの変更をシミュレートする方法を確認する。
その他の Policy Intelligence ツールを調べる。