Esta página foi traduzida pela API Cloud Translation.

Simulador de política para políticas de negação

Com o Simulador de política para políticas de negação, é possível ver como uma mudança em uma política de negação do IAM pode afetar o acesso de um principal antes de confirmar a mudança. É possível usar o Simulador de política para verificar se as alterações feitas não causarão a perda do acesso necessário.

Esse recurso avalia apenas políticas de negação. Para saber como simular outros tipos de política, consulte:

Como o Simulador de política para políticas de negação funciona

O Simulador de política para políticas de negação ajuda a determinar se uma mudança em uma política de negação vai bloquear o acesso que seus principais estão usando.

Quando você executa uma simulação para uma política de negação, o Simulador de política faz o seguinte:

Recupera os registros de acesso da organização gerados durante o período de repetição. O período de repetição é de 90 dias.

Se a organização não existir há mais de 90 dias, o Simulador de política vai recuperar todos os registros de acesso desde a criação dela.
Determina quais registros de acesso são relevantes para a simulação. Os registros de acesso relevantes são todos os registros que representam a tentativa mais recente de um principal de usar uma permissão para acessar um recurso.
Para cada registro de acesso relevante, determina se as políticas de negação atuais, junto com as mudanças propostas, permitiriam o acesso tentado. Esse processo é chamado de repetição das tentativas de acesso.
Para cada registro de acesso, compara o estado de acesso da repetição com o estado de acesso nos registros de acesso. Em seguida, o Simulador de política informa todas as tentativas de acesso históricas que não foram bloqueadas no registro de acesso, mas foram bloqueadas na repetição. Essas diferenças, chamadas de mudanças de acesso, mostram quais tentativas de acesso teriam sido bloqueadas se a política de negação simulada estivesse em vigor no momento da tentativa.

Observação: o estado de acesso em um registro de acesso pode não refletir o estado atual. Nesses casos, o simulador de política sempre compara os resultados da reprodução com o resultado do registro de acesso, não com o estado de acesso atual.

Período de repetição

O período de repetição é o período em que o Simulador de política recebe registros de acesso ao executar uma simulação. Os registros de acesso que ocorrem antes do primeiro dia ou depois do último dia do período de repetição não são incluídos na simulação.

Normalmente, o último dia do período de repetição é um dia antes da simulação. No entanto, em alguns casos, o último dia do período de repetição pode ser até 10 dias antes da simulação. Os registros de acesso que ocorrem após o último dia do período de repetição não são incluídos na simulação.

O período de repetição é de 90 dias. Se a organização não existir há mais de 90 dias, o Simulador de política vai recuperar todas as tentativas de acesso desde a criação dela.

A janela de repetição também tem consistência posterior. Isso significa que, ao executar uma simulação, alguns dados podem ser mais recentes do que outros. No entanto, com o tempo, todos os dados terão a mesma atualização.

Resultados do Simulador de política

O Simulador de política informa o impacto de uma mudança proposta em uma política de negação como uma lista de alterações de acesso. Para políticas de negação, o único tipo de mudança de acesso que o Simulador de política informa é a Acesso revogado.

O simulador de política informa que o acesso é revogado se as seguintes condições forem verdadeiras:

A tentativa mais recente do principal de acessar o recurso foi bem-sucedida
As políticas de negação atuais, junto com as mudanças propostas, bloqueiam o acesso do principal ao recurso.

Para cada mudança de acesso, o simulador de política também informa o seguinte:

O principal, o recurso e a permissão envolvidos na tentativa de acesso.
O número de dias durante o período de repetição em que a principal tentou usar a permissão para acessar o recurso. Esse total inclui apenas as tentativas de acesso que têm o mesmo resultado da tentativa mais recente.
A data da tentativa de acesso mais recente.

Erros

Os seguintes erros podem causar falha em uma simulação:

Número máximo de simulações simultâneas excedido: o usuário já tem 10 simulações em andamento, que é o número máximo permitido. Para resolver isso, aguarde a conclusão de uma das simulações em andamento e tente executar a simulação novamente.
Tempo limite: a simulação demorou muito para ser executada e atingiu o tempo limite. Para resolver isso, tente executar a simulação novamente.
Construção de simulação inválida: a política de negação proposta é inválida. Por exemplo, a política proposta tem uma expressão de condição inválida. Para resolver isso, corrija a política e tente de novo.
Permissão negada: você não tem permissão para executar uma simulação. Para resolver o problema, verifique se você tem os papéis necessários e tente de novo.

Tipos de principais com suporte

O Simulador de política para políticas de negação analisa apenas os registros de acesso dos seguintes tipos de principais:

Contas do Google Workspace
Contas de serviço

Ao simular políticas de negação, Simulador de política não analisa os registros de acesso de outros tipos de principais. Como resultado, ele não informa se as mudanças propostas nas políticas ou vinculações vão afetar o acesso desses principais.

A seguir

Saiba como simular uma mudança em uma política de negação.
Explore outras ferramentas do Policy Intelligence.