通过拒绝 Policy Simulator,您可以先了解对 IAM 拒绝政策所做的更改可能会对主账号的访问权限有何影响,然后再决定是否进行更改。您可以使用 Policy Simulator 来确保所做的更改不会导致主账号失去所需的访问权限。
此功能只会评估拒绝政策。如需了解如何模拟其他类型的政策,请参阅以下内容:
拒绝政策模拟器的工作原理
拒绝政策的 Policy Simulator 可帮助您确定对拒绝政策的更改是否会阻止主账号正在使用的访问权限。
当您针对拒绝政策运行模拟时,Policy Simulator 会执行以下操作:
检索在重放期间生成的组织的访问日志。重放期为 90 天。
如果组织不存在超过 90 天,则 Policy Simulator 会检索自组织创建以来的所有访问日志。
确定哪些访问日志与模拟相关。相关访问日志是指所有表示主账号最近一次尝试使用某项权限访问资源的访问日志。
针对每条相关访问日志,确定当前的拒绝政策以及建议的更改是否会允许尝试的访问。此过程称为“重放”访问尝试。
对于每个访问日志,将重放中的访问状态与访问日志中的访问状态进行比较。然后,Policy Simulator 会报告访问日志中未被阻止但在重放中被阻止的所有历史访问尝试。这些差异称为访问权限更改,用于显示如果在尝试时已实施模拟的拒绝政策,哪些访问尝试会被阻止。
重放期限
重放时段是指 Policy Simulator 在运行模拟时获取访问日志的时间段。重放期第一天之前的访问日志或重放期最后一天之后的访问日志不会纳入模拟中。
通常,重放期的最后一天是模拟前 1 天。不过,在某些情况下,重放期的最后一天最多可比模拟时间提前 10 天。重放期最后一天之后的访问日志不会纳入模拟范围。
重放期限为 90 天。如果组织不存在超过 90 天,则 Policy Simulator 会检索自组织创建以来的所有访问尝试。
重放窗口也具有最终一致性。这意味着,在运行模拟时,某些数据可能比其他数据更新鲜。不过,最终所有数据的新鲜度都会相同。
Policy Simulator 结果
Policy Simulator 会将建议的对拒绝政策的更改的影响报告为访问权限更改列表。对于拒绝政策,Policy Simulator 报告的唯一一种访问权限更改是访问权限已撤消访问权限更改。
如果满足以下条件,Policy Simulator 会报告访问权限已被撤消:
- 相应主账号最近一次尝试访问资源成功
- 当前拒绝政策以及建议的更改会阻止主账号访问资源
对于每项访问权限更改,Policy Simulator 还会报告以下信息:
- 访问尝试中涉及的主账号、资源和权限。
- 在重放期间,主账号尝试使用相应权限访问资源的天数。此总数仅包含与最近一次访问尝试结果相同的访问尝试。
- 最近一次尝试访问的日期。
错误
以下错误可能会导致模拟失败:
- 并发模拟数量已超出上限:用户已有 10 个正在进行的模拟,这是用户可拥有的正在进行的模拟数量上限。如需解决此问题,请等待正在进行中的某个模拟完成,然后尝试再次运行模拟。
- 超时:模拟运行时间过长,已超时。如需解决此问题,请尝试再次运行模拟。
- 模拟构建无效:提议的拒绝政策无效。例如,建议的政策具有无效的条件表达式。如需解决此问题,请更正政策,然后重试。
- 权限遭拒:您无权运行模拟。如需解决此问题,请确保您已被授予所需角色,然后重试。
受支持的主账号类型
拒绝政策的 Policy Simulator 仅会查看以下类型的主账号的访问日志:
- Google Workspace 账号
- 服务账号
在模拟拒绝政策时,Policy Simulator 不会审核任何其他主账号类型的访问日志。因此,它不会报告建议的政策或绑定更改是否会影响这些主账号的访问权限。
后续步骤
- 了解如何模拟拒绝政策的更改。
- 探索其他 Policy Intelligence 工具。