拒絕政策的 Policy Simulator

拒絕政策模擬器可讓您在變更身分與存取權管理拒絕政策之前，先瞭解這項變更對主體存取權的影響。您可以使用 Policy Simulator，確保所做的變更不會導致主體失去必要的存取權。

這項功能只會評估拒絕政策，如要瞭解如何模擬其他政策類型，請參閱下列內容：

• 機構政策的政策模擬器
• 允許政策的政策模擬器
• 主體存取邊界政策的 Policy Simulator

拒絕政策模擬工具的運作方式

拒絕政策的 Policy Simulator 可協助您判斷拒絕政策的變更，是否會封鎖主體使用的存取權。

執行拒絕政策模擬時，Policy Simulator 會執行下列動作：

1. 擷取在重播期間產生的機構存取記錄。重播期限為 90 天。

   如果機構存在時間未超過 90 天，Policy Simulator 會擷取機構建立以來的所有存取記錄。

2. 決定哪些存取記錄與模擬作業相關。相關存取記錄是指主體最近一次嘗試使用權限存取資源的所有存取記錄。

3. 針對每筆相關存取記錄，判斷目前的拒絕政策和提議的變更是否允許嘗試存取。這項程序稱為「重播」存取嘗試。

4. 針對每筆存取記錄，比較重播中的存取狀態與存取記錄中的存取狀態。接著，Policy Simulator 會回報存取記錄中未遭封鎖，但重播時遭封鎖的任何歷史存取嘗試。這些差異稱為「存取權變更」，可顯示在嘗試存取時，如果已套用模擬拒絕政策，哪些存取嘗試會遭到封鎖。

重播期限

重播期間是指 Policy Simulator 執行模擬作業時，可存取存取記錄的時間範圍。重播期間第一天之前或最後一天之後的存取記錄，不會納入模擬。

一般來說，重播期間的最後一天是模擬作業前 1 天。不過，在某些情況下，重播期最後一天可能最多會是模擬測驗前 10 天。重播期最後一天之後的存取記錄不會納入模擬。

重播期限為 90 天。如果機構存在時間超過 90 天，政策模擬器會擷取機構建立以來的所有存取嘗試。

重播視窗也具有最終一致性。也就是說，執行模擬時，部分資料可能比其他資料更新。不過，最終所有資料都會具有相同的即時性。

政策模擬器結果

Policy Simulator 會以存取權變更清單的形式，回報提議的拒絕政策變更所造成的影響。如果是拒絕政策，Policy Simulator 只會回報「存取權已撤銷」這類存取權變更。

如果符合下列條件，Policy Simulator 會回報存取權已遭撤銷：

• 主體最近一次嘗試存取資源時成功
• 目前的拒絕政策和提議的變更會封鎖主體對資源的存取權

對於每項存取權變更，政策模擬器也會回報下列資訊：

• 存取嘗試中涉及的主體、資源和權限。
• 在重播期間，主體嘗試使用權限存取資源的天數。這個總計只會納入與最近一次存取嘗試結果相同的存取嘗試。
• 最近一次嘗試存取的日期。

錯誤

下列錯誤可能會導致模擬作業失敗：

• 並行模擬作業數量已達上限：使用者目前有 10 項模擬作業正在進行中，已達上限。如要解決這個問題，請等待其中一項模擬作業完成，然後再試一次。
• 逾時：模擬作業執行時間過長，因此逾時。如要解決這個問題，請再次執行模擬。
• 模擬建構無效：建議的拒絕政策無效。舉例來說，建議的政策含有無效的條件運算式。如要解決這個問題，請修正政策並重試。
• 權限遭拒：您沒有執行模擬的權限。如要解決這個問題，請確認您已獲派必要角色，然後再試一次。

支援的主體類型

拒絕政策的 Policy Simulator 只會檢查下列類型主體的存取記錄：

• Google Workspace 帳戶
• 服務帳戶

模擬拒絕政策時，Policy Simulator 不會檢查任何其他主體類型的存取記錄。因此，這項工具不會回報政策或繫結的提議變更是否會影響這些主體的存取權。

後續步驟

• 瞭解如何模擬拒絕政策變更。
• 探索其他 Policy Intelligence 工具。