Policy Simulator para políticas de permisos

Policy Simulator para las políticas de permisos de Identity and Access Management te permite ver cómo un cambio en una política de permisos puede afectar el acceso de una principal antes de que realices la modificación. Puedes usarlo para asegurarte de que los cambios que realices no hagan que una principal pierda el acceso que necesita.

Cómo funciona el simulador de política

El simulador de política te ayuda a determinar qué impacto podría tener un cambio de política de permisos para los usuarios. Para hacerlo, no solo compara los permisos en las políticas de permisos actuales y propuestas. En cambio, utiliza registros de acceso para enfocarse en los cambios en los permisos que realmente podrían afectar a tus usuarios.

Para descubrir cómo un cambio en una política de permisos puede afectar el acceso de una principal, Policy Simulator determina qué intentos de acceso de los últimos 90 días tienen diferentes resultados con la política de permisos propuesta y con la política de permisos actual. Luego, informa estos resultados como una lista de cambios de acceso.

Cuando simulas un cambio en una política de permisos, proporcionas una política de permisos propuesta con los cambios que deseas probar. Esta política de permisos propuesta puede ser para cualquier recurso que acepte políticas de permisos.

Cuando ejecutas una simulación, el simulador de política realiza lo siguiente:

  1. Recupera registros de acceso para los tipos de recursos admitidos de los últimos 90 días. La ubicación desde la que se recopilan estos registros depende del recurso cuya política de permisos estás simulando:

    • Si simulas una política de permisos para un proyecto o una organización, Policy Simulator recupera los registros de acceso de ese proyecto o esa organización.
    • Si simulas una política de permisos para un tipo de recurso diferente, Policy Simulator recupera los registros de acceso de su organización o proyecto superior.
    • Si estás simulando políticas de permisos de varios recursos a la vez, Policy Simulator recupera los registros de acceso de la organización o el proyecto común más cercano.

    Si el recurso superior no existe durante 90 días, el simulador de política recupera todos los intentos de acceso desde que se creó el recurso.

  2. Reevalúa, o repite, los intentos de acceso registrados en los registros de acceso mediante las políticas de permisos actuales, teniendo en cuenta todas las políticas de permisos heredadas y cualquier política de permisos establecida en recursos subordinados.

    La repetición de intentos de acceso con la política de permisos actual garantiza que Policy Simulator informe solo los cambios de acceso que son producto de la política de permisos propuesta y no informe los cambios que son producto de otras modificaciones de la política de permisos que realizaste en los últimos 90 días.

  3. Repite los intentos de acceso con la política de permisos propuesta, una vez más teniendo en cuenta cualquier política de permisos heredada y cualquier política de permisos establecida en los recursos subordinados.

  4. Compara los resultados de las dos repeticiones y, luego, informa las diferencias, que muestran cómo los cambios propuestos afectarían el acceso de la principal.

Ejemplo: Prueba de cambios de política

Imagina que deseas quitar el rol de visualizador de la organización de un usuario (roles/resourcemanager.organizationViewer). Quieres usar el simulador de política para confirmar que este cambio no afectará el acceso del usuario.

Usa la consola de Google Cloud, la API de REST o Google Cloud CLI para simular el cambio en la política de permisos.

Cuando comienza la simulación, el simulador de política hace lo siguiente:

  • Recupera los registros de acceso para tu organización de los últimos 90 días.
  • Repite los intentos de acceso con la política de permisos actual de la organización, en la que el usuario tiene el rol Organization Viewer.
  • Repite los intentos de acceso con la política de permisos propuesta, en la que el usuario no tiene el rol Organization Viewer.
  • Compara los resultados de ambas reproducciones y también informa las diferencias entre ellas.

Luego, puedes revisar los resultados para comprender cómo el cambio propuesto afecta el acceso del usuario.

Ejemplo: Herencia de políticas

Imagina que deseas simular un cambio en una política de permisos de una carpeta, Engineering, en una organización con la siguiente estructura:

Estructura de la organización de muestra

Ten en cuenta que Engineering tiene un recurso superior, la organización example.com, de la que hereda las políticas de permisos. También tiene tres proyectos secundarios que pueden tener sus propias políticas de permisos: example-prod, example-dev y example-test.

Debes proporcionar una política de permisos propuesta y ejecutar la simulación. Cuando comienza la simulación, el simulador de política hace lo siguiente:

  • Recupera todos los registros relevantes de los últimos 90 días. Debido a que Engineering es una carpeta, el simulador de política recupera registros de su organización superior, example.com.
  • Repite los intentos de acceso con la política de permisos actual de la carpeta, la política de permisos heredada de example.com y las políticas de permisos de los proyectos secundarios.
  • Repite cada intento de acceso con la política de permisos propuesta, la política de permisos heredada de example.com y las políticas de permisos de los proyectos secundarios.
  • Compara los resultados de las reproducciones y también informa las diferencias entre ellas.

Luego, puedes revisar los resultados para comprender cómo el cambio propuesto afecta el acceso del usuario.

Revisión de los resultados del simulador de política

Policy Simulator informa el impacto de un cambio propuesto en una política de permisos como una lista de cambios de acceso. Un cambio de acceso representa un intento de acceso de los últimos 90 días que tendría un resultado diferente con la política de permisos propuesta en comparación con la política de permisos actual.

El simulador de política también enumera los errores que se produjeron durante la simulación, lo que te ayuda a identificar posibles brechas en la simulación.

Existen varios tipos de cambios de acceso:

Cambio de acceso Detalles
Se revocó el acceso La principal tenía acceso con la política de permisos actual, pero ya no tendrá acceso después del cambio propuesto.
Es posible que se haya revocado el acceso

Esto puede suceder por los siguientes motivos:

  • La principal tenía acceso bajo la política de permisos actual, pero su acceso en virtud de la política de permisos propuesta es desconocido.
  • El acceso de la principal con la política de permisos actual es desconocido, pero no tendrá acceso después del cambio propuesto.
Acceso obtenido La principal no tenía acceso con la política de permisos actual, pero tendrá acceso después del cambio propuesto.
Acceso potencialmente obtenido

Esto puede suceder por los siguientes motivos:

  • La principal no tenía acceso con la política de permisos actual, pero su acceso después del cambio propuesto es desconocido.
  • El acceso de la principal con la política de permisos actual es desconocido, pero tendrá acceso después del cambio propuesto.
Acceso desconocido El acceso de la principal tanto con la política de permisos actual como con la política de permisos propuesta es desconocido, y los cambios propuestos pueden afectar el acceso de la principal.
Error Se produjo un error durante la simulación.

Resultados desconocidos

Si un resultado de acceso es desconocido, significa que el simulador de política no tiene suficiente información para evaluar por completo el intento de acceso.

Existen varios motivos por los que un resultado puede ser desconocido:

  • Información del rol rechazado: la principal que ejecuta la simulación no tuvo permiso para ver los detalles de una o más de las funciones que se simularon.
  • No se pudo acceder a la política: la principal que ejecuta la simulación no tuvo permiso para obtener la política de permisos de uno o más de los recursos involucrados en ella.
  • Información de la membresía rechazada: la principal que ejecuta la simulación no tuvo permiso para ver los miembros de uno o más de los grupos incluidos en la política de permisos simulada.
  • Condición no admitida: Hay una vinculación de rol condicional en la política de permisos que se probó. Policy Simulator no admite condiciones, por lo que la vinculación no se pudo evaluar.

Si un resultado de acceso es desconocido, el resultado de Policy Simulator informa el motivo por el que se desconoce, además de los roles, las políticas de permisos, la información de membresía y los condicionales específicos que no pudo evaluar o a los que no pudo acceder.

Errors

El simulador de política también informa los errores que se produjeron durante la simulación. Es importante revisar estos errores para comprender las posibles brechas en la simulación.

Existen diversos tipos de errores que el simulador de política puede informar:

  • Errores de operación: La simulación no se pudo ejecutar.

    Si el mensaje de error indica que la simulación no se pudo ejecutar porque hay demasiados registros en tu organización o proyecto, no puedes ejecutar una simulación en el recurso.

    Si aparece este error por otro motivo, intenta ejecutar la simulación nuevamente. Si aún no puedes ejecutar la simulación, envía un correo electrónico a policy-simulator-feedback@google.com.

  • Errores de repetición: La repetición de un único intento de acceso no fue exitosa, por lo que Policy Simulatorno pudo determinar si el resultado del intento de acceso cambiaría con la política de permisos propuesta.

  • Errores de tipos de recursos no admitidos: la política de permisos propuesta afecta los permisos asociados a un tipo de recurso no admitido que Policy Simulator no puede simular. El simulador de política enumera estos permisos en los resultados de la simulación para que sepas qué permisos no pudo simular.

Tamaño máximo de reproducción de registro

La cantidad máxima de registros de acceso que puede reproducir una simulación es de 5,000. Si hay más de 5,000 registros de acceso para tu organización o proyecto en los últimos 90 días, la simulación fallará.

Para obtener información sobre cómo el simulador de política decide qué registros de acceso recuperar, consulta Cómo funciona el simulador de política en esta página.

Niveles de compatibilidad de los tipos de recursos

El simulador de política no admite todos los tipos de recursos en las simulaciones. Esto afecta los cambios en los permisos que puede simular.

Tipos de recursos admitidos

El simulador de política admite solo los siguientes tipos de recursos:

Servicio Tipos de recursos admitidos
Cloud Storage
  • buckets
Pub/Sub
  • snapshots
  • subscriptions
  • topics
Cloud SQL
  • backupRuns
  • databases
  • instances
  • sslCerts
  • users
Spanner
  • backups
  • backupOperations
  • databases
  • databaseOperations
  • instanceConfigs
  • instanceOperations
  • instances
  • sessions
Resource Manager
  • folders
  • organizations
  • projects
Compute Engine
  • instances

Tipos de recursos no compatibles

Los tipos de recursos no admitidos son aquellos para los que el simulador de política no puede recuperar registros de acceso. Si Policy Simulator no puede recuperar registros de acceso para un recurso, no puede evaluar cómo la política a los acceder o propuesta podría afectar esos intentos de acceso.

Si un cambio propuesto para una política de permisos involucra permisos para un tipo de recurso no compatible, Policy Simulator enumera esos permisos en los resultados de la simulación, de modo que sepas qué permisos no pudo simular. Por ejemplo, Policy Simulator no admite modelos de AI Platform. Por lo tanto, si una política a los acceder o propuesta quita un rol con el permiso aiplatform.models.list, los resultados de esa simulación indican que no se pudo simular el permiso aiplatform.models.list.

¿Qué sigue?