Policy Simulator für Principal Access Boundary-Richtlinien

Mit dem Policy Simulator für PAB-Richtlinien (Principal Access Boundary) können Sie sehen, wie sich eine Änderung an einer PAB-Richtlinie oder Bindung auf den Zugriff Ihrer Hauptkonten auswirken kann, bevor Sie die Änderung vornehmen. Mit dem Policy Simulator können Sie die potenziellen Auswirkungen einer Änderung an einer Principal Access Boundary-Richtlinie oder -Bindung nachvollziehen, bevor Sie sie anwenden.

Mit dieser Funktion wird der Zugriff nur auf Grundlage von Principal Access Boundary-Richtlinien und Richtlinienbindungen ausgewertet.

Informationen zum Simulieren von Änderungen an anderen Richtlinientypen finden Sie unter:

• Policy Simulator für Zulassungsrichtlinien
• Policy Simulator für Ablehnungsrichtlinien
• Richtliniensimulator für Organisationsrichtlinien

Funktionsweise des Richtliniensimulators für Principal Access Boundary-Richtlinien

Mit dem Policy Simulator für Principal Access Boundary-Richtlinien können Sie ermitteln, wie sich eine Änderung an einer Principal Access Boundary-Richtlinie oder einer Richtlinienbindung auf den Zugriff von Hauptkonten in Ihrer Organisation auswirkt.

Wenn Sie eine Simulation für eine Principal Access Boundary-Richtlinie oder eine Richtlinienbindung ausführen, führt der Policy Simulator folgende Schritte aus:

• Zugriffslogs der Organisation, die während des Wiedergabezeitraums generiert wurden, werden im Kontext der aktuellen Principal Access Boundary-Richtlinien und -Bindungen sowie der simulierten Principal Access Boundary-Richtlinie oder -Bindung geprüft.

• Gibt eine Reihe von Zugriffsänderungen zurück. Diese Zugriffsänderungen zeigen, welche Zugriffsversuche aus den Logs wahrscheinlich andere Ergebnisse haben, wenn Sie die simulierte Richtlinie oder Bindung anwenden.

Weitere Informationen zu den Zugriffsänderungen, die vom Policy Simulator zurückgegeben werden, finden Sie unter Ergebnisse des Richtliniensimulators.

Wiederholungszeitraum

Der Wiederholungszeitraum ist der Zeitraum, für den der Policy Simulator Zugriffslogs abruft, wenn er eine Simulation ausführt. Zugriffslogs, die vor dem ersten oder nach dem letzten Tag des Wiedergabezeitraums erfolgen, werden nicht in die Simulation einbezogen.

In der Regel ist der letzte Tag des Replay-Zeitraums ein Tag vor der Simulation. In einigen Fällen kann der letzte Tag des Replay-Zeitraums jedoch bis zu 10 Tage vor der Simulation liegen. Zugriffslogs, die nach dem letzten Tag des Replay-Zeitraums erfolgen, werden nicht in die Simulation einbezogen.

Der Zeitraum für die Wiedergabe beträgt 90 Tage. Wenn die Organisation seit weniger als 90 Tagen besteht, ruft der Policy Simulator alle Zugriffsversuche seit der Erstellung der Organisation ab.

Das Replay-Fenster unterliegt ebenfalls der Eventual Consistency. Das bedeutet, dass einige Daten aktueller sein können als andere. Letztendlich haben jedoch alle Daten dieselbe Aktualität.

Ergebnisse des Policy Simulator

Der Policy Simulator für Principal Access Boundary-Richtlinien meldet die Auswirkungen einer vorgeschlagenen Änderung an einer Principal Access Boundary-Richtlinie oder -Bindung als Liste von Zugriffsänderungen. Eine Zugriffsänderung stellt einen Zugriffsversuch aus dem Wiederholungszeitraum dar, der bei Anwendung der simulierten Richtlinie wahrscheinlich ein anderes Ergebnis hätte.

Für jede Zugriffsänderung werden Policy Simulator auch die folgenden Informationen angezeigt:

• Das Hauptkonto, die Berechtigung und, falls verfügbar, die Ressource, die am Zugriffsversuch beteiligt waren.
• Die Anzahl der Tage im Replay-Zeitraum, an denen das Hauptkonto versucht hat, mit der Berechtigung auf die Ressource zuzugreifen. Diese Summe umfasst nur die Zugriffsversuche, die dasselbe Ergebnis wie der letzte Zugriffsversuch haben.
• Das Datum des letzten Zugriffsversuchs.

Zugriffsänderungen

Eine Zugriffsänderung weist darauf hin, dass sich der Zugriff eines Nutzers basierend auf den relevanten Principal Access Boundary-Richtlinien wahrscheinlich ändert, wenn Sie die simulierte Richtlinie oder Bindung anwenden. Zugriffsänderungen können entweder Zugriff erhalten oder Zugriff widerrufen sein.

Beim Berechnen von Zugriffsänderungen werden von Policy Simulator für die Begrenzung des Hauptkontozugriffs nur Richtlinien und Bindungen für die Begrenzung des Hauptkontozugriffs berücksichtigt. Andere Richtlinientypen werden nicht bewertet.

Der Policy Simulator berechnet Zugriffsänderungen anhand der folgenden Informationen:

• Das Ergebnis des letzten Zugriffsversuchs
• Auswirkungen der aktuellen Principal Access Boundary-Richtlinien und ‑Bindungen
• Auswirkungen der vorgeschlagenen Principal Access Boundary-Richtlinien und Bindungen

Damit der Zugriff erfolgt, müssen alle folgenden Bedingungen erfüllt sein:

• Der letzte Zugriffsversuch wurde blockiert
• Der Zugriff wird durch die aktuellen Principal Access Boundary-Richtlinien und ‑Bindungen blockiert.
• Der Zugriff wird nicht durch die vorgeschlagenen Principal Access Boundary-Richtlinien und ‑Bindungen blockiert.

Damit der Zugriff widerrufen werden kann, müssen alle folgenden Bedingungen erfüllt sein:

• Der letzte Zugriffsversuch wurde nicht blockiert.
• Der Zugriff wird nicht durch die aktuellen Principal Access Boundary-Richtlinien und ‑Bindungen blockiert.
• Der Zugriff wird durch die vorgeschlagenen Principal Access Boundary-Richtlinien und ‑Bindungen blockiert.

Eine Reihe von Principal Access Boundary-Richtlinien und ‑Bindungen blockiert den Zugriff eines Hauptkontos, wenn alle der folgenden Bedingungen zutreffen:

• Principal Access Boundary-Richtlinien wirken sich auf den Zugriff des Hauptkontos aus. Das Hauptkonto unterliegt also mindestens einer Principal Access Boundary-Richtlinie mit einer Durchsetzungsversion, die die Berechtigung in der Anfrage unterstützt.
• Keine der Principal Access Boundary-Richtlinien, denen das Hauptkonto unterliegt, enthält die Ressource.

Eine Reihe von Principal Access Boundary-Richtlinien und ‑Bindungen blockiert den Zugriff des Hauptkontos nicht, wenn eine der folgenden Bedingungen zutrifft:

• Principal Access Boundary-Richtlinien wirken sich nicht auf den Zugriff des Hauptkontos aus. Mit anderen Worten: Für das Hauptkonto gelten keine Principal Access Boundary-Richtlinien mit einer Durchsetzungsversion, die die Berechtigung in der Anfrage unterstützt.
• Mindestens eine der Principal Access Boundary-Richtlinien, denen das Hauptkonto unterliegt, enthält die Ressource.

Fehler

Die folgenden Fehler können dazu führen, dass eine Simulation fehlschlägt:

• Zeitüberschreitung: Die Ausführung der Simulation hat zu lange gedauert und es kam zu einer Zeitüberschreitung. Um das Problem zu beheben, führen Sie die Simulation noch einmal aus.
• Ungültige Simulationskonstruktion: Die vorgeschlagene Principal Access Boundary-Richtlinie oder die Bindung der Principal Access Boundary-Richtlinie ist ungültig. Beispielsweise hat die vorgeschlagene Richtlinie einen ungültigen Bedingungsausdruck oder die vorgeschlagene Bindung gilt für eine Gruppe von Identitäten, die bereits an die maximale Anzahl von Richtlinien gebunden ist. Korrigieren Sie die Richtlinie oder Bindung, um das Problem zu beheben, und versuchen Sie es noch einmal.
• Zugriff verweigert: Sie sind nicht berechtigt, eine Simulation auszuführen. Prüfen Sie, ob Ihnen die erforderlichen Rollen zugewiesen sind, und versuchen Sie es noch einmal.

Unterstützte Hauptkontotypen

Im Policy Simulator für Principal Access Boundary-Richtlinien werden nur Zugriffslogs für die folgenden Arten von Hauptkonten geprüft:

• Google-Konten
• Dienstkonten

Beim Simulieren von Principal Access Boundary-Richtlinien und ‑Bindungen werden im Policy Simulator keine Zugriffslogs für andere Hauptkontotypen geprüft. Daher wird nicht gemeldet, ob sich die vorgeschlagenen Änderungen an Ihren Richtlinien oder Bindungen auf den Zugriff dieser Hauptkonten auswirken.

Nächste Schritte

• Änderungen an einer Principal Access Boundary-Richtlinie oder -Bindung simulieren
• Weitere Informationen zu Policy Intelligence-Tools.