El simulador de políticas de límites de acceso de principales (PAB) te permite ver cómo podría afectar un cambio en una política de límites de acceso de principales o en un enlace al acceso de tus principales antes de aplicar el cambio. Puedes usar el simulador de políticas para saber el impacto potencial de un cambio en una política o una vinculación de límite de acceso de un principal antes de aplicarlo.
Esta función solo evalúa el acceso en función de las políticas de límites de acceso de principales y de las vinculaciones de políticas.
Para saber cómo simular cambios en otros tipos de políticas, consulta lo siguiente:
- Simulador de política para políticas de permiso
- Simulador de política para políticas de denegación
- Simulador de política para políticas de organización
Cómo funciona Policy Simulator para las políticas de límites de acceso de principales
El simulador de políticas de límites de acceso de principales te ayuda a determinar cómo afecta a los principales de tu organización un cambio en una política de límites de acceso de principales o en una vinculación de políticas.
Cuando ejecutas una simulación de una política de límites de acceso de principales o de una vinculación de políticas, Simulador de políticas hace lo siguiente:
Revisa los registros de acceso de la organización que se generaron durante el periodo de repetición en el contexto de las políticas y las vinculaciones de límites de acceso principales actuales, así como de la política o la vinculación de límites de acceso principales simulada.
Devuelve una serie de cambios de acceso. Estos cambios de acceso muestran qué intentos de acceso de los registros probablemente tengan resultados diferentes si aplicara la política o la vinculación simuladas.
Para obtener más información sobre los cambios de acceso que devuelve el simulador de políticas, consulta los resultados del simulador de políticas.
Periodo de repetición
El periodo de repetición es el periodo durante el cual Simulador de políticas tiene acceso a los registros para ejecutar una simulación. Los registros de acceso que se producen antes del primer día del periodo de repetición o después del último día del periodo de repetición no se incluyen en la simulación.
Por lo general, el último día del periodo de repetición es el día anterior a la simulación. Sin embargo, en algunos casos, el último día del periodo de repetición puede ser hasta 10 días antes de la simulación. Los registros de acceso que se produzcan después del último día del periodo de repetición no se incluirán en la simulación.
El periodo de repetición es de 90 días. Si la organización no ha existido durante más de 90 días, el Simulador de políticas recupera todos los intentos de acceso desde que se creó la organización.
La ventana de repetición también es coherente con el tiempo. Esto significa que, cuando ejecutas una simulación, algunos datos pueden ser más recientes que otros. Sin embargo, al final, todos los datos tendrán la misma actualización.
Resultados del simulador de políticas
El simulador de políticas de límites de acceso de principales informa del impacto de un cambio propuesto en una política o una vinculación de límites de acceso de principales como una lista de cambios de acceso. Un cambio de acceso representa un intento de acceso del periodo de repetición que probablemente tendría un resultado diferente si se aplicara la política simulada.
Por cada cambio de acceso, el simulador de políticas también proporciona la siguiente información:
- La entidad principal, el permiso y, si está disponible, el recurso implicados en el intento de acceso.
- Número de días durante el periodo de repetición en los que el principal ha intentado usar el permiso para acceder al recurso. Este total solo incluye los intentos de acceso que tienen el mismo resultado que el intento de acceso más reciente.
- Fecha del intento de acceso más reciente.
Cambios en el acceso
Un cambio de acceso indica que, en función de las políticas de límite de acceso principal pertinentes, es probable que el acceso de un usuario cambie si aplicas la política o el enlace simulados. Los cambios de acceso pueden ser acceso concedido o acceso revocado.
Al calcular los cambios en el acceso, Simulador de políticas de límites de acceso de principales solo evalúa las políticas y las vinculaciones de límites de acceso de principales. No evalúa otros tipos de políticas.
El simulador de políticas calcula los cambios en el acceso con la siguiente información:
- El resultado del intento de acceso más reciente
- El impacto de las políticas y las vinculaciones de límites de acceso de principales actuales
- El impacto de las políticas y las vinculaciones de límites de acceso de principales propuestas
Para obtener acceso, deben cumplirse todas las condiciones siguientes:
- Se ha bloqueado el intento de acceso más reciente
- El acceso está bloqueado por las políticas y las vinculaciones de límites de acceso de principales actuales
- El acceso no está bloqueado por las políticas y las vinculaciones de límites de acceso de principales propuestas
Para que se revoque el acceso, deben cumplirse todas las condiciones siguientes:
- No se ha bloqueado el intento de acceso más reciente
- El acceso no está bloqueado por las políticas y las vinculaciones de límites de acceso de principales actuales
- El acceso está bloqueado por las políticas y las vinculaciones de límites de acceso de principales propuestas
Un conjunto de políticas y enlaces de límites de acceso de principales bloquean el acceso de un principal si se cumplen todas las condiciones siguientes:
- Las políticas de límites de acceso de principales sí afectan al acceso del principal. En otras palabras, el principal está sujeto a al menos una política de límites de acceso de principales que tiene una versión de aplicación que admite el permiso de la solicitud.
- Ninguna de las políticas de límites de acceso de principales a las que está sujeta la entidad principal incluye el recurso.
Un conjunto de políticas y enlaces de límites de acceso de principales no bloquea el acceso de un principal si se cumple alguna de las siguientes condiciones:
- Las políticas de límites de acceso de principales no afectan al acceso del principal. Es decir, el principal no está sujeto a ninguna política de límites de acceso de principales que tenga una versión de aplicación que admita el permiso de la solicitud.
- Al menos una de las políticas de límites de acceso de principales a las que está sujeto el principal incluye el recurso.
Errores
Los siguientes errores pueden provocar que falle una simulación:
- Tiempo de espera agotado: la simulación ha tardado demasiado en ejecutarse y se ha agotado el tiempo de espera. Para solucionarlo, vuelve a ejecutar la simulación.
- Construcción de simulación no válida: la política de límites de acceso de principales o el enlace de la política de límites de acceso de principales propuestos no son válidos. Por ejemplo, la política propuesta tiene una expresión de condición no válida o el enlace propuesto es para un conjunto de principales que ya está vinculado al número máximo de políticas. Para resolver el problema, corrija la política o la vinculación y vuelva a intentarlo.
- Permiso denegado: no tienes permiso para ejecutar una simulación. Para resolver este problema, asegúrate de que tienes los roles necesarios y vuelve a intentarlo.
Tipos de principales admitidos
El simulador de políticas de límites de acceso de principales solo revisa los registros de acceso de los siguientes tipos de principales:
- Cuentas de Google
- Cuentas de servicio
Al simular políticas y enlaces de límites de acceso de principales, el simulador de políticas no revisa los registros de acceso de ningún otro tipo de principal. Por lo tanto, no indica si los cambios propuestos en sus políticas o enlaces afectarán al acceso de esas principales.
Siguientes pasos
- Consulta cómo simular un cambio en una política o una vinculación de límite de acceso de un principal.
- Consulta otras herramientas de Policy Intelligence.