Policy Simulator per i criteri di Principal Access Boundary

Policy Simulator per le policy Principal Access Boundary (PAB) ti consente di vedere in che modo una modifica a una policy Principal Access Boundary o a un'associazione potrebbe influire sull'accesso delle tue entità prima di impegnarti ad apportare la modifica. Puoi utilizzare Policy Simulator per comprendere il potenziale impatto di una modifica a un criterio o un binding di Principal Access Boundary prima di applicarlo.

Questa funzionalità valuta l'accesso solo in base alle policy di Principal Access Boundary e alle associazioni delle policy.

Per scoprire come simulare le modifiche ad altri tipi di policy, consulta quanto segue:

• Policy Simulator per i criteri di autorizzazione
• Simulatore di criteri per le policy di negazione
• Simulatore di criteri per i criteri dell'organizzazione

Come funziona Policy Simulator per le policy di Principal Access Boundary

Policy Simulator per le policy di Principal Access Boundary ti aiuta a determinare in che modo una modifica a una policy di Principal Access Boundary o a un'associazione di policy influisce sull'accesso per le entità della tua organizzazione.

Quando esegui una simulazione per una policy di Principal Access Boundary o un'associazione di policy, Policy Simulator esegue le seguenti operazioni:

• Esamina i log di accesso dell'organizzazione generati durante il periodo di riproduzione nel contesto delle attuali policy e associazioni di Principal Access Boundary e della policy o dell'associazione di Principal Access Boundary simulata.

• Restituisce una serie di modifiche all'accesso. Queste modifiche all'accesso mostrano quali tentativi di accesso dai log potrebbero avere risultati diversi se avessi applicato la policy o il binding simulati.

Per scoprire di più sulle modifiche all'accesso restituite da Policy Simulator, consulta Risultati di Policy Simulator.

Periodo di replay

Il periodo di riproduzione è il periodo di tempo per il quale Policy Simulator ottiene i log di accesso durante l'esecuzione di una simulazione. I log di accesso precedenti al primo giorno del periodo di riproduzione o successivi all'ultimo giorno del periodo di riproduzione non sono inclusi nella simulazione.

In genere, l'ultimo giorno del periodo di replay è il giorno precedente alla simulazione. Tuttavia, in alcuni casi, l'ultimo giorno del periodo di replay può essere fino a 10 giorni prima della simulazione. I log di accesso che si verificano dopo l'ultimo giorno del periodo di replay non sono inclusi nella simulazione.

Il periodo di replay è di 90 giorni. Se l'organizzazione non esiste da più di 90 giorni, Policy Simulator recupera tutti i tentativi di accesso dalla creazione dell'organizzazione.

Anche la finestra di riproduzione è a coerenza finale. Ciò significa che, quando esegui una simulazione, alcuni dati potrebbero essere più recenti di altri dati. Tuttavia, alla fine tutti i dati avranno lo stesso aggiornamento.

Risultati di Policy Simulator

Policy Simulator per Principal Access Boundary segnala l'impatto di una modifica proposta a una policy o un'associazione di Principal Access Boundary come elenco di modifiche all'accesso. Una modifica dell'accesso rappresenta un tentativo di accesso dal periodo di riproduzione che probabilmente avrebbe un risultato diverso se fosse stata applicata la policy simulata.

Per ogni modifica dell'accesso, Policy Simulator segnala anche le seguenti informazioni:

• L'entità, l'autorizzazione e, se disponibile, la risorsa coinvolta nel tentativo di accesso.
• Il numero di giorni durante il periodo di replay in cui l'entità ha tentato di utilizzare l'autorizzazione per accedere alla risorsa. Questo totale include solo i tentativi di accesso che hanno lo stesso risultato del tentativo di accesso più recente.
• La data dell'ultimo tentativo di accesso.

Modifiche di accesso

Una modifica dell'accesso indica che, in base ai criteri di Principal Access Boundary pertinenti, l'accesso di un utente cambierà probabilmente se applichi il criterio o il binding simulato. Le modifiche dell'accesso possono essere accesso ottenuto o accesso revocato.

Quando calcola le modifiche all'accesso, Policy Simulator per Principal Access Boundary valuta solo i criteri e le associazioni di Principal Access Boundary. Non valuta altri tipi di policy.

Policy Simulator calcola le modifiche all'accesso utilizzando le seguenti informazioni:

• Il risultato dell'ultimo tentativo di accesso
• Impatto delle attuali policy di Principal Access Boundary e delle associazioni
• L'impatto delle policy di Principal Access Boundary e delle associazioni proposte

Per ottenere l'accesso, devono essere soddisfatte tutte le seguenti condizioni:

• L'ultimo tentativo di accesso è stato bloccato
• L'accesso è bloccato dalle attuali policy e associazioni di Principal Access Boundary
• L'accesso non è bloccato dai criteri e dalle associazioni di Principal Access Boundary proposti

Per la revoca dell'accesso, devono verificarsi tutte le seguenti condizioni:

• L'ultimo tentativo di accesso non è stato bloccato
• L'accesso non è bloccato dalle attuali policy di Principal Access Boundary e dalle associazioni
• L'accesso è bloccato dalle policy di Principal Access Boundary e dalle associazioni proposte

Un insieme di policy e associazioni di Principal Access Boundary bloccano l'accesso di un'entità se tutte le seguenti condizioni sono vere:

• le policy di Principal Access Boundary influiscono sull'accesso dell'entità. In altre parole, l'entità è soggetta ad almeno un criterio di Principal Access Boundary che ha una versione di applicazione che supporta l'autorizzazione nella richiesta.
• Nessuna delle policy di Principal Access Boundary a cui è soggetta l'entità include la risorsa.

Un insieme di criteri e associazioni di Principal Access Boundary non blocca l'accesso dell'entità se una delle seguenti condizioni è vera:

• le policy di Principal Access Boundary non influiscono sull'accesso dell'entità. In altre parole, l'entità non è soggetta a criteri di Principal Access Boundary che hanno una versione di applicazione che supporta l'autorizzazione nella richiesta.
• Almeno una delle policy di Principal Access Boundary a cui è soggetta l'entità include la risorsa.

Errori

I seguenti errori possono causare il mancato completamento di una simulazione:

• Timeout: l'esecuzione della simulazione ha richiesto troppo tempo ed è scaduta. Per risolvere il problema, prova a eseguire di nuovo la simulazione.
• Costruzione della simulazione non valida: la proposta di policy di Principal Access Boundary o l'associazione della policy di Principal Access Boundary non è valida. Ad esempio, il criterio proposto ha un'espressione di condizione non valida oppure il binding proposto riguarda un insieme di entità che è già associato al numero massimo di criteri. Per risolvere il problema, correggi la policy o l'associazione e riprova.
• Autorizzazione negata: non hai l'autorizzazione per eseguire una simulazione. Per risolvere il problema, assicurati di disporre dei ruoli richiesti e riprova.

Tipi di entità supportati

Policy Simulator per le policy di Principal Access Boundary esamina solo i log di accesso per i seguenti tipi di entità:

• Account Google
• Account di servizio

Quando simula i criteri e le associazioni di Principal Access Boundary, Policy Simulator non esamina i log di accesso per altri tipi di entità. Di conseguenza, non indica se le modifiche proposte alle tue policy o ai tuoi binding influiranno sull'accesso di queste entità.

Passaggi successivi

• Scopri come simulare una modifica a una policy o a un'associazione di Principal Access Boundary.
• Esplora altri strumenti di Policy Intelligence.