通过主账号访问权限边界 (PAB) Policy Simulator,您可以先了解主账号访问权限边界政策或绑定的变更可能会对主账号的访问权限有何影响,然后再决定是否进行变更。您可以使用 Policy Simulator 来帮助您了解对主账号访问权限边界政策或绑定所做的更改可能会产生的影响,然后再应用这些更改。
此功能仅根据主账号访问权限边界政策和政策绑定评估访问权限。
如需了解如何模拟对其他政策类型的更改,请参阅以下内容:
主账号访问权限边界政策的政策模拟器的工作原理
主账号访问权限边界政策的 Policy Simulator 可帮助您确定对主账号访问权限边界政策或政策绑定所做的更改会如何影响贵组织中主账号的访问权限。
当您针对主账号访问权限边界政策或政策绑定运行模拟时,Policy Simulator 会执行以下操作:
在当前主账号访问权限边界政策和绑定以及模拟的主账号访问权限边界政策或绑定的上下文中,查看组织在重放期间生成的访问日志。
返回一系列访问权限变更。这些访问权限变更会显示日志中哪些访问尝试在应用模拟的政策或绑定后可能会产生不同的结果。
如需详细了解 Policy Simulator 返回的访问权限变更,请参阅Policy Simulator 结果。
重放期限
重放时段是指 Policy Simulator 在运行模拟时获取访问日志的时间段。重放期第一天之前的访问日志或重放期最后一天之后的访问日志不会纳入模拟中。
通常,重放期的最后一天是模拟前 1 天。不过,在某些情况下,重放期的最后一天可能是在模拟开始前最多 10 天。重放期最后一天之后的访问日志不会纳入模拟范围。
重放期限为 90 天。如果组织不存在超过 90 天,则 Policy Simulator 会检索自组织创建以来的所有访问尝试。
重放窗口也具有最终一致性。这意味着,在运行模拟时,某些数据可能比其他数据更新鲜。不过,最终所有数据的新鲜度都会相同。
Policy Simulator 结果
主账号访问权限边界 Policy Simulator 会将建议的对主账号访问权限边界政策或绑定的更改的影响报告为访问权限更改列表。访问权限更改表示重放期间的访问尝试,如果应用模拟政策,则结果可能会有所不同。
对于每项访问权限更改,Policy Simulator 还会报告以下信息:
- 访问尝试所涉及的主账号、权限和资源(如果有)。
- 在重放期间,主账号尝试使用相应权限访问资源的天数。此总数仅包含与最近一次访问尝试结果相同的访问尝试。
- 最近一次尝试访问的日期。
访问权限更改
访问权限变更表示,根据相关的主账号访问权限边界政策,如果您应用模拟政策或绑定,用户的访问权限可能会发生变化。访问权限更改可以是获得访问权限,也可以是撤消访问权限。
在计算访问权限变更时,主账号访问权限边界的 Policy Simulator 只会评估主账号访问权限边界政策和绑定。而不会评估其他政策类型。
Policy Simulator 会使用以下信息计算访问权限更改:
- 最近一次访问尝试的结果
- 当前主账号访问权限边界政策和绑定的影响
- 提议的主账号访问权限边界政策和绑定的影响
如需获得访问权限,必须满足以下所有条件:
- 最近一次访问尝试被阻止
- 访问权限被当前的主账号访问权限边界政策和绑定阻止
- 访问权限未被提议的主账号访问权限边界政策和绑定阻止
如需撤消访问权限,必须满足以下所有条件:
- 最近一次访问尝试未被阻止
- 当前的主账号访问权限边界政策和绑定未阻止访问权限
- 访问权限被提议的主账号访问权限边界政策和绑定阻止
如果满足以下所有条件,一组主账号访问权限边界政策和绑定会阻止主账号的访问权限:
- 主账号访问权限边界政策确实会影响主账号的访问权限。换句话说,主账号受至少一项主账号访问权限边界政策的约束,该政策的强制执行版本支持请求中的权限。
- 主账号受约束的所有主账号访问权限边界政策均不包含相应资源。
如果满足以下任一条件,则一组主账号访问权限边界政策和绑定不会阻止主账号的访问权限:
- 主账号访问权限边界政策不会影响主账号的访问权限。换句话说,主账号不受任何具有支持请求中权限的强制执行版本的主账号访问权限边界政策的约束。
- 主账号受约束的至少一项主账号访问权限边界政策包含相应资源。
错误
以下错误可能会导致模拟失败:
- 超时:模拟运行时间过长,已超时。如需解决此问题,请尝试再次运行模拟。
- 模拟构造无效:提议的主账号访问权限边界政策或主账号访问权限边界政策绑定无效。例如,建议的政策具有无效的条件表达式,或者建议的绑定是针对已绑定到最大数量的政策的主账号集。如需解决此问题,请更正政策或绑定,然后重试。
- 权限遭拒:您无权运行模拟。如需解决此问题,请确保您已被授予所需角色,然后重试。
受支持的主账号类型
主账号访问权限边界政策的 Policy Simulator 仅会查看以下类型的主账号的访问日志:
- Google 账号
- 服务账号
在模拟主账号访问权限边界政策和绑定时,Policy Simulator 不会查看任何其他主账号类型的访问日志。因此,它不会报告建议的政策或绑定更改是否会影响这些主账号的访问权限。
后续步骤
- 了解如何模拟对主账号访问权限边界政策或绑定的更改。
- 探索其他 Policy Intelligence 工具。