主體存取權範圍 (PAB) 政策的 Policy Simulator 可讓您在變更生效前,先瞭解變更主體存取權範圍政策或繫結可能對主體存取權產生哪些影響。您可以使用政策模擬器,在套用主體存取邊界政策或繫結項目的變更前,先瞭解相關影響。
這項功能只會根據主體存取邊界政策和政策繫結來評估存取權。
如要瞭解如何模擬其他政策類型的變更,請參閱以下文章:
主體存取邊界政策的 Policy Simulator 運作方式
針對主體存取邊界政策的 Policy Simulator 可協助您判斷主體存取邊界政策或政策繫結的變更,對貴機構主體的存取權有何影響。
為主體存取邊界政策或政策繫結執行模擬時,Policy Simulator 會執行下列操作:
在目前的主體存取邊界政策和繫結,以及模擬的主體存取邊界政策或繫結的情況下,檢查機構在重播期間產生的存取記錄。
傳回一系列存取權變更。這些存取權變更會顯示,如果您套用模擬的政策或繫結,記錄中的哪些存取嘗試可能會產生不同的結果。
如要進一步瞭解 Policy Simulator 傳回的存取權變更,請參閱「Policy Simulator 結果」。
重播時間
重播期間是指 Policy Simulator 在執行模擬作業時,取得存取記錄的時間範圍。重播期間第一天之前或之後的存取記錄不會納入模擬。
通常,重播期間的最後一天會是模擬前 1 天。不過,在某些情況下,重播期間的最後一天可能會比模擬前幾天早。模擬期間的最後一天過後產生的存取記錄不會納入模擬。
重播期間為 90 天。如果機構已不存在超過 90 天,Policy Simulator 會擷取自機構建立以來的所有存取嘗試。
重播視窗也具有最終一致性。也就是說,當您執行模擬時,某些資料可能比其他資料更為新鮮。不過,所有資料最終都會保持相同的新鮮度。
政策模擬器結果
主體存取權範圍的 Policy Simulator 會將主體存取邊界政策或繫結的提議變更影響列為存取變更清單。存取權變更代表重播期間的存取嘗試,如果套用模擬政策,可能會產生不同的結果。
針對每項存取權變更,政策模擬器也會回報下列資訊:
- 存取嘗試中涉及的主體、權限,以及 (如有) 資源。
- 重播期間,主體嘗試使用權限存取資源的天數。這個總數只包含與最近一次存取嘗試相同的結果。
- 上次嘗試存取的日期。
存取權變更
存取權變更表示,如果您套用模擬政策或繫結,則根據相關的主體存取邊界政策,使用者的存取權可能會變更。存取權變更可以是獲得存取權或撤銷存取權。
計算存取權變更時,主體存取權範圍的 Policy Simulator 只會評估主體存取權範圍政策和繫結,不會評估其他類型的政策。
政策模擬器會使用下列資訊計算存取權變更:
- 最近一次存取嘗試的結果
- 目前主體存取邊界政策和繫結的影響
- 主體存取邊界政策和繫結的影響
如要取得存取權,必須符合下列所有條件:
- 最近的存取嘗試遭到封鎖
- 目前的主體存取邊界政策和繫結會封鎖存取權
- 主體存取邊界政策和繫結不會封鎖存取權
如要撤銷存取權,必須符合下列所有條件:
- 最近的存取嘗試未遭到封鎖
- 目前的主體存取邊界政策和繫結不會封鎖存取權
- 存取權遭到提議的主體存取邊界政策和繫結封鎖
若下列所有條件都成立,一組主體存取邊界政策和繫結就會封鎖主體的存取權:
- 主體存取邊界政策確實會影響主體的存取權。換句話說,主體會受到至少一項主體存取邊界政策的規範,而該政策具有支援要求中權限的執行版本。
- 主體所受規範的主體存取邊界政策中,沒有任何一項包含該資源。
若下列任一情況為真,一組主體存取邊界政策和繫結就不會封鎖主體的存取權:
- 主體存取邊界政策不會影響主體的存取權。換句話說,主體不會受到任何主體存取邊界政策的限制,因為這些政策的執行版本支援要求中的權限。
- 主體所受管轄的主體存取邊界政策中,至少有一項包含該資源。
錯誤
下列錯誤可能會導致模擬作業失敗:
- 逾時:模擬作業的執行時間過長,因此逾時。如要解決這個問題,請嘗試再次執行模擬。
- 無效的模擬建構作業:所提案的主體存取邊界政策或主體存取邊界政策繫結無效。例如,所提議的政策含有無效的條件運算式,或是所提議的繫結適用於已繫結至政策數量上限的管理員集。如要解決這個問題,請修正政策或繫結,然後再試一次。
- 權限遭拒:您沒有執行模擬作業的權限。如要解決這個問題,請確認您已獲授必要角色,然後再試一次。
支援的主體類型
主體存取邊界政策的政策模擬工具只會檢查下列類型主體的存取記錄:
- Google 帳戶
- 服務帳戶
模擬主體存取邊界政策和繫結時,Policy Simulator 不會檢查任何其他主體類型的存取記錄。因此,它不會回報政策或繫結的提議變更是否會影響這些主體的存取權。
後續步驟
- 瞭解如何模擬主體存取邊界政策或繫結的變更。
- 探索其他 Policy Intelligence 工具。