Änderungen an Ablehnungsrichtlinien mit dem Policy Simulator testen

Auf dieser Seite wird beschrieben, wie Sie eine Änderung an einer IAM-Ablehnungsrichtlinie mit dem Policy Simulator simulieren. Außerdem wird erläutert, wie Sie die Ergebnisse der Simulation interpretieren und die simulierte Ablehnungsrichtlinie anwenden können.

Bei dieser Funktion wird der Zugriff nur auf Grundlage von Ablehnungsrichtlinien ausgewertet.

Informationen zum Simulieren anderer Richtlinientypen finden Sie hier:

Hinweise

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Deny Admin (roles/iam.denyAdmin) für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Testen von Änderungen an Ablehnungsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Änderung an einer Ablehnungsrichtlinie simulieren

Die Simulation einer Ablehnungsrichtlinie umfasst die folgenden Schritte:

  1. Simulation starten
  2. Warten, bis die Simulation abgeschlossen ist
  3. Simulationsbericht ansehen
  4. Auf Grundlage der Simulation Maßnahmen ergreifen

Simulation starten

Sie haben folgende Möglichkeiten, eine Simulation zu starten:

  • Neue Ablehnungsrichtlinie simulieren:

    1. Rufen Sie in der Google Cloud Console auf der Seite IAM den Tab Ablehnen auf.

    IAM aufrufen

    1. Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
    2. Folgen Sie der Anleitung zum Erstellen einer Ablehnungsrichtlinie, klicken Sie aber nicht auf Erstellen, nachdem Sie die Details der Ablehnungsrichtlinie eingegeben haben. Klicken Sie stattdessen auf Richtlinie testen.
  • So simulieren Sie eine Änderung an einer Ablehnungsrichtlinie:

    1. Rufen Sie in der Google Cloud Console auf der Seite IAM den Tab Ablehnen auf.

      IAM aufrufen

    2. Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.

    3. Klicken Sie in der Spalte Richtlinien-ID auf die ID der Richtlinie, die Sie bearbeiten möchten.

    4. Klicken Sie auf  Bearbeiten.

    5. Ablehnungsrichtlinie aktualisieren:

      • Wenn Sie den Anzeigenamen der Richtlinie ändern möchten, bearbeiten Sie das Feld Anzeigename.
      • Wenn Sie eine vorhandene Ablehnungsregel bearbeiten möchten, klicken Sie auf die Regel und ändern Sie dann die Hauptkonten, Ausnahmekonten, abgelehnten Berechtigungen, Ausnahmeberechtigungen oder die Ablehnungsbedingung der Regel.
      • Wenn Sie eine Anlehnungsregel entfernen möchten, suchen Sie die entsprechende Regel und klicken Sie in der Zeile auf Löschen.
      • Wenn Sie eine Ablehnungsregel hinzufügen möchten, klicken Sie auf Ablehnungsregel hinzufügen und erstellen Sie dann eine Ablehnungsregel wie beim Erstellen einer Ablehnungsrichtlinie.
    6. Wenn Sie die Ablehnungsrichtlinie aktualisiert haben, klicken Sie auf Änderungen testen.

Wenn Sie auf Richtlinie testen oder Änderungen testen klicken, startet der Policy Simulator die Simulation und leitet Sie zur Seite Ablehnungssimulationsberichte weiter. Sie können diese Seite verlassen, ohne dass der Fortschritt verloren geht.

Warten, bis eine Simulation abgeschlossen ist

Nachdem Sie eine Simulation gestartet haben, wird in der Google Cloud Konsole eine Benachrichtigung generiert, dass die Simulation ausgeführt wird.

Nach Abschluss der Simulation wird in der Google Cloud Konsole eine weitere Benachrichtigung generiert, dass die Simulation abgeschlossen ist. Wenn Sie diese Benachrichtigung erhalten, können Sie den Simulationsbericht aufrufen.

Jeder Nutzer kann bis zu 10 laufende Simulationen haben.

Simulationsbericht ansehen

  1. Rufen Sie in der Google Cloud Console die Seite Simulationsberichte ablehnen auf.

    Zu „Simulationsberichte zu Ablehnungen“

  2. Suchen Sie die Simulation, deren Bericht Sie aufrufen möchten, und klicken Sie in dieser Zeile auf Bericht ansehen.

Der Simulationsbericht enthält Folgendes:

  • Eine Übersicht der Simulationsdetails, einschließlich der simulierten Richtlinie, der simulierten Aktion und der Simulationszeit.
  • Eine Schaltfläche Richtlinie ansehen oder Änderungen an der Richtlinie ansehen, über die die simulierte Richtlinie im JSON-Format angezeigt wird. Wenn Sie die Richtlinienänderung simulieren, wird möglicherweise auch der Unterschied zwischen der aktuellen und der simulierten Richtlinie angezeigt.
  • Der Abschnitt Wiedergabeergebnisse, in dem die Ergebnisse der Simulation angezeigt werden. Informationen zum Interpretieren dieser Ergebnisse finden Sie unter Ergebnisse des Richtliniensimulators.

Auf Grundlage einer Simulation Maßnahmen ergreifen

Nachdem Sie einen Simulationsbericht geprüft haben, können Sie folgende Aktionen ausführen:

  • Simulationsergebnisse exportieren: Wenn Sie die Ergebnisse einer Simulation als CSV-Datei exportieren möchten, klicken Sie auf Ergebnisse exportieren.

    Wenn Sie auf diese Schaltfläche klicken, wird eine CSV-Datei mit den Simulationsberichten auf Ihren Computer heruntergeladen.

  • Simulierte Richtlinienänderung anwenden: Wenn Sie die simulierte Richtlinie oder Richtlinienänderung anwenden möchten, klicken Sie auf Richtlinie festlegen.

    Wenn Sie auf diese Schaltfläche klicken, wird die simulierte Richtlinie in der Google Cloud Konsole festgelegt.

  • Simulierte Änderung an der Richtlinie bearbeiten: Wenn Sie weitere Änderungen an der simulierten Richtlinie oder Richtlinienänderung vornehmen möchten, klicken Sie auf Richtlinie ändern.

    Wenn Sie auf diese Schaltfläche klicken, werden Sie in der Google Cloud -Konsole zum Richtlinieneditor für die Ablehnung weitergeleitet.

Alternativ können Sie auf Abbrechen klicken, um den Simulationsbericht zu schließen, ohne eine Aktion auszuführen.

Simulationsverlauf ansehen

Die Seite Simulationsberichte zu Ablehnungen enthält eine Tabelle mit allen Simulationen, die Sie in den letzten 14 Tagen ausgeführt haben. Diese Liste ist für jeden Nutzer einzigartig und kann nicht geteilt werden.

So rufen Sie die Seite Simulationsberichte zu Ablehnungen auf:

  1. Rufen Sie in der Google Cloud Console auf der Seite IAM den Tab Ablehnen auf.

    IAM aufrufen

  2. Wählen Sie das Projekt, den Ordner oder die Organisation aus, für die Sie Simulationen aufrufen möchten.

  3. Klicken Sie auf  Simulationsverlauf.

Für jede Simulation werden auf der Seite die Richtlinie, für die die Simulation durchgeführt wird, das Datum, an dem Sie die Simulation gestartet haben, und der Status der Simulation aufgeführt.

Simulationen können die folgenden Status haben:

  • Wird ausgeführt: Die Simulation wird ausgeführt, ist aber noch nicht abgeschlossen. Sie können bis zu zehn laufende Simulationen haben.
  • Abgeschlossen: Die Simulation ist abgeschlossen.
  • Fehler: Die Simulation konnte aufgrund eines Fehlers nicht abgeschlossen werden.

Nächste Schritte