En esta página, se describe cómo simular un cambio en una política de denegación de IAM con Policy Simulator. También se explica cómo interpretar los resultados de la simulación y cómo aplicar la política de denegación simulada si así lo deseas.
Esta función solo evalúa el acceso según las políticas de denegación.
Para obtener información sobre cómo simular otros tipos de políticas, consulta lo siguiente:
- Prueba los cambios en las políticas de la organización con Policy Simulator
- Prueba los cambios en las políticas de límite de acceso de la principal con Policy Simulator
- Prueba cambios de roles con Policy Simulator
Antes de comenzar
-
Enable the Policy Simulator and Identity and Access Management APIs.
- Opcional: Consulta cómo funciona Policy Simulator para políticas de denegación.
Roles obligatorios
Para obtener los permisos que necesitas para probar los cambios en las políticas de denegación,
pídele a tu administrador que te otorgue el
rol de IAM de Administrador de denegaciones (roles/iam.denyAdmin)
en la organización.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Simula un cambio en una política de denegación
La simulación de una política de denegación implica los siguientes pasos:
- Cómo iniciar la simulación
- Esperando a que finalice la simulación
- Cómo ver el informe de simulación
- Cómo tomar medidas en función de la simulación
Cómo iniciar una simulación
Puedes iniciar una simulación de las siguientes maneras:
Simula una política de denegación nueva:
- En la Google Cloud consola, ve a la pestaña Denegar en la página IAM.
- Selecciona un proyecto, una carpeta o una organización.
- Sigue los pasos para crear una política de denegación, pero no hagas clic en Crear después de ingresar los detalles de la política de denegación. En su lugar, haz clic en Probar política.
Sigue estos pasos para simular la edición de una política de denegación:
En la Google Cloud consola, ve a la pestaña Denegar en la página IAM.
Selecciona un proyecto, una carpeta o una organización.
En la columna ID de política, haz clic en el ID de la política que deseas editar.
Haz clic en Editar.
Actualiza la política de denegación:
- Para cambiar el nombre visible de la política, edita el campo Nombre visible.
- Para editar una regla de denegación existente, haz clic en ella y, luego, modifica las principales, las principales de excepción, los permisos de denegación, los permisos de excepción o la condición de denegación de la regla.
- Para quitar una regla de denegación, busca la regla que deseas borrar y, luego, haz clic en Borrar en esa fila.
- Para agregar una regla de denegación, haz clic en Agregar regla de denegación y, luego, crea una regla de denegación como lo haces cuando creas una política de denegación.
Cuando termines de actualizar la política de denegación, haz clic en Probar cambios.
Cuando haces clic en Probar política o Probar cambios, Policy Simulator inicia la simulación y te redirecciona a la página Informes de simulación de denegación. Puedes salir de esta página sin perder el progreso.
Espera a que se complete una simulación
Después de iniciar una simulación, la consola Google Cloud genera una notificación que indica que la simulación se está ejecutando.
Una vez que finaliza la simulación, la consola de Google Cloud genera otra notificación que indica que se completó la simulación. Cuando recibas esta notificación, podrás ver el informe de simulación.
Cada usuario puede tener hasta 10 simulaciones en curso.
Cómo ver un informe de simulación
En la consola de Google Cloud , ve a la página Informes de simulación de rechazo.
Busca la simulación cuyo informe deseas ver y, luego, haz clic en Ver informe en esa fila.
El informe de simulación contiene lo siguiente:
- Descripción general de los detalles de la simulación, incluida la política simulada, la acción simulada y el tiempo de simulación.
- Un botón Ver política o Ver cambios en la política que, cuando se hace clic en él, muestra la política simulada en formato JSON. Si simulas el cambio de política, también es posible que se muestre la diferencia entre la política actual y la política simulada.
- Una sección Resultados de la repetición, en la que se muestran los resultados de la simulación Para obtener más información sobre cómo interpretar estos resultados, consulta Resultados de Policy Simulator.
Toma medidas según una simulación
Después de revisar un informe de simulación, puedes realizar las siguientes acciones:
Exporta los resultados de la simulación: Para exportar los resultados de una simulación como un archivo CSV, haz clic en Exportar resultados.
Cuando hagas clic en este botón, se descargará en tu computadora un archivo CSV con los informes de simulación.
Aplica el cambio de política simulado: Para aplicar la política o el cambio de política simulado, haz clic en Establecer política.
Cuando haces clic en este botón, la consola Google Cloud establece la política simulada.
Editar el cambio simulado en la política: Para realizar más cambios en la política simulada o en el cambio de política, haz clic en Modificar política.
Cuando haces clic en este botón, la consola de Google Cloud te redirecciona al editor de políticas de denegación.
Como alternativa, puedes hacer clic en Cancelar para salir del informe de simulación sin realizar ninguna acción.
Cómo ver el historial de simulación
La página Informes de simulación denegada contiene una tabla en la que se enumeran todas las simulaciones que ejecutaste en los últimos 14 días. Esta lista es única para cada usuario y no se puede compartir.
Para ver la página Informes de simulación denegada, haz lo siguiente:
En la Google Cloud consola, ve a la pestaña Denegar en la página IAM.
Selecciona el proyecto, la carpeta o la organización para los que deseas ver las simulaciones.
Haz clic en Historial de simulación.
En cada simulación, la página muestra la política para la que se realiza la simulación, la fecha en que la iniciaste y el estado de la simulación.
Las simulaciones pueden tener los siguientes estados:
- En curso: La simulación se está ejecutando, pero aún no se completó. Puedes tener hasta 10 simulaciones en curso.
- Completada: Se completó la simulación.
- Error: No se pudo completar la simulación debido a un error.
¿Qué sigue?
- Prueba los cambios en las políticas de la organización con Policy Simulator
- Prueba cambios de roles con Policy Simulator