Questa pagina descrive come simulare una modifica a una policy di negazione IAM utilizzando Policy Simulator. Spiega inoltre come interpretare i risultati della simulazione e come applicare la policy di negazione simulata, se lo desideri.
Questa funzionalità valuta l'accesso solo in base ai criteri di negazione.
Per scoprire come simulare altri tipi di criteri, consulta quanto segue:
- Testare le modifiche ai criteri dell'organizzazione con Policy Simulator
- Testa le modifiche alle policy di Principal Access Boundary con Policy Simulator
- Testare le modifiche dei ruoli con Policy Simulator
Prima di iniziare
-
Enable the Policy Simulator and Identity and Access Management APIs.
- (Facoltativo) Scopri come funziona Policy Simulator per le policy di negazione.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per testare le modifiche alle policy di negazione, chiedi all'amministratore di concederti il ruolo IAM Deny Admin (roles/iam.denyAdmin) nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Simulare una modifica a una policy di negazione
La simulazione di una policy di negazione prevede i seguenti passaggi:
- Avviare la simulazione
- In attesa del completamento della simulazione
- Visualizzare il report sulla simulazione
- Intervenire in base alla simulazione
Avviare una simulazione
Puoi avviare una simulazione nei seguenti modi:
Simula una nuova policy di negazione:
- Nella console Google Cloud , vai alla scheda Nega nella pagina IAM.
- Seleziona un progetto, una cartella o un'organizzazione.
- Segui i passaggi per creare una policy di negazione, ma non fare clic su Crea dopo aver inserito i dettagli della policy di negazione. Fai invece clic su Testa norma.
Simula una modifica a una policy di negazione:
Nella console Google Cloud , vai alla scheda Nega nella pagina IAM.
Seleziona un progetto, una cartella o un'organizzazione.
Nella colonna ID criterio, fai clic sull'ID del criterio che vuoi modificare.
Fai clic su Modifica.
Aggiorna la policy di negazione:
- Per modificare il nome visualizzato della policy, modifica il campo Nome visualizzato.
- Per modificare una regola di negazione esistente, fai clic sulla regola di negazione e poi modifica le entità della regola, le entità di eccezione, le autorizzazioni negate, le autorizzazioni di eccezione o la condizione di negazione.
- Per rimuovere una regola di negazione, trova la regola di negazione che vuoi eliminare e fai clic su Elimina nella riga.
- Per aggiungere una regola di negazione, fai clic su Aggiungi regola di negazione e poi crea una regola di negazione come quando crei un criterio di negazione.
Una volta aggiornata la policy di negazione, fai clic su Testa modifiche.
Quando fai clic su Testa policy o Testa modifiche, Policy Simulator avvia la simulazione e ti reindirizza alla pagina Report di simulazione di negazione. Puoi uscire da questa pagina senza perdere i progressi.
Attendi il completamento di una simulazione
Dopo aver avviato una simulazione, la console Google Cloud genera una notifica che indica che la simulazione è in esecuzione.
Al termine della simulazione, la Google Cloud console genera un'altra notifica che indica che la simulazione è stata completata. Quando ricevi questa notifica, puoi visualizzare il report di simulazione.
Ogni utente può avere fino a 10 simulazioni in corso.
Visualizzare un report sulla simulazione
Nella console Google Cloud , vai alla pagina Report di simulazione di negazione.
Trova la simulazione di cui vuoi visualizzare il report, poi fai clic su Visualizza report nella riga.
Il report sulla simulazione contiene quanto segue:
- Una panoramica dei dettagli della simulazione, tra cui la policy simulata, l'azione simulata e l'ora della simulazione.
- Un pulsante Visualizza policy o Visualizza modifiche alle policy che, se selezionato, mostra la policy simulata in formato JSON. Se stai simulando la modifica della policy, potrebbe anche essere visualizzata la differenza tra la policy attuale e quella simulata.
- Una sezione Risultati della riproduzione, che mostra i risultati della simulazione. Per scoprire come interpretare questi risultati, consulta Risultati di Policy Simulator.
Intervenire in base a una simulazione
Dopo aver esaminato un report di simulazione, puoi eseguire le seguenti azioni:
Esporta i risultati della simulazione: per esportare i risultati di una simulazione come file CSV, fai clic su Esporta risultati.
Quando fai clic su questo pulsante, un file CSV con i report di simulazione viene scaricato sul computer.
Applica la modifica alla policy simulata: per applicare la policy o la modifica alla policy simulata, fai clic su Imposta policy.
Quando fai clic su questo pulsante, la Google Cloud console imposta il criterio simulato.
Modifica la modifica simulata alla policy: per apportare ulteriori modifiche alla policy o alla modifica della policy simulata, fai clic su Modifica policy.
Quando fai clic su questo pulsante, la console Google Cloud ti reindirizza all'editor dei criteri di negazione.
In alternativa, puoi fare clic su Annulla per uscire dal report sulla simulazione senza intraprendere alcuna azione.
Visualizzare la cronologia delle simulazioni
La pagina Nega report delle simulazioni contiene una tabella in cui sono elencate tutte le simulazioni che hai eseguito negli ultimi 14 giorni. Questo elenco è univoco per ogni utente e non può essere condiviso.
Per visualizzare la pagina Nega report delle simulazioni:
Nella console Google Cloud , vai alla scheda Nega nella pagina IAM.
Seleziona il progetto, la cartella o l'organizzazione per cui vuoi visualizzare le simulazioni.
Fai clic su Cronologia delle simulazioni.
Per ogni simulazione, la pagina elenca la policy a cui si riferisce la simulazione, la data di inizio della simulazione e lo stato della simulazione.
Le simulazioni possono avere i seguenti stati:
- In corso: la simulazione è in esecuzione, ma non è ancora stata completata. Puoi avere fino a 10 simulazioni in corso.
- Completata: la simulazione è stata completata.
- Errore: la simulazione non è stata completata a causa di un errore.
Passaggi successivi
- Testare le modifiche ai criteri dell'organizzazione con Policy Simulator
- Testa le modifiche dei ruoli con Policy Simulator