Testar alterações na política de negação com o Simulador de política
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Nesta página, descrevemos como simular uma mudança em uma política de negação do IAM usando o Simulador de política. Ela também explica como
interpretar os resultados da simulação e como aplicar a política de negação
simulada, se você quiser.
Esse recurso avalia apenas o acesso com base em políticas de negação.
Para saber como simular outros tipos de políticas, consulte:
Para receber as permissões
necessárias a fim de testar mudanças nas políticas de negação,
peça ao administrador para conceder a você o
papel do IAM de Administrador de negação (roles/iam.denyAdmin)
na organização.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Siga as etapas para criar uma política de negação, mas não clique em Criar depois de inserir os detalhes da política. Em vez disso, clique em Testar política.
Simule uma edição em uma política de negação:
No console do Google Cloud , acesse a guia Negar na página IAM.
Na coluna ID da política, clique no ID da política que você quer
editar.
Clique em editEditar.
Atualize a política de negação:
Para mudar o nome de exibição da política, edite o campo Nome de exibição.
Para editar uma regra de negação, clique nela e modifique os principais, os principais de exceção, as permissões negadas, as permissões de exceção ou a condição de negação.
Para remover uma regra de negação, encontre a que você quer excluir e clique em deleteExcluir nessa linha.
Para adicionar uma regra de negação, clique em Adicionar regra de negação e crie uma regra de negação
como você faz ao criar uma política de negação.
Quando terminar de atualizar a política de negação, clique em Testar alterações.
Quando você clica em Testar política ou Testar mudanças, o Simulador de política
inicia a simulação e redireciona você para a página Relatórios de simulação de negação.
Você pode sair desta página sem perder o progresso.
Aguardar a conclusão de uma simulação
Depois que você inicia uma simulação, o console Google Cloud gera uma notificação
informando que ela está em execução.
Depois que a simulação terminar, o console Google Cloud vai gerar outra
notificação informando que a simulação foi concluída. Quando você receber essa notificação, confira o relatório de simulação.
Cada usuário pode ter até 10 simulações em andamento.
Ver um relatório de simulação
No console Google Cloud , acesse a página Relatórios de simulação de negação.
Encontre a simulação cujo relatório você quer ver e clique em Ver relatório nessa linha.
O relatório de simulação contém o seguinte:
Uma visão geral dos detalhes da simulação, incluindo a política simulada, a ação simulada e o tempo de simulação.
Um botão Ver política ou Ver mudanças na política que, quando clicado,
mostra a política simulada no formato JSON. Se você estiver simulando a mudança de política, também poderá mostrar a diferença entre a política atual e a simulada.
Uma seção Resultados da repetição, que mostra os resultados da simulação. Para
saber como interpretar esses resultados, consulte Resultados do Simulador de
políticas.
Realizar ações com base em uma simulação
Depois de analisar um relatório de simulação, você pode realizar as seguintes ações:
Exportar os resultados da simulação: para exportar os resultados de uma simulação como um arquivo CSV, clique em Exportar resultados.
Ao clicar nesse botão, um arquivo CSV com os relatórios de simulação é baixado para seu computador.
Aplicar a mudança de política simulada: para aplicar a política ou a mudança de política simulada, clique em Definir política.
Quando você clica nesse botão, o console Google Cloud define a política simulada.
Edite a mudança simulada na política: para fazer mais mudanças na política ou na mudança simulada, clique em Modificar política.
Quando você clica nesse botão, o console Google Cloud redireciona para o editor de políticas de negação.
Como alternativa, clique em Cancelar para sair do relatório de simulação sem realizar nenhuma ação.
Ver o histórico de simulações
A página Negar relatórios de simulação contém uma tabela com todas as simulações
que você executou nos últimos 14 dias. Essa lista é exclusiva de cada usuário e não pode ser compartilhada.
Para acessar a página Negar relatórios de simulação, faça o seguinte:
No console do Google Cloud , acesse a guia Negar na página IAM.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-01 UTC."],[],[],null,["# Test deny policy changes with Policy Simulator\n\n| **Preview**\n|\n|\n| This feature is subject to the \"Pre-GA Offerings Terms\" in the General Service Terms section\n| of the [Service Specific Terms](/terms/service-terms#1).\n|\n| Pre-GA features are available \"as is\" and might have limited support.\n|\n| For more information, see the\n| [launch stage descriptions](/products#product-launch-stages).\n\n\u003cbr /\u003e\n\nThis page describes how to simulate a change to an IAM [deny\npolicy](/iam/docs/deny-overview) using Policy Simulator. It also explains how to\ninterpret the results of the simulation, and how to apply the simulated deny\npolicy if you choose to.\n\nThis feature only evaluates access based on deny policies.\n\nTo learn how to simulate other types of policies, see the following:\n\n- [Test organization policy changes with\n Policy Simulator](/policy-intelligence/docs/test-organization-policies)\n- [Test principal access boundary policy changes with\n Policy Simulator](/policy-intelligence/docs/simulate-pab-policies)\n- [Test role changes with Policy Simulator](/policy-intelligence/docs/simulate-iam-policies)\n\nBefore you begin\n----------------\n\n-\n\n\n Enable the Policy Simulator and Identity and Access Management APIs.\n\n\n [Enable the APIs](https://console.cloud.google.com/flows/enableapi?apiid=policysimulator.googleapis.com,iam.googleapis.com)\n- Optional: Learn [how\n Policy Simulator for deny policies works](/policy-intelligence/docs/deny-simulator-overview).\n\n### Required roles\n\n\nTo get the permissions that\nyou need to test changes to deny policies,\n\nask your administrator to grant you the\n\n\n[Deny Admin](/iam/docs/roles-permissions/iam#iam.denyAdmin) (`roles/iam.denyAdmin`)\nIAM role on the organization.\n\n\nFor more information about granting roles, see [Manage access to projects, folders, and organizations](/iam/docs/granting-changing-revoking-access).\n\n\nYou might also be able to get\nthe required permissions through [custom\nroles](/iam/docs/creating-custom-roles) or other [predefined\nroles](/iam/docs/roles-overview#predefined).\n\nSimulate a change to a deny policy\n----------------------------------\n\nSimulating a deny policy involves the following steps:\n\n1. [Starting the simulation](#start-simulation)\n2. [Waiting for the simulation to finish](#wait)\n3. [Viewing the simulation report](#view-report)\n4. [Taking action based on the simulation](#take-action)\n\n### Start a simulation\n\nYou can start a simulation in the following ways:\n\n- Simulate a new deny policy:\n\n 1. In the Google Cloud console, go to the **Deny** tab on the **IAM** page.\n\n [Go\n to IAM](https://console.cloud.google.com/projectselector/iam-admin/iam/deny?supportedpurview=project,folder,organizationId)\n 1. Select a project, folder, or organization.\n 2. Follow the steps to [create a deny policy](/iam/docs/deny-access#create-deny-policy), but don't click **Create** after entering the deny policy details. Instead, click **Test policy**.\n- Simulate an edit to a deny policy:\n\n 1. In the Google Cloud console, go to the **Deny** tab on the **IAM** page.\n\n [Go to IAM](https://console.cloud.google.com/projectselector/iam-admin/iam/deny?supportedpurview=project,folder,organizationId)\n 2. Select a project, folder, or organization.\n\n 3. In the **Policy ID** column, click the ID of the policy that you want to\n edit.\n\n 4. Click edit **Edit**.\n\n 5. Update the deny policy:\n\n - To change the policy display name, edit the **Display name** field.\n - To edit an existing deny rule, click the deny rule, and then modify the rule's principals, exception principals, denied permissions, exception permissions, or denial condition.\n - To remove a deny rule, find the deny rule that you want to delete, and then click delete **Delete** in that row.\n - To add a deny rule, click **Add deny rule** , and then create a deny rule like you do when you [create a deny policy](/iam/docs/deny-access#create-deny-policy).\n 6. When you're done updating the deny policy, click **Test changes**.\n\nWhen you click **Test policy** or **Test changes** , Policy Simulator\nstarts the simulation and redirects you to the **Deny simulation reports** page.\nYou can navigate away from this page without losing progress.\n\n### Wait for a simulation to complete\n\nAfter you start a simulation, the Google Cloud console generates a notification\nthat the simulation is running.\n\nAfter the simulation finishes, the Google Cloud console generates another\nnotification that the simulation is complete. When you receive this notification,\nyou can [view the simulation report](#view-report).\n\nEach user can have up to 10 in-progress simulations.\n\n### View a simulation report\n\n1. In the Google Cloud console, go to the **Deny simulation reports** page.\n\n [Go to Deny simulation reports](https://console.cloud.google.com/iam-admin/iam/deny/simulation-reports/)\n2. Find the simulation whose report you want to view, then click **View report** in\n that row.\n\nThe simulation report contains the following:\n\n- An overview of the simulation details, including the simulated policy, the simulated action, and the simulation time.\n- A **View policy** or **View policy changes** button, which, when clicked, displays the simulated policy in JSON format. If you're simulating the policy change, then it might also display the difference between the current policy and the simulated policy.\n- A **Replay results** section, which displays the results of the simulation. To learn how to interpret these results, see [Policy Simulator\n results](/policy-intelligence/docs/deny-simulator-overview#review-results).\n\nTake action based on a simulation\n---------------------------------\n\nAfter reviewing a simulation report, you can take the following actions:\n\n- **Export the simulation results** : To export the results of a simulation as a\n CSV file, click **Export results**.\n\n When you click this button, a CSV file with the simulation reports is\n downloaded to your computer.\n- **Apply the simulated policy change** : To apply the simulated policy or policy\n change, click **Set policy**.\n\n When you click this button, the Google Cloud console sets the simulated\n policy.\n- **Edit the simulated change to the policy** : To make further changes to the\n simulated policy or policy change, click **Modify policy**.\n\n When you click this button, the Google Cloud console redirects you to the\n deny policy editor.\n\nAlternatively, you can click **Cancel** to leave the simulation report without\ntaking any action.\n\nView simulation history\n-----------------------\n\nThe **Deny simulation reports** page contains a table listing all of the simulations\nthat you've run over the past 14 days. This list is unique to each user and\ncan't be shared.\n\nTo view the **Deny simulation reports** page, do the following:\n\n1. In the Google Cloud console, go to the **Deny** tab on the **IAM** page.\n\n [Go to IAM](https://console.cloud.google.com/projectselector/iam-admin/iam/deny?supportedpurview=project,folder,organizationId)\n2. Select the project, folder, or organization that you want to view simulations\n for.\n\n3. Click schedule **Simulation history**.\n\nFor each simulation, the page lists the policy that the simulation is for, the\ndate that you started the simulation, and the status of the simulation.\n\nSimulations can have the following statuses:\n\n- **In progress**: The simulation is running, but hasn't completed yet. You can have up to 10 in-progress simulations.\n- **Completed**: The simulation is complete.\n- **Error**: The simulation couldn't be completed due to an error.\n\nWhat's next\n-----------\n\n- [Test organization policy changes with\n Policy Simulator](/policy-intelligence/docs/test-organization-policies)\n- [Test role changes with Policy Simulator](/policy-intelligence/docs/simulate-iam-policies)"]]
