此页面由 Cloud Translation API 翻译。

使用 Policy Simulator 测试拒绝政策更改

本页面介绍了如何使用 Policy Simulator 模拟对 IAM 拒绝政策的更改。此外，本页面还介绍了如何解读模拟结果以及如何应用模拟的拒绝政策（如果您选择这样做）。

此功能仅根据拒绝政策评估访问权限。

如需了解如何模拟其他类型的政策，请参阅以下内容：

准备工作

Enable the Policy Simulator and Identity and Access Management APIs.
Enable the APIs
可选：了解拒绝 Policy Simulator 的工作原理。

如需获得测试拒绝政策更改所需的权限，请让您的管理员为您授予组织的 Deny Admin (roles/iam.denyAdmin) IAM 角色。如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

模拟拒绝政策涉及以下步骤：

您可以通过以下方式开始模拟：

模拟新的拒绝政策：
1. 在 Google Cloud 控制台中，前往 IAM 页面上的拒绝标签页。
转到 IAM
1. 选择一个项目、文件夹或组织。
2. 按照创建拒绝政策的步骤操作，但在输入拒绝政策详细信息后，不要点击创建。请改为点击测试政策。
模拟对拒绝政策的修改：
1. 在 Google Cloud 控制台中，前往 IAM 页面上的拒绝标签页。
  
  进入 IAM
2. 选择一个项目、文件夹或组织。
3. 在政策 ID 列中，点击要修改的政策的 ID。
4. 点击修改。
5. 更新拒绝政策：
  - 如需更改政策显示名，请修改显示名字段。
  - 如需修改现有的拒绝规则，请点击该拒绝规则，然后修改规则的主账号、例外主账号、拒绝的权限、例外权限或拒绝条件。
  - 如需移除拒绝规则，请找到要删除的拒绝规则，然后点击该行中的删除。
  - 如需添加拒绝规则，请点击添加拒绝规则，然后创建拒绝规则，就像创建拒绝政策时一样。
6. 更新拒绝政策后，点击测试更改。

当您点击测试政策或测试更改时，Policy Simulator 会开始模拟，并将您重定向到拒绝模拟报告页面。您可以离开此页面，且不会丢失进度。

开始模拟后， Google Cloud 控制台会生成一条通知，告知您模拟正在运行。

模拟结束后， Google Cloud 控制台会生成另一条通知，告知您模拟已完成。收到此通知后，您可以查看模拟报告。

每位用户最多可以同时进行 10 次模拟。

模拟报告包含以下内容：

查看模拟报告后，您可以执行以下操作：

导出模拟结果：如需将模拟结果导出为 CSV 文件，请点击导出结果。

点击此按钮后，系统会将包含模拟报告的 CSV 文件下载到您的计算机。
应用模拟政策更改：如需应用模拟政策或政策更改，请点击设置政策。

点击此按钮后， Google Cloud 控制台会设置模拟政策。
修改政策的模拟更改：如需进一步更改模拟政策或政策更改，请点击修改政策。

点击此按钮后， Google Cloud 控制台会将您重定向到拒绝政策编辑器。

或者，您也可以点击取消，在不采取任何操作的情况下离开模拟报告。

拒绝模拟报告页面包含一个表格，其中列出了您在过去 14 天内运行的所有模拟。此列表对于每个用户都是唯一的，无法共享。

如需查看拒绝模拟报告页面，请执行以下操作：

对于每次模拟，该页面都会列出模拟所针对的政策、您开始模拟的日期以及模拟的状态。

模拟可以具有以下状态：