本頁面說明如何使用 Policy Simulator 模擬 IAM 拒絕政策的變更。並說明如何解讀模擬結果,以及如何在需要時套用模擬拒絕政策。
這項功能只會根據拒絕政策評估存取權。
如要瞭解如何模擬其他類型的政策,請參閱以下文章:
事前準備
-
Enable the Policy Simulator and Identity and Access Management APIs.
- 選用:瞭解拒絕政策模擬工具的運作方式。
必要的角色
如要取得測試拒絕政策變更所需的權限,請要求管理員授予您機構的拒絕管理員 (roles/iam.denyAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
模擬拒絕政策變更
模擬拒絕政策的步驟如下:
開始模擬
您可以透過下列方式啟動模擬作業:
模擬新的拒絕政策:
- 在 Google Cloud 控制台中,前往「IAM」頁面的「拒絕」分頁。
- 選取專案、資料夾或機構。
- 請按照建立拒絕政策的步驟操作,但在輸入拒絕政策詳細資料後,請勿按一下「建立」。請改為按一下「測試政策」。
模擬編輯拒絕政策:
點選「測試政策」或「測試變更」後,Policy Simulator 就會開始模擬,並將您重新導向至「拒絕模擬報告」頁面。您可以離開這個頁面,進度不會遺失。
等待模擬完成
開始模擬作業後, Google Cloud 主控台會產生模擬作業執行中的通知。
模擬完成後, Google Cloud 主控台會產生另一則通知,指出模擬作業已完成。收到這則通知時,您可以查看模擬報表。
每位使用者最多可有 10 個進行中的模擬。
查看模擬結果報表
前往 Google Cloud 控制台的「Deny simulation reports」頁面。
找出要查看報表的模擬資料,然後按一下該列中的「查看報表」。
模擬報表包含下列項目:
- 模擬詳細資料的總覽,包括模擬政策、模擬動作和模擬時間。
- 「查看政策」或「查看政策異動」按鈕,點選後會以 JSON 格式顯示模擬政策。如果您模擬政策變更,系統可能也會顯示目前政策與模擬政策之間的差異。
- 「重播結果」部分:顯示模擬結果。如要瞭解如何解讀這些結果,請參閱「Policy Simulator 結果」。
根據模擬結果採取行動
查看模擬報告後,您可以採取下列行動:
匯出模擬結果:如要將模擬結果匯出為 CSV 檔案,請按一下「Export results」。
點選這個按鈕後,系統會將模擬資料報表下載為 CSV 檔案,並儲存到您的電腦。
套用模擬政策變更:如要套用模擬政策或政策變更,請按一下「設定政策」。
點選這個按鈕後, Google Cloud 控制台會設定模擬的政策。
編輯模擬政策變更:如要進一步變更模擬政策或政策變更,請按一下「修改政策」。
點選這個按鈕後, Google Cloud 控制台會將您重新導向至拒絕政策編輯器。
或者,您也可以按一下「取消」離開模擬報表,不採取任何行動。
查看模擬記錄
「拒絕模擬報表」頁面包含一份表格,列出您過去 14 天內執行的所有模擬。這個清單是每位使用者專屬,無法共用。
如要查看「拒絕模擬報表」頁面,請按照下列步驟操作:
在 Google Cloud 控制台中,前往「IAM」頁面的「拒絕」分頁。
選取要查看模擬資料的專案、資料夾或機構。
按一下 「模擬記錄」。
針對每項模擬,頁面會列出模擬的政策、開始模擬的日期,以及模擬狀態。
模擬可能有下列狀態:
- 處理中:模擬作業正在執行,但尚未完成。您最多可以有 10 個進行中的模擬。
- 已完成:模擬作業已完成。
- 錯誤:發生錯誤,因此無法完成模擬。