Änderungen an der Principal Access Boundary-Richtlinie mit Policy Simulator testen

Auf dieser Seite wird beschrieben, wie Sie eine Änderung an einer Principal Access Boundary-Richtlinie (PAB) oder Bindung mit Policy Simulator simulieren. Außerdem wird erläutert, wie Sie die Ergebnisse der Simulation interpretieren und die simulierte Principal Access Boundary-Richtlinie oder ‑Bindung anwenden können.

Mit dieser Funktion wird der Zugriff nur auf Grundlage von Principal Access Boundary-Richtlinien ausgewertet.

Informationen zum Simulieren von Änderungen an anderen Richtlinientypen finden Sie hier:

• Änderungen an Ablehnungsrichtlinien mit Policy Simulator testen
• Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen
• Rollenänderungen mit Policy Simulator testen

Hinweise

• Enable the Cloud Asset Inventory, Identity and Access Management, Policy Analyzer, and Policy Simulator APIs.

  Enable the APIs

• Optional: Weitere Informationen zur Funktionsweise des Policy Simulator für Principal Access Boundary-Richtlinien

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Testen von Änderungen an Principal Access Boundary-Richtlinien und -Bindungen benötigen:

• IAM Operation Viewer (roles/iam.operationViewer)
• IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin)
• IAM Workload Identity Pool Admin (roles/iam.workloadIdentityPoolAdmin)
• Administrator der Organisation (roles/resourcemanager.organizationAdmin)
• Administrator von Richtlinien für die Zugriffsgrenze von Identitäten (roles/iam.principalAccessBoundaryAdmin)
• Workspace-Pool-IAM-Administrator (roles/iam.workspacePoolAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Simulation starten

In den folgenden Abschnitten wird beschrieben, wie Sie eine Simulation für eine Änderung an einer Principal Access Boundary-Richtlinie oder -Bindung starten können.

Neue Bindung für eine Principal Access Boundary-Richtlinie simulieren

Folgen Sie der Anleitung zum Erstellen einer Richtlinienbindung, klicken Sie aber nach der Eingabe der Bindungsdetails nicht auf Hinzufügen. Klicken Sie stattdessen auf Änderungen testen.

Änderung an einer vorhandenen Principal Access Boundary-Richtlinie simulieren

Folgen Sie der Anleitung zum Bearbeiten einer Principal Access Boundary-Richtlinie, klicken Sie aber nach dem Bearbeiten der Richtlinie nicht auf Speichern. Klicken Sie stattdessen auf Änderungen testen.

Bearbeitung einer vorhandenen Bindung für eine Principal Access Boundary-Richtlinie simulieren

Folgen Sie der Anleitung zum Bearbeiten einer Richtlinienbindung, klicken Sie aber nach dem Bearbeiten der Bindung nicht auf Speichern. Klicken Sie stattdessen auf Änderungen testen.

Löschen von Principal Access Boundary-Regeln simulieren

1. Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.

   Zu Richtlinien zur Begrenzung des Hauptkontozugriffs

2. Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, deren Regeln Sie löschen möchten.

3. Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, deren Regel Sie löschen möchten.

4. Wählen Sie in der Tabelle Grenzregeln die Regeln aus, die Sie löschen möchten, und klicken Sie dann auf auto_delete Regeln zum Löschen testen.

Löschen einer Principal Access Boundary-Richtlinie simulieren

1. Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.

   Zu Richtlinien zur Begrenzung des Hauptkontozugriffs

2. Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, deren Bindung Sie löschen möchten.

3. Suchen Sie die ID der Richtlinie, die Sie löschen möchten. Klicken Sie in der Zeile dieser Richtlinie auf more_vert Aktionen und dann auf Löschrichtlinie testen.

Löschen einer Bindung für eine Principal Access Boundary-Richtlinie simulieren

1. Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.

   Zu Richtlinien zur Begrenzung des Hauptkontozugriffs

2. Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, deren Bindung Sie löschen möchten.

3. Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, deren Bindungen Sie löschen möchten.

4. Klicken Sie auf den Tab Bindings.

5. Suchen Sie die ID der Bindung, die Sie löschen möchten. Klicken Sie in der Zeile dieser Bindung auf more_vert Aktionen und dann auf Bindung löschen.

Simulationsergebnisse verstehen

Die Ergebnisseite für eine Simulation einer Principal Access Boundary-Richtlinie oder -Bindung enthält die folgenden Informationen:

• Ein Abschnitt Zugriff widerrufen mit den folgenden Informationen:

  • Die Anzahl der Hauptkonten, die den Zugriff verlieren würden, wenn Sie die simulierte Principal Access Boundary-Richtlinie oder -Bindung anwenden
  • Die Anzahl der bekannten Ressourcen, auf die Hauptkonten den Zugriff verlieren würden, wenn Sie die simulierte Principal Access Boundary-Richtlinie oder -Bindung anwenden

• Ein Abschnitt Zugriff erhalten mit den folgenden Informationen:

  • Die Anzahl der Hauptkonten, die Zugriff erhalten würden, wenn Sie die simulierte Principal Access Boundary-Richtlinie oder ‑Bindung anwenden
  • Die Anzahl der bekannten Ressourcen, auf die Hauptkonten Zugriff erhalten würden, wenn Sie die simulierte Principal Access Boundary-Richtlinie oder -Bindung anwenden

• Eine Tabelle mit den Zugriffsänderungen, die die Auswirkungen der simulierten Richtlinie oder Bindung zeigt. Informationen zum Interpretieren dieser Zugriffsänderungen finden Sie unter Ergebnisse des Richtliniensimulators.

Auf Grundlage einer Simulation Maßnahmen ergreifen

Nachdem Sie einen Simulationsbericht geprüft haben, können Sie folgende Aktionen ausführen:

• Simulationsergebnisse exportieren: Wenn Sie die Ergebnisse einer Simulation als CSV-Datei exportieren möchten, klicken Sie auf Rohdaten exportieren.

  Wenn Sie auf diese Schaltfläche klicken, wird eine CSV-Datei mit den Simulationsberichten auf Ihren Computer heruntergeladen.

• Simulierte Richtlinienänderung anwenden: Die Schaltfläche, auf die Sie klicken, um eine simulierte Richtlinienänderung anzuwenden, hängt von der Art der Änderung ab, die Sie simulieren.

  • Bearbeitete Principal Access Boundary-Richtlinie oder -Regel oder gelöschte Regel simulieren: Klicken Sie auf Richtlinie festlegen.
  • Neue oder bearbeitete Bindung für eine Principal Access Boundary-Richtlinie simulieren: Klicken Sie auf Bindung festlegen.
  • Löschen einer Principal Access Boundary-Richtlinie simulieren: Klicken Sie auf Richtlinie löschen.
  • Gelöschte Bindung für eine Principal Access Boundary-Richtlinie simulieren: Klicken Sie auf Bindung löschen.

  Wenn Sie auf diese Schaltfläche klicken, wird in der Google Cloud -Konsole die simulierte Richtlinie oder Bindung festgelegt.

• Simulierte Änderung an der Richtlinie oder Bindung bearbeiten: Wenn Sie weitere Änderungen an der simulierten Richtlinie oder Richtlinienbindung vornehmen möchten, klicken Sie auf Zurück oder Zurück zur Bearbeitung.

  Wenn Sie auf diese Schaltfläche klicken, werden Sie in der Google Cloud Konsole zum Editor für Richtlinien oder Richtlinienbindungen weitergeleitet.

Nächste Schritte

• Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen
• Rollenänderungen mit Policy Simulator testen