Cette page explique comment simuler une modification d'une stratégie de limite d'accès des comptes principaux (PAB) ou d'une liaison à l'aide de Policy Simulator. Elle explique également comment interpréter les résultats de la simulation et comment appliquer la simulation de stratégie ou de liaison de limite d'accès des comptes principaux si vous le souhaitez.
Cette fonctionnalité n'évalue l'accès qu'en fonction des stratégies de limite d'accès des comptes principaux.
Pour savoir comment simuler des modifications d'autres types de règles, consultez les pages suivantes :
- Tester les modifications apportées aux règles de refus avec Policy Simulator
- Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator
- Tester les modifications de rôle avec Policy Simulator
Avant de commencer
-
Enable the Cloud Asset Inventory, Identity and Access Management, Policy Analyzer, and Policy Simulator APIs.
- (Facultatif) Découvrez le fonctionnement de Policy Simulator pour les stratégies de limite d'accès des comptes principaux.
Rôles requis
Pour obtenir les autorisations nécessaires pour tester les modifications apportées aux stratégies et liaisons de limite d'accès des comptes principaux, demandez à votre administrateur de vous accorder les rôles IAM suivants sur l'organisation :
-
Lecteur des opérations IAM (
roles/iam.operationViewer) -
Administrateur IAM de pool d'employés (
roles/iam.workforcePoolAdmin) -
Administrateur de pools Workload Identity IAM (
roles/iam.workloadIdentityPoolAdmin) -
Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin) -
Administrateur de la stratégie de limites d'accès des principaux (
roles/iam.principalAccessBoundaryAdmin) -
Administrateur IAM de pool Workspace (
roles/iam.workspacePoolAdmin)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Lancer une simulation
Les sections suivantes décrivent les différentes façons de démarrer une simulation pour une modification apportée à une stratégie ou une liaison de limite d'accès des comptes principaux.
Simuler une liaison pour une stratégie de limite d'accès des comptes principaux
Suivez la procédure permettant de créer une liaison de stratégie, mais ne cliquez pas sur Ajouter après avoir saisi les détails de la liaison. Cliquez plutôt sur Tester les modifications.
Simuler la modification d'une stratégie de limite d'accès des comptes principaux existante
Suivez la procédure pour modifier une stratégie de limite d'accès des comptes principaux, mais ne cliquez pas sur Enregistrer après avoir modifié la stratégie. Cliquez plutôt sur Tester les modifications.
Simuler la modification d'une liaison existante pour une stratégie de limite d'accès des comptes principaux
Suivez la procédure permettant de modifier une liaison de stratégie, mais ne cliquez pas sur Enregistrer après avoir modifié la liaison. Cliquez plutôt sur Tester les modifications.
Simuler la suppression des règles de limite d'accès des comptes principaux
Dans la console Google Cloud , accédez à la page Stratégies de limite d'accès des principaux.
Accéder aux stratégies de limite d'accès des comptes principaux
Sélectionnez l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer les règles.
Cliquez sur l'ID de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer la règle.
Dans le tableau Règles de limites, sélectionnez les règles que vous souhaitez supprimer, puis cliquez sur Tester la suppression des règles.
Simuler la suppression d'une stratégie de limite d'accès des comptes principaux
Dans la console Google Cloud , accédez à la page Stratégies de limite d'accès des principaux.
Accéder aux stratégies de limite d'accès des comptes principaux
Sélectionnez l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer la liaison.
Recherchez l'ID de la stratégie que vous souhaitez supprimer. Dans la ligne de cette stratégie, cliquez sur Actions, puis sur Tester la suppression de la stratégie.
Simuler la suppression d'une liaison pour une stratégie de limite d'accès des comptes principaux
Dans la console Google Cloud , accédez à la page Stratégies de limite d'accès des principaux.
Accéder aux stratégies de limite d'accès des comptes principaux
Sélectionnez l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer la liaison.
Cliquez sur l'ID de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer les liaisons.
Cliquez sur l'onglet Liaison.
Recherchez l'ID de la liaison que vous souhaitez supprimer. Dans la ligne de cette liaison, cliquez sur Actions, puis sur Tester la suppression de la liaison.
Comprendre les résultats de la simulation
La page de résultats d'une simulation de stratégie ou de liaison de stratégie de limite d'accès des comptes principaux contient les informations suivantes :
Une section Accès révoqué, qui contient les informations suivantes :
- Nombre de comptes principaux qui perdraient l'accès si vous appliquiez la stratégie ou la liaison de limite d'accès des comptes principaux simulée
- Nombre de ressources connues auxquelles les comptes principaux perdraient l'accès si vous appliquiez la liaison ou la stratégie de limite d'accès des comptes principaux simulée
Une section Accès obtenu, qui contient les informations suivantes :
- Nombre de comptes principaux qui auraient accès si vous appliquiez la liaison ou la stratégie de limite d'accès des comptes principaux simulée
- Nombre de ressources connues auxquelles les comptes principaux auraient accès si vous appliquiez la liaison ou la stratégie de limite d'accès des comptes principaux simulée
Tableau des modifications d'accès, qui indique l'impact de la stratégie ou de la liaison simulée. Pour savoir comment interpréter ces modifications d'accès, consultez Résultats de Policy Simulator.
Agir en fonction d'une simulation
Après avoir examiné un rapport de simulation, vous pouvez effectuer les actions suivantes :
Exporter les résultats de la simulation : pour exporter les résultats d'une simulation sous forme de fichier CSV, cliquez sur Exporter les résultats bruts.
Lorsque vous cliquez sur ce bouton, un fichier CSV contenant les rapports de simulation est téléchargé sur votre ordinateur.
Appliquer la simulation de modification de stratégie : le bouton sur lequel vous cliquez pour appliquer une simulation de modification de stratégie dépend du type de modification que vous simulez.
- Simuler une règle ou une stratégie de limite d'accès des comptes principaux modifiée ou une règle supprimée : cliquez sur Définir la stratégie.
- Simuler une liaison nouvelle ou modifiée pour une stratégie de limite d'accès des comptes principaux : cliquez sur Définir la liaison.
- Simuler la suppression d'une stratégie de limite d'accès des comptes principaux : cliquez sur Supprimer la stratégie.
- Simuler la suppression d'une liaison pour une stratégie de limite d'accès des comptes principaux : cliquez sur Supprimer la liaison.
Lorsque vous cliquez sur ce bouton, la console Google Cloud définit la stratégie ou la liaison simulée.
Modifiez la modification simulée de la stratégie ou de la liaison : pour apporter d'autres modifications à la stratégie ou à la liaison de stratégie simulée, cliquez sur Retour ou Retour à la modification.
Lorsque vous cliquez sur ce bouton, la console Google Cloud vous redirige vers l'éditeur de règles ou de liaisons de règles.
Étapes suivantes
- Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator
- Tester les modifications de rôle avec Policy Simulator