Questa pagina descrive come simulare una modifica a un criterio di limite di accesso dell'entità (PAB) o a un binding utilizzando Policy Simulator. Spiega inoltre come interpretare i risultati della simulazione e come applicare la policy o il binding di Principal Access Boundary simulato, se lo desideri.
Questa funzionalità valuta l'accesso solo in base alle policy di Principal Access Boundary.
Per scoprire come simulare le modifiche ad altri tipi di policy, consulta quanto segue:
- Testare le modifiche alle policy di negazione con Policy Simulator
- Testare le modifiche ai criteri dell'organizzazione con Policy Simulator
- Testare le modifiche dei ruoli con Policy Simulator
Prima di iniziare
-
Enable the Cloud Asset Inventory, Identity and Access Management, Policy Analyzer, and Policy Simulator APIs.
- (Facoltativo) Scopri come funziona Policy Simulator per le policy di Principal Access Boundary.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per testare le modifiche ai criteri e ai binding dei limiti di accesso all'entità, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:
-
IAM Operation Viewer (
roles/iam.operationViewer) -
IAM Workforce Pool Admin (
roles/iam.workforcePoolAdmin) -
Amministratore pool Workload Identity IAM (
roles/iam.workloadIdentityPoolAdmin) -
Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin) -
Principal Access Boundary Policy Admin (
roles/iam.principalAccessBoundaryAdmin) -
Workspace Pool IAM Admin (
roles/iam.workspacePoolAdmin)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Avviare una simulazione
Le sezioni seguenti descrivono i modi in cui puoi avviare una simulazione per una modifica a una policy o un binding di Principal Access Boundary.
Simula una nuova associazione per una policy di Principal Access Boundary
Segui i passaggi per creare un binding dei criteri, ma non fare clic su Aggiungi dopo aver inserito i dettagli del binding. Fai invece clic su Testa modifiche.
Simula una modifica a una policy di Principal Access Boundary esistente
Segui i passaggi per modificare una policy di Principal Access Boundary, ma non fare clic su Salva dopo aver modificato la policy. Fai invece clic su Testa modifiche.
Simula la modifica di un'associazione esistente per una policy di Principal Access Boundary
Segui i passaggi per modificare un binding di policy, ma non fare clic su Salva dopo aver modificato il binding. Fai invece clic su Testa modifiche.
Simula l'eliminazione delle regole di Principal Access Boundary
Nella console Google Cloud , vai alla pagina Policy di Principal Access Boundary.
Seleziona l'organizzazione proprietaria della policy di Principal Access Boundary le cui regole vuoi eliminare.
Fai clic sull'ID policy di Principal Access Boundary di cui vuoi eliminare la regola.
Nella tabella Regole per i confini, seleziona le regole da eliminare, poi fai clic su Testa le regole di eliminazione.
Simula l'eliminazione di una policy di Principal Access Boundary
Nella console Google Cloud , vai alla pagina Policy di Principal Access Boundary.
Seleziona l'organizzazione proprietaria del criterio del confine dell'accesso dell'entità la cui associazione vuoi eliminare.
Trova l'ID della norma che vuoi eliminare. Nella riga del criterio, fai clic su Azioni e poi su Testa criterio di eliminazione.
Simula l'eliminazione di un'associazione per una policy di Principal Access Boundary
Nella console Google Cloud , vai alla pagina Policy di Principal Access Boundary.
Seleziona l'organizzazione proprietaria del criterio del confine dell'accesso dell'entità la cui associazione vuoi eliminare.
Fai clic sull'ID policy della policy di Principal Access Boundary di cui vuoi eliminare le associazioni.
Fai clic sulla scheda Binding.
Trova l'ID del binding che vuoi eliminare. Nella riga dell'associazione, fai clic su Azioni e poi su Testa eliminazione associazione.
Come interpretare i risultati della simulazione
La pagina dei risultati per una simulazione di policy o associazione di Principal Access Boundary contiene le seguenti informazioni:
Una sezione Accesso revocato, che contiene le seguenti informazioni:
- Il numero di entità che perderebbero l'accesso se applicassi la policy o l'associazione di Principal Access Boundary simulata
- Il numero di risorse note a cui le entità non avrebbero più accesso se applicassi la policy o l'associazione di Principal Access Boundary simulata
Una sezione Accesso ottenuto, che contiene le seguenti informazioni:
- Il numero di entità che otterrebbero l'accesso se applicassi la policy o l'associazione di Principal Access Boundary simulata
- Il numero di risorse note a cui le entità otterrebbero l'accesso se applicassi la policy o l'associazione di Principal Access Boundary simulata
Una tabella delle modifiche all'accesso, che mostra l'impatto della policy o del binding simulato. Per scoprire come interpretare queste modifiche all'accesso, consulta Risultati del simulatore di norme.
Intervenire in base a una simulazione
Dopo aver esaminato un report di simulazione, puoi eseguire le seguenti azioni:
Esporta i risultati della simulazione: per esportare i risultati di una simulazione come file CSV, fai clic su Esporta i risultati non elaborati.
Quando fai clic su questo pulsante, un file CSV con i report di simulazione viene scaricato sul computer.
Applica la modifica simulata delle norme: il pulsante su cui fai clic per applicare una modifica simulata delle norme dipende dal tipo di modifica che stai simulando.
- Simulazione di una regola o di una policy di Principal Access Boundary modificata o di una regola eliminata: fai clic su Imposta policy.
- Simulazione di un'associazione nuova o modificata per una policy di Principal Access Boundary: fai clic su Imposta associazione.
- Simulazione di una policy di Principal Access Boundary eliminata: fai clic su Elimina policy.
- Simulazione di un'associazione eliminata per una policy di Principal Access Boundary: fai clic su Elimina associazione.
Quando fai clic su questo pulsante, la Google Cloud console imposta la policy o l'associazione simulata.
Modifica la modifica simulata alla policy o all'associazione: per apportare ulteriori modifiche alla policy o all'associazione di policy simulata, fai clic su Indietro o Torna alla modifica.
Quando fai clic su questo pulsante, la console Google Cloud ti reindirizza all'editor dei criteri o dell'associazione dei criteri.
Passaggi successivi
- Testare le modifiche ai criteri dell'organizzazione con Policy Simulator
- Testare le modifiche dei ruoli con Policy Simulator