이 페이지에서는 정책 시뮬레이터를 사용하여 주 구성원 액세스 경계 (PAB) 정책 또는 바인딩의 변경사항을 시뮬레이션하는 방법을 설명합니다. 또한 선택하는 경우 시뮬레이션 결과를 해석하는 방법과 시뮬레이션된 주 구성원 액세스 경계 정책 또는 바인딩을 적용하는 방법도 설명합니다.
이 기능은 주 구성원 액세스 경계 정책에 기반한 액세스만 평가합니다.
다른 정책 유형에 대한 변경사항을 시뮬레이션하는 방법을 알아보려면 다음을 참고하세요.
시작하기 전에
-
Enable the Cloud Asset Inventory, Identity and Access Management, Policy Analyzer, and Policy Simulator APIs.
- 선택사항: 주 구성원 액세스 경계 정책용 정책 시뮬레이터의 작동 방식을 알아봅니다.
필요한 역할
주 구성원 액세스 경계 정책 및 바인딩의 변경사항을 테스트하는 데 필요한 권한을 얻으려면 관리자에게 조직에서 다음 IAM 역할을 부여해 달라고 요청하세요.
-
IAM 작업 뷰어 (
roles/iam.operationViewer) -
IAM 직원 풀 관리자 (
roles/iam.workforcePoolAdmin) -
IAM 워크로드 아이덴티티 풀 관리자 (
roles/iam.workloadIdentityPoolAdmin) -
조직 관리자 (
roles/resourcemanager.organizationAdmin) -
주 구성원 액세스 경계 정책 관리자 (
roles/iam.principalAccessBoundaryAdmin) -
Workspace 풀 IAM 관리자 (
roles/iam.workspacePoolAdmin)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
시뮬레이션 시작
다음 섹션에서는 주 구성원 액세스 경계 정책 또는 바인딩의 변경사항에 대한 시뮬레이션을 시작하는 방법을 설명합니다.
주 구성원 액세스 경계 정책의 새 바인딩 시뮬레이션
단계를 따라 정책 바인딩을 만듭니다. 바인딩 세부정보를 입력한 후 추가를 클릭하지 마세요. 대신 변경사항 테스트를 클릭합니다.
기존 주 구성원 액세스 경계 정책의 수정 시뮬레이션
단계에 따라 주 구성원 액세스 경계 정책을 수정하되, 정책을 수정한 후 저장을 클릭하지 마세요. 대신 변경사항 테스트를 클릭합니다.
주 구성원 액세스 경계 정책의 기존 바인딩에 대한 수정사항 시뮬레이션
정책 바인딩 수정 단계를 따르되 바인딩을 수정한 후 저장을 클릭하지 마세요. 대신 변경사항 테스트를 클릭합니다.
주 구성원 액세스 경계 규칙 삭제 시뮬레이션
Google Cloud 콘솔에서 주 구성원 액세스 경계 정책 페이지로 이동합니다.
규칙을 삭제하려는 주 구성원 액세스 경계 정책을 소유한 조직을 선택합니다.
규칙을 삭제하려는 주 구성원 액세스 경계 정책의 정책 ID를 클릭합니다.
경계 규칙 표에서 삭제할 규칙을 선택한 다음 테스트 삭제 규칙을 클릭합니다.
주 구성원 액세스 경계 정책 삭제 시뮬레이션
Google Cloud 콘솔에서 주 구성원 액세스 경계 정책 페이지로 이동합니다.
바인딩을 삭제하려는 주 구성원 액세스 경계 정책을 소유한 조직을 선택합니다.
삭제하려는 정책의 ID를 찾습니다. 해당 정책 행에서 작업을 클릭한 후 정책 삭제 테스트를 클릭합니다.
주 구성원 액세스 경계 정책의 바인딩 삭제 시뮬레이션
Google Cloud 콘솔에서 주 구성원 액세스 경계 정책 페이지로 이동합니다.
바인딩을 삭제하려는 주 구성원 액세스 경계 정책을 소유한 조직을 선택합니다.
바인딩을 삭제하려는 주 구성원 액세스 경계 정책의 정책 ID를 클릭합니다.
바인딩 탭을 클릭합니다.
삭제하려는 바인딩의 ID를 찾습니다. 바인딩 행에서 작업을 클릭한 후 바인딩 삭제 테스트를 클릭합니다.
시뮬레이션 결과 이해하기
주 구성원 액세스 경계 정책 또는 바인딩 시뮬레이션의 결과 페이지에는 다음 정보가 포함됩니다.
액세스 권한 취소됨 섹션에는 다음 정보가 포함됩니다.
- 시뮬레이션된 주 구성원 액세스 경계 정책 또는 바인딩을 적용할 경우 액세스 권한이 없어지는 주 구성원 수
- 시뮬레이션된 주 구성원 액세스 경계 정책 또는 바인딩을 적용할 경우 주 구성원이 액세스할 수 없게 되는 알려진 리소스의 수
획득한 액세스 권한 섹션에는 다음 정보가 포함됩니다.
- 시뮬레이션된 주 구성원 액세스 경계 정책 또는 바인딩을 적용할 경우 액세스 권한을 얻게 되는 주 구성원 수
- 시뮬레이션된 주 구성원 액세스 경계 정책 또는 바인딩을 적용할 경우 주 구성원이 액세스할 수 있는 것으로 알려진 리소스 수
액세스 변경사항 표로, 시뮬레이션된 정책 또는 바인딩의 영향을 보여줍니다. 이러한 액세스 변경사항을 해석하는 방법은 정책 시뮬레이터 결과를 참고하세요.
시뮬레이션에 따라 조치 취하기
시뮬레이션 보고서를 검토한 후 다음 작업을 수행할 수 있습니다.
시뮬레이션 결과 내보내기: 시뮬레이션 결과를 CSV 파일로 내보내려면 원시 결과 내보내기를 클릭합니다.
이 버튼을 클릭하면 시뮬레이션 보고서가 포함된 CSV 파일이 컴퓨터에 다운로드됩니다.
시뮬레이션된 정책 변경사항 적용: 시뮬레이션하는 변경사항 유형에 따라 클릭하는 버튼이 달라집니다.
- 수정된 주 구성원 액세스 경계 정책 또는 규칙, 삭제된 규칙 시뮬레이션: 정책 설정을 클릭합니다.
- 주 구성원 액세스 경계 정책의 새 바인딩 또는 수정된 바인딩 시뮬레이션: 바인딩 설정을 클릭합니다.
- 삭제된 주 구성원 액세스 경계 정책 시뮬레이션: 정책 삭제를 클릭합니다.
- 주 구성원 액세스 경계 정책의 삭제된 바인딩 시뮬레이션: 바인딩 삭제를 클릭합니다.
이 버튼을 클릭하면 Google Cloud 콘솔에서 시뮬레이션된 정책 또는 바인딩을 설정합니다.
정책 또는 바인딩에 대한 시뮬레이션된 변경사항 수정: 시뮬레이션된 정책 또는 정책 바인딩을 추가로 변경하려면 뒤로 또는 수정으로 돌아가기를 클릭합니다.
이 버튼을 클릭하면 Google Cloud 콘솔에서 정책 또는 정책 바인딩 편집기로 리디렉션됩니다.