Testar mudanças na política de limite de acesso principal com o Simulador de política
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Nesta página, descrevemos como simular uma mudança em uma política de limite de acesso de principal (PAB) ou em uma vinculação usando o Simulador de política. Ela
também explica como interpretar os resultados da simulação e como aplicar
a política ou vinculação de limite de acesso de principal simulada, se você quiser.
Esse recurso só avalia o acesso com base nas políticas de limite de acesso principal.
Para saber como simular mudanças em outros tipos de políticas, consulte:
Para ter as permissões necessárias para testar mudanças nas políticas e vinculações de limite de acesso de principal,
peça ao administrador para conceder a você os
seguintes papéis do IAM na organização:
As seções a seguir descrevem as maneiras de iniciar uma simulação de uma
mudança em uma política ou vinculação de limite de acesso de principal.
Simular uma nova vinculação para uma política de limite de acesso de principal
Siga as etapas para criar uma vinculação de política, mas não clique em Adicionar depois de inserir os detalhes da vinculação. Em vez disso, clique em Testar
alterações.
Simular uma edição em uma política de limite de acesso de principal
Simular uma edição em uma vinculação de política de limite de acesso de principal
Siga as etapas para editar uma vinculação de política, mas não
clique em Salvar depois de editar a vinculação. Em vez disso, clique em Testar alterações.
Simular a exclusão de regras de limite de acesso de principal
No console Google Cloud , acesse a página Políticas de limite de acesso
de principal.
Selecione a organização que é proprietária da política de limite de acesso de principal que você quer excluir.
Clique no ID da política de limite de acesso de principal com as vinculações que você quer
excluir.
Clique na guia Vinculações.
Encontre o ID da vinculação que você quer excluir. Na linha da vinculação,
clique em more_vertAções e, em seguida,
em Testar exclusão de vinculação.
Entender os resultados da simulação
A página de resultados de uma simulação de política ou vinculação de limite de acesso de principal contém
as seguintes informações:
Uma seção Acesso revogado, que contém as seguintes informações:
O número de principais que perderiam o acesso se você aplicasse a política ou vinculação de limite de acesso de principal simulada
O número de recursos conhecidos que os principais perderiam o acesso se você
aplicasse a política ou vinculação de limite de acesso de principal simulada
Uma seção Acesso concedido, que contém as seguintes informações:
O número de principais que ganhariam acesso se você aplicasse a política ou vinculação de limite de acesso de principal simulada
O número de recursos conhecidos a que os principais teriam acesso se você aplicasse a política ou vinculação de limite de acesso de principal simulada
Uma tabela das mudanças de acesso, que mostra o impacto da política ou vinculação simulada. Para saber como interpretar essas mudanças de acesso, consulte
Resultados do simulador de políticas.
Realizar ações com base em uma simulação
Depois de analisar um relatório de simulação, você pode realizar as seguintes ações:
Exportar os resultados da simulação: para exportar os resultados de uma simulação como um arquivo CSV, clique em Exportar resultados brutos.
Ao clicar nesse botão, um arquivo CSV com os relatórios de simulação é baixado para seu computador.
Aplicar a mudança de política simulada: o botão em que você clica para aplicar uma mudança de política simulada depende do tipo de mudança que você está simulando.
Simular uma política ou regra de limite de acesso de principal editada ou excluída: clique em Definir política.
Simular uma vinculação nova ou editada para uma política de limite de acesso de principal: clique em Definir vinculação.
Simular uma política de limite de acesso de principal excluída: clique em Excluir
política.
Simular uma vinculação excluída para uma política de limite de acesso de principal: clique em
Excluir vinculação.
Quando você clica nesse botão, o console Google Cloud define a política ou vinculação simulada.
Edite a mudança simulada na política ou vinculação: para fazer mais
mudanças na política ou vinculação de política simulada, clique em Voltar ou Voltar para
edição.
Ao clicar nesse botão, o console Google Cloud redireciona você para o editor de políticas ou de vinculação de políticas.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-01 UTC."],[],[],null,["# Test principal access boundary policy changes with Policy Simulator\n\n| **Preview**\n|\n|\n| This feature is subject to the \"Pre-GA Offerings Terms\" in the General Service Terms section\n| of the [Service Specific Terms](/terms/service-terms#1).\n|\n| Pre-GA features are available \"as is\" and might have limited support.\n|\n| For more information, see the\n| [launch stage descriptions](/products#product-launch-stages).\n\n\u003cbr /\u003e\n\nThis page describes how to simulate a change to a [principal access boundary (PAB)\npolicy](/iam/docs/principal-access-boundary-policies) or [binding](/iam/docs/principal-access-boundary-policies#binding) using Policy Simulator. It\nalso explains how to interpret the results of the simulation, and how to apply\nthe simulated principal access boundary policy or binding if you choose to.\n\nThis feature only evaluates access based on principal access boundary policies.\n\nTo learn how to simulate changes to other policy types, see the following:\n\n- [Test deny policy changes with Policy Simulator](/policy-intelligence/docs/simulate-deny-policies)\n- [Test organization policy changes with\n Policy Simulator](/policy-intelligence/docs/test-organization-policies)\n- [Test role changes with Policy Simulator](/policy-intelligence/docs/simulate-iam-policies)\n\nBefore you begin\n----------------\n\n-\n\n\n Enable the Cloud Asset Inventory, Identity and Access Management, Policy Analyzer, and Policy Simulator APIs.\n\n\n [Enable the APIs](https://console.cloud.google.com/flows/enableapi?apiid=assetinventory.googleapis.com,iam.googleapis.com,policyanalyzer.googleapis.com,policysimulator.googleapis.com)\n- Optional: Learn [how\n Policy Simulator for principal access boundary policies works](/policy-intelligence/docs/pab-simulator-overview).\n\n### Required roles\n\n\nTo get the permissions that\nyou need to test changes to principal access boundary policies and bindings,\n\nask your administrator to grant you the\nfollowing IAM roles on the organization:\n\n- [IAM Operation Viewer](/iam/docs/roles-permissions/iam#iam.operationViewer) (`roles/iam.operationViewer`)\n- [IAM Workforce Pool Admin](/iam/docs/roles-permissions/iam#iam.workforcePoolAdmin) (`roles/iam.workforcePoolAdmin`)\n- [IAM Workload Identity Pool Admin](/iam/docs/roles-permissions/iam#iam.workloadIdentityPoolAdmin) (`roles/iam.workloadIdentityPoolAdmin`)\n- [Organization Administrator](/iam/docs/roles-permissions/resourcemanager#resourcemanager.organizationAdmin) (`roles/resourcemanager.organizationAdmin`)\n- [Principal Access Boundary Policy Admin](/iam/docs/roles-permissions/iam#iam.principalAccessBoundaryAdmin) (`roles/iam.principalAccessBoundaryAdmin`)\n- [Workspace Pool IAM Admin](/iam/docs/roles-permissions/iam#iam.workspacePoolAdmin) (`roles/iam.workspacePoolAdmin`)\n\n\nFor more information about granting roles, see [Manage access to projects, folders, and organizations](/iam/docs/granting-changing-revoking-access).\n\n\nYou might also be able to get\nthe required permissions through [custom\nroles](/iam/docs/creating-custom-roles) or other [predefined\nroles](/iam/docs/roles-overview#predefined).\n\nStart a simulation\n------------------\n\nThe following sections describe the ways that you can start a simulation for a\nchange to a principal access boundary policy or binding.\n\n### Simulate a new binding for a principal access boundary policy\n\nFollow the steps to [create a policy binding](/iam/docs/principal-access-boundary-policies-create#create-binding), but don't\nclick **Add** after entering the binding details. Instead, click **Test\nchanges**.\n\n### Simulate an edit to an existing principal access boundary policy\n\nFollow the steps to [edit a principal access boundary policy](/iam/docs/principal-access-boundary-policies-edit#edit-policy), but\ndon't click **Save** after editing the policy. Instead, click **Test changes**.\n\n### Simulate an edit to an existing binding for a principal access boundary policy\n\nFollow the steps to [edit a policy binding](/iam/docs/principal-access-boundary-policies-edit#edit-binding), but don't\nclick **Save** after editing the binding. Instead, click **Test changes**.\n\n### Simulate deleting principal access boundary rules\n\n1. In the Google Cloud console, go to the **Principal Access Boundary\n policies** page.\n\n [Go to Principal Access Boundary\n policies](https://console.cloud.google.com/iam-admin/principal-access-boundary)\n2. Select the organization that owns the principal access boundary policy whose rules\n you want to delete.\n\n3. Click the policy ID of the principal access boundary policy whose rule you want to\n delete.\n\n4. In the **Boundary rules** table, select the rules that you want to\n delete, then click auto_delete **Test\n delete rules**.\n\n### Simulate deleting a principal access boundary policy\n\n1. In the Google Cloud console, go to the **Principal Access Boundary\n policies** page.\n\n [Go to Principal Access Boundary\n policies](https://console.cloud.google.com/iam-admin/principal-access-boundary)\n2. Select the organization that owns the principal access boundary policy whose binding\n you want to delete.\n\n3. Find the ID of the policy that you want to delete. In that policy's row,\n click more_vert **Actions** , then\n click **Test delete policy**.\n\n### Simulate deleting a binding for a principal access boundary policy\n\n1. In the Google Cloud console, go to the **Principal Access Boundary\n policies** page.\n\n [Go to Principal Access Boundary\n policies](https://console.cloud.google.com/iam-admin/principal-access-boundary)\n2. Select the organization that owns the principal access boundary policy whose binding\n you want to delete.\n\n3. Click the policy ID of the principal access boundary policy whose bindings you want\n to delete.\n\n4. Click the **Bindings** tab.\n\n5. Find the ID of the binding that you want to delete. In that binding's row,\n click more_vert **Actions** , then\n click **Test delete binding**.\n\nUnderstand simulation results\n-----------------------------\n\nThe results page for a principal access boundary policy or binding simulation contains\nthe following information:\n\n- An **Access revoked** section, which contains the following information:\n\n - The number of principals that would lose access if you applied the simulated principal access boundary policy or binding\n - The number of known resources that principals would lose access to if you applied the simulated principal access boundary policy or binding\n- An **Access gained** section, which contains the following information:\n\n - The number of principals that would gain access if you applied the simulated principal access boundary policy or binding\n - The number of known resources that principals would gain access to if you applied the simulated principal access boundary policy or binding\n- A table of the access changes, which shows the impact of the simulated policy\n or binding. To learn how to interpret these access changes, see\n [Policy Simulator results](/policy-intelligence/docs/pab-simulator-overview#review-results).\n\nTake action based on a simulation\n---------------------------------\n\nAfter reviewing a simulation report, you can take the following actions:\n\n- **Export the simulation results** : To export the results of a simulation as a\n CSV file, click **Export raw results**.\n\n When you click this button, a CSV file with the simulation reports is\n downloaded to your computer.\n- **Apply the simulated policy change**: The button that you click to apply\n a simulated policy change depends on the type of change you're simulating.\n\n - **Simulating an edited principal access boundary policy or rule, or a deleted\n rule** : click **Set policy**.\n - **Simulating a new or edited binding for a principal access boundary policy** : click **Set binding**.\n - **Simulating a deleted principal access boundary policy** : click **Delete\n policy**.\n - **Simulating a deleted binding for a principal access boundary policy** : click **delete binding**.\n\n When you click this button, the Google Cloud console sets the simulated\n policy or binding.\n- **Edit the simulated change to the policy or binding** : To make further\n changes to the simulated policy or policy binding, click **Back** or **Back to\n editing**.\n\n When you click this button, the Google Cloud console redirects you to the\n policy or policy binding editor.\n\nWhat's next\n-----------\n\n- [Test organization policy changes with\n Policy Simulator](/policy-intelligence/docs/test-organization-policies)\n- [Test role changes with Policy Simulator](/policy-intelligence/docs/simulate-iam-policies)"]]
