使用 Policy Simulator 测试主账号访问边界政策更改

本页面介绍了如何使用 Policy Simulator 模拟对主账号访问权限边界 (PAB) 政策或绑定的更改。此外，本页面还介绍了如何解读模拟结果，以及如何应用模拟的主账号访问权限边界政策或绑定（如果您选择这样做）。

此功能仅根据主账号访问权限边界政策评估访问权限。

如需了解如何模拟对其他政策类型的更改，请参阅以下内容：

• 使用 Policy Simulator 测试拒绝政策更改
• 使用 Policy Simulator 测试组织政策更改
• 使用 Policy Simulator 测试角色更改

准备工作

• Enable the Cloud Asset Inventory, Identity and Access Management, Policy Analyzer, and Policy Simulator APIs.

  Roles required to enable APIs

  To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

  Enable the APIs

• 可选：了解主账号访问权限边界政策的 Policy Simulator 的工作原理。

所需的角色

如需获得测试对主账号访问权限边界政策和绑定的更改所需的权限，请让管理员向您授予组织的以下 IAM 角色：

• IAM Operation Viewer (roles/iam.operationViewer)
• IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin)
• IAM Workload Identity Pool Admin (roles/iam.workloadIdentityPoolAdmin)
• Organization Administrator (roles/resourcemanager.organizationAdmin)
• Principal Access Boundary Policy Admin (roles/iam.principalAccessBoundaryAdmin)
• Workspace Pool IAM Admin (roles/iam.workspacePoolAdmin)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

开始模拟

以下各部分介绍了如何针对主账号访问权限边界政策或绑定的更改启动模拟。

模拟主账号访问边界政策的新绑定

按照创建政策绑定的步骤操作，但在输入绑定详细信息后，不要点击添加。请改为点击测试更改。

模拟修改现有主账号访问权限边界政策

按照修改主账号访问权限边界政策的步骤操作，但在修改政策后不要点击保存。请改为点击测试更改。

模拟修改主账号访问权限边界政策的现有绑定

按照修改政策绑定的步骤操作，但在修改绑定后不要点击保存。请改为点击测试更改。

模拟删除主账号访问权限边界规则

1. 在 Google Cloud 控制台中，前往 Principal Access Boundary Policy 页面。

   前往“主账号访问权限边界政策”

2. 选择拥有您要删除其规则的主账号访问边界政策的组织。

3. 点击您要删除其规则的主账号访问权限边界政策的政策 ID。

4. 在边界规则表格中，选择要删除的规则，然后点击 auto_delete 测试删除规则。

模拟删除主账号访问权限边界政策

1. 在 Google Cloud 控制台中，前往 Principal Access Boundary Policy 页面。

   前往“主账号访问权限边界政策”

2. 选择拥有您要删除其绑定的主账号访问边界政策的组织。

3. 找到您要删除的政策的 ID。在该政策所在的行中，点击 more_vert 操作，然后点击测试删除政策。

模拟删除主账号访问边界政策的绑定

1. 在 Google Cloud 控制台中，前往 Principal Access Boundary Policy 页面。

   前往“主账号访问权限边界政策”

2. 选择拥有您要删除其绑定的主账号访问边界政策的组织。

3. 点击您要删除其绑定的主账号访问边界政策的政策 ID。

4. 点击绑定标签页。

5. 找到您要删除的绑定的 ID。在该绑定所在的行中，点击 more_vert 操作，然后点击测试删除绑定。

了解模拟结果

主账号访问权限边界政策或绑定模拟的结果页面包含以下信息：

• 访问权限已撤消部分，其中包含以下信息：

  • 如果应用模拟的主账号访问权限边界政策或绑定，会失去访问权限的主账号数量
  • 如果应用模拟的主账号访问权限边界政策或绑定，主账号将失去对已知资源的访问权限的数量

• 获得访问权限部分，其中包含以下信息：

  • 如果应用模拟的主账号访问权限边界政策或绑定，将获得访问权限的主账号数量
  • 如果应用模拟的主账号访问权限边界政策或绑定，主账号将获得访问权限的已知资源数量

• 一个显示模拟政策或绑定影响的访问权限更改表。如需了解如何解读这些访问权限更改，请参阅Policy Simulator 结果。

根据模拟结果采取行动

查看模拟报告后，您可以执行以下操作：

• 导出模拟结果：如需将模拟结果导出为 CSV 文件，请点击导出原始结果。

  点击此按钮后，系统会将包含模拟报告的 CSV 文件下载到您的计算机。

• 应用模拟政策更改：您点击以应用模拟政策更改的按钮取决于您要模拟的更改类型。

  • 模拟修改后的主账号访问权限边界政策或规则，或已删除的规则：点击设置政策。
  • 模拟主账号访问权限边界政策的新绑定或已修改的绑定：点击设置绑定。
  • 模拟已删除的主账号访问权限边界政策：点击删除政策。
  • 模拟删除主账号访问边界政策的绑定：点击删除绑定。

  点击此按钮后， Google Cloud 控制台会设置模拟政策或绑定。

• 修改对政策或绑定的模拟更改：如需进一步更改模拟政策或政策绑定，请点击返回或返回到编辑模式。

  点击此按钮后， Google Cloud 控制台会将您重定向到政策或政策绑定编辑器。

后续步骤

• 使用 Policy Simulator 测试组织政策更改
• 使用 Policy Simulator 测试角色更改