此页面由 Cloud Translation API 翻译。

使用 Policy Simulator 测试主账号访问边界政策更改

本页面介绍了如何使用 Policy Simulator 模拟对主账号访问权限边界 (PAB) 政策或绑定的更改。此外，本页面还介绍了如何解读模拟结果，以及如何应用模拟的主账号访问权限边界政策或绑定（如果您选择这样做）。

此功能仅根据主账号访问权限边界政策评估访问权限。

如需了解如何模拟对其他政策类型的更改，请参阅以下内容：

准备工作

Enable the Cloud Asset Inventory, Identity and Access Management, Policy Analyzer, and Policy Simulator APIs.
Enable the APIs
可选：了解主账号访问权限边界政策的 Policy Simulator 的工作原理。

如需获得测试对主账号访问权限边界政策和绑定的更改所需的权限，请让您的管理员为您授予组织的以下 IAM 角色：

IAM Operation Viewer (roles/iam.operationViewer)
IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin)
IAM Workload Identity Pool Admin (roles/iam.workloadIdentityPoolAdmin)
Organization Administrator (roles/resourcemanager.organizationAdmin)
Principal Access Boundary Policy Admin (roles/iam.principalAccessBoundaryAdmin)
Workspace Pool IAM Admin (roles/iam.workspacePoolAdmin)

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

以下各部分介绍了如何针对主账号访问权限边界政策或绑定的更改启动模拟。

按照创建政策绑定的步骤操作，但在输入绑定详细信息后，不要点击添加。请改为点击测试更改。

按照修改主账号访问权限边界政策的步骤操作，但在修改政策后不要点击保存。请改为点击测试更改。

按照修改政策绑定的步骤操作，但在修改绑定后不要点击保存。请改为点击测试更改。

主账号访问权限边界政策或绑定模拟的结果页面包含以下信息：

访问权限已撤消部分，其中包含以下信息：
- 如果应用模拟的主账号访问权限边界政策或绑定，会失去访问权限的主账号数量
- 如果应用模拟的主账号访问权限边界政策或绑定，主账号将失去对已知资源的访问权限的数量
获得访问权限部分，其中包含以下信息：
- 如果应用模拟的主账号访问权限边界政策或绑定，将获得访问权限的主账号数量
- 如果应用模拟的主账号访问权限边界政策或绑定，主账号将获得访问权限的已知资源数量
一个显示访问权限变更的表格，其中显示了模拟政策或绑定的影响。如需了解如何解读这些访问权限更改，请参阅Policy Simulator 结果。

查看模拟报告后，您可以执行以下操作：

导出模拟结果：如需将模拟结果导出为 CSV 文件，请点击导出原始结果。

点击此按钮后，系统会将包含模拟报告的 CSV 文件下载到您的计算机。
应用模拟政策更改：您点击以应用模拟政策更改的按钮取决于您要模拟的更改类型。
- 模拟修改后的主账号访问权限边界政策或规则，或模拟已删除的规则：点击设置政策。
- 模拟主账号访问权限边界政策的新绑定或已修改的绑定：点击设置绑定。
- 模拟已删除的主账号访问权限边界政策：点击删除政策。
- 模拟删除主账号访问权限边界政策的绑定：点击删除绑定。
点击此按钮后，控制台会设置模拟政策或绑定。 Google Cloud
修改对政策或绑定的模拟更改：如需进一步更改模拟政策或政策绑定，请点击返回或返回到编辑模式。

点击此按钮后， Google Cloud 控制台会将您重定向到政策或政策绑定编辑器。