Policy Simulator for Identity and Access Management consente di valutare i criteri che consentono di vedere in che modo una modifica a un criterio di autorizzazione potrebbe influire sull'accesso di un'entità prima di impegnarsi ad apportare la modifica. Puoi utilizzare Policy Simulator per assicurarti che le modifiche che apporti non modifichino l'accesso di un'entità di cui hanno bisogno.
Come funziona Policy Simulator
Policy Simulator ti aiuta a determinare l'impatto di una modifica su un criterio di autorizzazione per i tuoi utenti. A questo scopo, non si limita a confrontare le autorizzazioni nei criteri di autorizzazione attuali e proposti. Al contrario, utilizza i log di accesso per concentrarsi sulle modifiche alle autorizzazioni che potrebbero effettivamente influire sugli utenti.
Per scoprire come una modifica a un criterio di autorizzazione potrebbe influire sull'accesso di un'entità, Policy Simulator stabilisce quali tentativi di accesso degli ultimi 90 giorni hanno risultati diversi in base al criterio di autorizzazione proposto e al criterio di autorizzazione corrente. Quindi segnala questi risultati come un elenco di modifiche dell'accesso.
Quando simula una modifica a un criterio di autorizzazione, fornisci un criterio di autorizzazione proposto con le modifiche da testare. Questo criterio di autorizzazione proposto può essere applicato a qualsiasi risorsa che accetta criteri di autorizzazione.
Quando esegui una simulazione, Policy Simulator esegue queste operazioni:
Recupera i log degli accessi per i tipi di risorse supportati dagli ultimi 90 giorni. Da dove vengono raccolti questi log dipende dalla risorsa di cui stai simulando il criterio di autorizzazione:
- Se stai simulando un criterio di autorizzazione per un progetto o un'organizzazione, Policy Simulator recupera i log di accesso per il progetto o l'organizzazione.
- Se stai simulando un criterio di autorizzazione per un tipo diverso di risorsa, Policy Simulator recupera i log di accesso per il progetto o l'organizzazione della risorsa principale.
- Se stai simulando l'utilizzo simultaneo di più risorse, Policy Simulator recupera i log degli accessi per il progetto o l'organizzazione più vicino alle risorse.
Se la risorsa padre non esiste da 90 giorni, Policy Simulator recupera tutti i tentativi di accesso dalla creazione della risorsa.
Rivaluta o riascolta i tentativi di accesso registrati nei log di accesso utilizzando i criteri di autorizzazione attuali, tenendo conto di eventuali criteri di autorizzazione ereditati e di qualsiasi criterio di autorizzazione impostato sulle risorse discendenti.
La riproduzione dei tentativi di accesso con l'attuale criterio di autorizzazione garantisce che Policy Simulator registri solo le modifiche di accesso che sono il risultato del criterio di autorizzazione proposto e non segnalano le modifiche che sono il risultato di altre modifiche ai criteri di autorizzazione che hai apportato negli ultimi 90 giorni.
Riproduci nuovamente i tentativi di accesso utilizzando il criterio di autorizzazione proposto, considerando ancora una volta i criteri di autorizzazione ereditati e tutti i criteri di autorizzazione impostati sulle risorse discendenti.
Confronta i risultati delle due repliche e segnala le differenze, che mostrano come le modifiche proposte influenzerebbero l'accesso dell'entità.
Esempio: test delle modifiche ai criteri
Immagina di voler rimuovere il ruolo Visualizzatore organizzazione di un utente (roles/resourcemanager.organizationViewer). Vuoi utilizzare Policy Simulator per confermare che questa modifica non influirà sull'accesso dell'utente.
Utilizzi la console Google Cloud, l'API REST o Google Cloud CLI per simulare la modifica del criterio di autorizzazione.
Quando avvii la simulazione, Policy Simulator esegue queste operazioni:
- Recupera i log degli accessi per l'organizzazione degli ultimi 90 giorni.
- Riproduci i tentativi di accesso utilizzando l'attuale criterio di autorizzazione dell'organizzazione, in cui l'utente dispone del ruolo Visualizzatore organizzazione.
- Riproduci nuovamente i tentativi di accesso utilizzando il criterio di autorizzazione proposto, in cui l'utente non dispone del ruolo Visualizzatore organizzazione.
- Confronta i risultati delle due repliche e segnala le differenze.
Puoi quindi esaminare i risultati per capire in che modo la modifica proposta influisce sull'accesso dell'utente.
Esempio: ereditarietà dei criteri
Immagina di voler simulare una modifica a un criterio di autorizzazione per una cartella, Engineering, in un'organizzazione con la seguente struttura:
Tieni presente che Engineering ha una risorsa padre, l'organizzazione example.com, da cui eredita i criteri di autorizzazione. Inoltre, include tre progetti secondari che possono avere i propri criteri di autorizzazione: example-prod, example-dev e example-test.
Fornisci un criterio di autorizzazione proposto ed esegui la simulazione. Quando inizi la simulazione, Policy Simulator esegue queste operazioni:
- Recupera tutti i log pertinenti degli ultimi 90 giorni. Poiché
Engineeringè una cartella, Policy Simulator recupera i log dalla sua organizzazione principale,example.com. - Riproduci i tentativi di accesso utilizzando il criterio di autorizzazione corrente della cartella, il criterio di autorizzazione ereditato da
example.come i criteri di autorizzazione dei progetti secondari. - Riproduci nuovamente ogni tentativo di accesso utilizzando il criterio di autorizzazione proposto, il criterio di autorizzazione ereditato da
example.come i criteri di autorizzazione dei progetti secondari. - Confronta i risultati delle repliche e riporta le differenze tra i due.
Puoi quindi esaminare i risultati per capire in che modo la modifica proposta influisce sull'accesso dell'utente.
Esaminare i risultati del Simulatore di criteri
Policy Simulator segnala l'impatto di una modifica proposta a un criterio di autorizzazione come un elenco di modifiche dell'accesso. Una modifica dell'accesso rappresenta un tentativo di accesso degli ultimi 90 giorni che avrebbe un risultato diverso in base al criterio di autorizzazione proposto rispetto al criterio di autorizzazione corrente.
Policy Simulator elenca anche gli eventuali errori che si sono verificati durante la simulazione, per aiutarti a identificare potenziali lacune nella simulazione.
Esistono diversi tipi di modifiche dell'accesso:
| Modifica accesso | Dettagli |
|---|---|
| Accesso revocato | L'entità aveva accesso in base al criterio di autorizzazione attuale, ma non avrà più accesso dopo la modifica proposta. |
| Accesso potenzialmente revocato |
Questo risultato può verificarsi per i seguenti motivi:
|
| Accesso ottenuto | L'entità non aveva accesso in base al criterio di autorizzazione attuale, ma vi avrà accesso dopo la modifica proposta. |
| Accesso potenzialmente ottenuto |
Questo risultato può verificarsi per i seguenti motivi:
|
| Accesso sconosciuto | L'accesso dell'entità sia in base al criterio di autorizzazione corrente sia al criterio di autorizzazione proposto è sconosciuto e le modifiche proposte potrebbero influire sull'accesso dell'entità. |
| Errore | Si è verificato un errore durante la simulazione. |
Risultati sconosciuti
Se il risultato dell'accesso è sconosciuto, significa che Policy Simulator non disponeva di informazioni sufficienti per valutare appieno il tentativo di accesso.
Esistono diversi motivi per cui un risultato può essere sconosciuto:
- Informazioni sul ruolo negate: l'entità che esegue la simulazione non aveva l'autorizzazione per visualizzare i dettagli dei ruoli per uno o più ruoli simulati.
- Impossibile accedere al criterio: l'entità che esegue la simulazione non aveva l'autorizzazione per ottenere il criterio di autorizzazione per una o più risorse coinvolte nella simulazione.
- Informazioni sull'iscrizione rifiutate: l'entità che esegue la simulazione non aveva l'autorizzazione per visualizzare i membri di uno o più gruppi inclusi nel criterio di autorizzazione simulato.
- Condizione non supportata: esiste un'associazione di ruolo condizionale nel criterio di test in fase di test. Policy Simulator non supporta le condizioni, quindi non è stato possibile valutare l'associazione.
Se un risultato di accesso è sconosciuto, i risultati di Policy Simulator segnalano il motivo per cui era sconosciuto, oltre ai ruoli specifici, consentono criteri, informazioni sulle iscrizioni e condizioni a cui non è stato possibile accedere o valutare.
Errori
Policy Simulator segnala anche eventuali errori che si sono verificati durante la simulazione. È importante esaminare questi errori per comprendere le potenziali lacune nella simulazione.
Esistono diversi tipi di errori che potrebbe essere segnalato da Policy Simulator:
Errori relativi alle operazioni: non è stato possibile eseguire la simulazione.
Se il messaggio di errore indica che non è possibile eseguire la simulazione perché nel tuo progetto o nella tua organizzazione sono presenti troppi log, non puoi eseguire una simulazione sulla risorsa.
Se visualizzi questo errore per un altro motivo, prova a eseguire di nuovo la simulazione. Se non riesci ancora a eseguire la simulazione, contatta [email protected].
Errori di riproduzione: una replica di un singolo tentativo di accesso non è andata a buon fine, pertanto Policy Simulator non ha potuto stabilire se il risultato del tentativo di accesso cambierà in base al criterio di autorizzazione proposto.
Errori relativi al tipo di risorsa non supportato: il criterio di autorizzazione proposto influisce sulle autorizzazioni associate a un tipo di risorsa non supportato, che non è possibile simulare. Policy Simulator elenca queste autorizzazioni nei risultati della simulazione in modo che tu sappia quali autorizzazioni non è stata simulata.
Dimensione massima di riproduzione dei log
Il numero massimo di log di accesso che una simulazione può riprodurre è 1000. Se negli ultimi 90 giorni sono presenti più di 1000 log di accesso per il tuo progetto o la tua organizzazione, la simulazione non andrà a buon fine.
Per informazioni su come Policy Simulator decide quali log di accesso recuperare, consulta Come funziona Policy Simulator in questa pagina.
Livelli di supporto per i tipi di risorse
Policy Simulator non supporta tutti i tipi di risorse nelle simulazioni. Questa operazione influisce sulle modifiche alle autorizzazioni che è in grado di simulare.
Tipi di risorse supportati
Policy Simulator supporta solo i seguenti tipi di risorse:
| Servizio | Tipi di risorse supportati |
|---|---|
| Cloud Storage |
|
| Pub/Sub |
|
| Cloud SQL |
|
| Cloud Spanner |
|
| Resource Manager |
|
| Compute Engine |
|
Tipi di risorse non supportati
I tipi di risorse non supportati sono tipi di risorse per cui Policy Simulator non può recuperare i log di accesso. Se Policy Simulator non riesce a recuperare i log di accesso per una risorsa, non può valutare l'impatto del criterio di autorizzazione proposto su tali tentativi di accesso.
Se una modifica proposta a un criterio di autorizzazione include le autorizzazioni per un tipo di risorsa non supportato, Policy Simulator elenca queste autorizzazioni nei risultati della simulazione in modo che tu sappia quali autorizzazioni non è stata simulata.
Ad esempio, Policy Simulator non supporta i modelli di AI Platform. Di conseguenza, se un criterio di autorizzazione proposto rimuove un ruolo con l'autorizzazione aiplatform.models.list, i risultati per la simulazione indicano che non è stato possibile simulare l'autorizzazione aiplatform.models.list.
Passaggi successivi
- Scopri come simulare una modifica a un criterio di autorizzazione.
- Esplora altri strumenti di Policy Intelligence.