Policy Simulator untuk kebijakan yang diizinkan

Kebijakan Simulator untuk Identity and Access Management memungkinkan Anda melihat dampak perubahan kebijakan izin terhadap akses akun utama sebelum berkomitmen untuk melakukan perubahan tersebut. Anda dapat menggunakan Policy Simulator untuk memastikan bahwa perubahan yang Anda buat tidak akan menyebabkan akun utama kehilangan akses yang diperlukan.

Cara kerja Simulator Kebijakan

Policy Simulator membantu Anda menentukan dampak perubahan terhadap kebijakan izin bagi pengguna. Untuk melakukannya, pengujian tidak hanya membandingkan izin dalam kebijakan izinkan saat ini dan yang diusulkan. Sebagai gantinya, sistem ini menggunakan log akses untuk berfokus pada perubahan izin yang benar-benar akan memengaruhi pengguna Anda.

Untuk mengetahui pengaruh perubahan pada kebijakan izinkan terhadap akses akun utama, Simulator Kebijakan menentukan percobaan akses mana dari 90 hari terakhir yang memiliki hasil yang berbeda berdasarkan kebijakan izin yang diusulkan dan kebijakan izin saat ini. Kemudian, laporan ini melaporkan hasil ini sebagai daftar perubahan akses.

Saat menyimulasikan perubahan pada kebijakan izinkan, Anda memberikan kebijakan izin yang diusulkan dengan perubahan yang ingin Anda uji. Kebijakan izin yang diusulkan ini dapat diterapkan untuk semua resource yang menerima kebijakan izinkan.

Saat Anda menjalankan simulasi, Policy Simulator akan melakukan hal berikut:

  1. Mengambil log akses untuk jenis resource yang didukung dari 90 hari terakhir. Tempat log ini dikumpulkan bergantung pada resource yang kebijakan izinkannya Anda simulasikan:

    • Jika Anda menyimulasikan kebijakan izinkan untuk project atau organisasi, Simulator Kebijakan akan mengambil log akses untuk project atau organisasi tersebut.
    • Jika Anda menyimulasikan kebijakan izinkan untuk jenis resource yang berbeda, Simulator Kebijakan akan mengambil log akses untuk organisasi atau project induk resource tersebut.
    • Jika Anda menyimulasikan beberapa kebijakan izin resource sekaligus, Simulator Kebijakan akan mengambil log akses untuk project atau organisasi umum terdekat dari resource.

    Jika resource induk tidak ada selama 90 hari, Simulator Kebijakan akan mengambil semua upaya akses sejak resource dibuat.

  2. Mengevaluasi ulang atau replays upaya akses yang dicatat dalam log akses menggunakan kebijakan izin saat ini, dengan mempertimbangkan semua kebijakan izin yang diwarisi dan kebijakan izin apa pun yang ditetapkan pada resource turunan.

    Memutar ulang upaya akses dengan kebijakan izinkan saat ini memastikan bahwa Simulator Kebijakan hanya melaporkan perubahan akses yang merupakan hasil dari proposal kebijakan izin, dan tidak melaporkan perubahan yang merupakan hasil dari perubahan kebijakan izinkan lainnya yang telah Anda lakukan dalam 90 hari terakhir.

  3. Memutar ulang upaya akses menggunakan kebijakan izinkan yang diusulkan, sekali lagi dengan mempertimbangkan semua kebijakan izin yang diwariskan dan setiap kebijakan izin yang ditetapkan pada resource turunan.

  4. Membandingkan hasil dari kedua replay dan melaporkan perbedaannya, yang menunjukkan pengaruh perubahan yang diusulkan terhadap akses akun utama.

Contoh: Perubahan kebijakan pengujian

Misalnya Anda ingin menghapus peran Organization Viewer (roles/resourcemanager.organizationViewer) pengguna. Anda ingin menggunakan Policy Simulator untuk mengonfirmasi bahwa perubahan ini tidak akan memengaruhi akses pengguna.

Anda menggunakan Konsol Google Cloud, REST API, atau Google Cloud CLI untuk menyimulasikan perubahan pada kebijakan izinkan.

Saat Anda memulai simulasi, Policy Simulator akan melakukan hal berikut:

  • Mengambil log akses untuk organisasi Anda dari 90 hari terakhir.
  • Memutar ulang upaya akses menggunakan kebijakan izin organisasi saat ini, dengan pengguna memiliki peran Organization Viewer.
  • Memutar ulang upaya akses lagi menggunakan kebijakan izinkan yang diusulkan, saat pengguna tidak memiliki peran Organization Viewer.
  • Membandingkan hasil dari kedua replay dan melaporkan perbedaan di antara keduanya.

Kemudian, Anda dapat meninjau hasilnya untuk memahami pengaruh perubahan yang diusulkan terhadap akses pengguna.

Contoh: Pewarisan kebijakan

Bayangkan Anda ingin menyimulasikan perubahan pada kebijakan izinkan untuk folder, Engineering, dalam organisasi dengan struktur berikut:

Contoh struktur organisasi

Perlu diketahui bahwa Engineering memiliki resource induk, yaitu organisasi example.com, yang mewarisi kebijakan izin dari resource induk. Akun ini juga memiliki tiga project turunan yang dapat memiliki kebijakan izin sendiri: example-prod, example-dev, dan example-test.

Anda memberikan kebijakan izin yang diusulkan dan menjalankan simulasi. Saat Anda memulai simulasi, Policy Simulator akan melakukan hal berikut:

  • Mengambil semua log yang relevan selama 90 hari terakhir. Karena Engineering adalah folder, Policy Simulator mengambil log dari organisasi induknya, example.com.
  • Memutar ulang upaya akses menggunakan kebijakan izin saat ini dari folder, kebijakan izin yang diwarisi dari example.com, dan kebijakan izin project turunan.
  • Memutar ulang setiap upaya akses lagi menggunakan kebijakan izin yang diusulkan, kebijakan izinkan yang diwarisi dari example.com, dan kebijakan izin project turunan.
  • Membandingkan hasil dari replay dan melaporkan perbedaan di antara keduanya.

Kemudian, Anda dapat meninjau hasilnya untuk memahami pengaruh perubahan yang diusulkan terhadap akses pengguna.

Meninjau hasil Simulator Kebijakan

Policy Simulator melaporkan dampak perubahan yang diusulkan terhadap kebijakan izin sebagai daftar perubahan akses. Perubahan akses menunjukkan upaya akses dari 90 hari terakhir yang akan memiliki hasil berbeda berdasarkan kebijakan izin yang diusulkan dibandingkan dengan kebijakan izin saat ini.

Policy Simulator juga mencantumkan semua error yang terjadi selama simulasi, yang membantu Anda mengidentifikasi potensi celah dalam simulasi.

Ada beberapa jenis perubahan akses:

Perubahan akses Detail
Akses dicabut Akun utama memiliki akses berdasarkan kebijakan izin saat ini, tetapi tidak akan lagi memiliki akses setelah perubahan yang diusulkan.
Akses berpotensi dicabut

Hasil ini dapat terjadi karena alasan berikut:

  • Akun utama memiliki akses berdasarkan kebijakan izin saat ini, tetapi aksesnya berdasarkan kebijakan izin yang diusulkan tidak diketahui.
  • Akses akun utama berdasarkan kebijakan izin saat ini tidak diketahui, tetapi akun utama tersebut tidak akan memiliki akses setelah perubahan yang diusulkan.
Akses diperoleh Akun utama tidak memiliki akses berdasarkan kebijakan izin saat ini, tetapi akan memiliki akses setelah perubahan yang diusulkan.
Akses yang berpotensi diperoleh

Hasil ini dapat terjadi karena alasan berikut:

  • Akun utama tidak memiliki akses berdasarkan kebijakan izin saat ini, tetapi aksesnya setelah perubahan yang diusulkan tidak diketahui.
  • Akses akun utama berdasarkan kebijakan izin saat ini tidak diketahui, tetapi akun tersebut akan memiliki akses setelah perubahan yang diusulkan.
Akses tidak diketahui Akses akun utama berdasarkan kebijakan izin saat ini dan kebijakan izin yang diusulkan tidak diketahui, dan perubahan yang diusulkan dapat memengaruhi akses akun utama.
Error Terjadi error saat simulasi berlangsung.

Hasil tidak diketahui

Jika hasil akses tidak diketahui, artinya Simulator Kebijakan tidak memiliki cukup informasi untuk mengevaluasi upaya akses sepenuhnya.

Ada beberapa alasan mengapa hasilnya bisa tidak diketahui:

  • Info peran ditolak: Akun utama yang menjalankan simulasi tidak memiliki izin untuk melihat detail peran satu atau beberapa peran yang disimulasikan.
  • Tidak dapat mengakses kebijakan: Akun utama yang menjalankan simulasi tidak memiliki izin untuk mendapatkan kebijakan izinkan untuk satu atau beberapa resource yang terlibat dalam simulasi.
  • Info keanggotaan ditolak: Akun utama yang menjalankan simulasi tidak memiliki izin untuk melihat anggota satu atau beberapa grup yang disertakan dalam kebijakan izin simulasi.
  • Kondisi tidak didukung: Ada binding peran bersyarat dalam kebijakan izin yang sedang diuji. Policy Simulator tidak mendukung kondisi, sehingga binding tidak dapat dievaluasi.

Jika hasil akses tidak diketahui, hasil Simulator Kebijakan melaporkan alasan akses tidak diketahui, serta peran tertentu, kebijakan izinkan, info keanggotaan, dan kondisional yang tidak dapat diakses atau dievaluasi.

Error

Policy Simulator juga melaporkan error yang terjadi selama simulasi. Anda perlu meninjau error ini agar dapat memahami potensi celah dalam simulasi.

Ada beberapa jenis error yang mungkin dilaporkan Simulator Kebijakan:

  • Error operasi: Simulasi tidak dapat dijalankan.

    Jika pesan error menyatakan bahwa simulasi tidak dapat dijalankan karena ada terlalu banyak log dalam project atau organisasi Anda, maka Anda tidak dapat menjalankan simulasi pada resource.

    Jika Anda mendapatkan error ini karena alasan lain, coba jalankan simulasi lagi. Jika Anda tetap tidak dapat menjalankan simulasi, hubungi policy-simulator-feedback@google.com.

  • Error pengulangan: Pengulangan upaya akses tunggal tidak berhasil, sehingga Simulator Kebijakan tidak dapat menentukan apakah hasil upaya akses akan berubah berdasarkan kebijakan izin yang diusulkan.

  • Error jenis resource yang tidak didukung: Kebijakan izinkan yang diusulkan memengaruhi izin yang terkait dengan jenis resource yang tidak didukung, yang tidak dapat disimulasikan oleh Policy Simulator. Policy Simulator mencantumkan izin ini dalam hasil simulasi sehingga Anda mengetahui izin mana yang tidak dapat disimulasikan.

Ukuran replay log maksimum

Jumlah maksimum log akses yang dapat diputar ulang oleh simulasi adalah 5.000. Jika ada lebih dari 5.000 log akses untuk project atau organisasi Anda selama 90 hari terakhir, simulasi akan gagal.

Untuk mempelajari cara Policy Simulator memutuskan log akses yang akan diambil, lihat Cara kerja Simulator Kebijakan di halaman ini.

Tingkat dukungan untuk jenis resource

Policy Simulator tidak mendukung semua jenis resource dalam simulasi. Hal ini memengaruhi perubahan izin yang dapat disimulasikan.

Jenis resource yang didukung

Policy Simulator hanya mendukung jenis resource berikut:

Layanan Jenis resource yang didukung
Cloud Storage
  • buckets
Pub/Sub
  • snapshots
  • subscriptions
  • topics
Cloud SQL
  • backupRuns
  • databases
  • instances
  • sslCerts
  • users
Spanner
  • backups
  • backupOperations
  • databases
  • databaseOperations
  • instanceConfigs
  • instanceOperations
  • instances
  • sessions
Resource Manager
  • folders
  • organizations
  • projects
Compute Engine
  • instances

Jenis resource yang tidak didukung

Jenis resource yang tidak didukung adalah jenis resource yang log aksesnya tidak dapat diambil oleh Simulator Kebijakan. Jika Policy Simulator tidak dapat mengambil log akses untuk resource, Simulator Kebijakan tidak dapat mengevaluasi bagaimana kebijakan izin yang diusulkan dapat memengaruhi upaya akses tersebut.

Jika perubahan yang diusulkan pada kebijakan izinkan melibatkan izin untuk jenis resource yang tidak didukung, Simulator Kebijakan akan mencantumkan izin tersebut dalam hasil simulasi sehingga Anda mengetahui izin mana yang tidak dapat disimulasikan. Misalnya, Policy Simulator tidak mendukung model AI Platform. Jadi, jika kebijakan izinkan yang diusulkan menghapus peran dengan izin aiplatform.models.list, hasil untuk simulasi tersebut akan menyatakan bahwa peran tersebut tidak dapat menyimulasikan izin aiplatform.models.list.

Langkah selanjutnya