Simulador de política de políticas de permissão

O Simulador de política para Identity and Access Management permite ver como uma alteração em uma política de permissão pode afetar o acesso de um principal antes de se comprometer a fazer a alteração. Use Simulador de política para garantir que as mudanças que você está fazendo não façam com que um principal perca o acesso de que precisa.

Como o Simulador de políticas funciona

O Simulador de política ajuda a determinar o impacto de uma alteração em uma política de permissão para os usuários. Para fazer isso, ele não compara apenas as permissões nas políticas atuais e propostas. Em vez disso, ele usa os registros de acesso para se concentrar nas mudanças de permissão que realmente afetariam os usuários.

Para descobrir como uma alteração em uma política de permissão pode afetar o acesso de um principal, o Simulador de política determina quais tentativas de acesso dos últimos 90 dias têm resultados diferentes de acordo com a política de permissões proposta e a política de permissão atual. Depois, ele relata esses resultados como uma lista de alterações de acesso.

Ao simular uma alteração em uma política de permissão, você fornece uma política de permissão proposta com as alterações que quer testar. Essa política pode ser de qualquer recurso que aceite políticas de permissão.

Quando você executa uma simulação, o simulador de política faz o seguinte:

  1. Recupera os registros de acesso para os tipos de recurso compatíveis dos últimos 90 dias. De onde esses registros são coletados depende do recurso da política de permissão que você está simulando:

    • Se você estiver simulando uma política de permissão para um projeto ou organização, o Simulador de política recupera os registros de acesso para o projeto ou a organização.
    • Se você estiver simulando uma política de permissão para um tipo diferente de recurso, o Simulador de política recupera os registros de acesso do projeto ou da organização pai desse recurso.
    • Se você estiver simulando as políticas de permissão de vários recursos de uma só vez, o Simulador de políticas recupera os registros de acesso ao projeto ou organização comum mais próximo dos recursos.

    Se o recurso pai não existir há 90 dias, o Simulador de políticas recupera todas as tentativas de acesso desde que o recurso foi criado.

  2. Reavalia ou replays as tentativas de acesso registradas nos registros de acesso usando as políticas atuais de permissão, considerando todas as políticas de permissão herdadas e todas as políticas de permissão definidas nos recursos descendentes.

    A repetição de tentativas de acesso com a política de permissão atual garante que o Simulador de política informe apenas as alterações de acesso resultantes da política proposta. Não informa as alterações resultantes de outras modificações de política feitas nos últimos 90 dias.

  3. Repete as tentativas de acesso usando a política de permissão proposta, mais uma vez considerando todas as políticas de permissão herdadas e todas as políticas de permissão definidas nos recursos descendentes.

  4. Compara os resultados das duas repetições e informa as diferenças, que mostram como as alterações propostas afetariam o acesso do principal.

Exemplo: como testar alterações na política

Imagine que você quer remover o papel de visualizador da organização de um usuário (roles/resourcemanager.organizationViewer). Use o simulador de política para confirmar que essa alteração não afetará o acesso do usuário.

Use o console do Google Cloud, a API REST ou a Google Cloud CLI para simular a alteração na política de permissão.

Quando você inicia a simulação, o simulador de políticas faz o seguinte:

  • Recupera os registros de acesso da sua organização nos últimos 90 dias.
  • Repete as tentativas de acesso usando a política de permissão atual da organização, em que o usuário tem o papel de Visualizador da organização.
  • Repete as tentativas de acesso usando a política de permissão proposta, em que o usuário não tem o papel Visualizador de organização.
  • Compara os resultados das duas repetições e informa as diferenças entre eles.

Em seguida, você pode analisar os resultados para entender como a alteração proposta afeta o acesso do usuário.

Exemplo: herança de política

Imagine que você queira simular uma alteração em uma política de permissão para uma pasta, Engineering, em uma organização com a seguinte estrutura:

Exemplo de estrutura da organização

Observe que Engineering tem um recurso pai, a organização example.com, de onde as políticas de permissão são herdadas. Ele também tem três projetos filhos que podem ter as próprias políticas de permissão: example-prod, example-dev e example-test.

Você fornece uma política de permissão proposta e executa a simulação. Quando você inicia a simulação, o simulador de políticas faz o seguinte:

  • Recupera todos os registros relevantes para os últimos 90 dias. Como Engineering é uma pasta, o simulador de políticas recupera registros da organização pai, example.com.
  • Repete as tentativas de acesso usando a política de permissão atual da pasta, a política de permissão herdada de example.com e as políticas de permissão dos projetos filhos.
  • Repete cada tentativa de acesso usando a política de permissão proposta, a política de permissão herdada de example.com e as políticas de permissão dos projetos filhos.
  • Compara os resultados das repetições e informa as diferenças entre eles.

Em seguida, você pode analisar os resultados para entender como a alteração proposta afeta o acesso do usuário.

Como analisar os resultados do Simulador de políticas

O Simulador de política informa o impacto de uma alteração proposta em uma política de permissão como uma lista de alterações de acesso. Uma alteração de acesso representa uma tentativa de acesso nos últimos 90 dias que teria um resultado diferente da política de permissão proposta em relação à política atual.

O simulador de política também lista todos os erros que ocorreram durante a simulação, o que ajuda a identificar possíveis lacunas na simulação.

Existem vários tipos diferentes de acesso:

Mudança de acesso Detalhes
Acesso revogado O principal tinha acesso à política de permissão atual, mas não terá mais acesso após a alteração proposta.
Acesso potencialmente revogado

Este problema pode ocorrer pelos seguintes motivos:

  • O principal tinha acesso à política de permissão atual, mas seu acesso à política de permissão proposta é desconhecido.
  • O acesso do principal à política de permissão atual é desconhecido, mas ele não terá acesso após a alteração proposta.
Acesso recebido O principal não tinha acesso à política de permissão atual, mas terá acesso após a alteração proposta.
Acesso potencialmente recebido

Este problema pode ocorrer pelos seguintes motivos:

  • O principal não tinha acesso de acordo com a política de permissão atual, mas o acesso após a alteração proposta é desconhecido.
  • O acesso do principal à política de permissão atual é desconhecido, mas terá acesso após a alteração proposta.
Acesso desconhecido O acesso do principal à política de permissão atual e à política de permissão proposta é desconhecido, e as alterações propostas podem afetar o acesso do principal.
Erro Ocorreu um erro durante a simulação.

Resultados desconhecidos

Se um resultado de acesso for desconhecido, isso significa que o simulador de políticas não tinha informações suficientes para avaliar completamente a tentativa de acesso.

Um resultado pode ser desconhecido por vários motivos:

  • Informações do papel negadas: o principal que executa a simulação não tinha permissão para ver os detalhes de um ou mais papéis sendo simulados.
  • Não é possível acessar a política: o principal que executa a simulação não tinha permissão para acessar a política de permissão de um ou mais recursos envolvidos na simulação.
  • Informações de associação negadas: o principal que executa a simulação não tinha permissão para visualizar os membros de um ou mais grupos incluídos na política de permissão simulada.
  • Condição não compatível: há uma vinculação de papel condicional na política de permissão que está sendo testada. O Simulador de política não é compatível com condições, por isso a vinculação não foi avaliada.

Se um resultado de acesso for desconhecido, os resultados do Simulador de política informam o motivo do desconhecimento, além dos papéis, políticas de permissão, informações de associação e condicionais específicos que ele não conseguiu acessar ou avaliar.

Erros

O Simulador de políticas também informa todos os erros que ocorreram durante a simulação. É importante analisar esses erros para entender as possíveis lacunas na simulação.

Há vários tipos de erros que o simulador de políticas pode informar:

  • Erros de operação: não foi possível executar a simulação.

    Se a mensagem de erro informar que a simulação não foi executada porque há muitos registros no projeto ou organização, não é possível executar uma simulação no recurso.

    Se você receber esse erro por outro motivo, tente executar a simulação novamente. Se você ainda não conseguir executar a simulação, entre em contato com policy-simulator-feedback@google.com.

  • Erros de repetição: a repetição de uma única tentativa de acesso não foi bem-sucedida. Por isso, o Simulador de política não conseguiu determinar se o resultado da tentativa de acesso seria alterado na política de permissão proposta.

  • Erros de tipo de recurso incompatível: a política de permissão proposta afeta as permissões associadas a um tipo de recurso incompatível, que o Simulador de política não pode simular. O simulador de políticas lista essas permissões nos resultados da simulação para que você saiba quais permissões não foi possível simular.

Tamanho máximo da repetição do registro

O número máximo de registros de acesso que uma simulação pode reproduzir é 5.000. Se houver mais de 5.000 registros de acesso para o projeto ou a organização nos últimos 90 dias, a simulação falhará.

Para saber como o simulador de políticas decide quais registros de acesso recuperar, consulte Como o simulador de políticas funciona nesta página.

Níveis de suporte para tipos de recurso

O simulador de políticas não é compatível com todos os tipos de recursos em simulações. Isso afeta as alterações de permissão que é capaz de simular.

Tipos de recursos compatíveis

O simulador de políticas é compatível apenas com os seguintes tipos de recursos:

Serviço Tipos de recursos compatíveis
Cloud Storage
  • buckets
Pub/Sub
  • snapshots
  • subscriptions
  • topics
Cloud SQL
  • backupRuns
  • databases
  • instances
  • sslCerts
  • users
Spanner
  • backups
  • backupOperations
  • databases
  • databaseOperations
  • instanceConfigs
  • instanceOperations
  • instances
  • sessions
Resource Manager
  • folders
  • organizations
  • projects
Compute Engine
  • instances

Tipos de recursos incompatíveis

Tipos de recursos não compatíveis são tipos de recursos que não podem ser recuperados pelo simulador de políticas. Se o Simulador de política não conseguir recuperar registros de acesso para um recurso, ele não pode avaliar como a política de permissão proposta pode afetar essas tentativas de acesso.

Se uma alteração proposta em uma política de permissão envolver permissões de um tipo de recurso incompatível, o Simulador de política lista essas permissões nos resultados da simulação para que você saiba quais permissões não foi possível simular. Por exemplo, o Simulador de política não é compatível com modelos do AI Platform. Portanto, se uma política de permissão proposta remover um papel com a permissão aiplatform.models.list, os resultados para esse estado de simulação não podem simular a permissão aiplatform.models.list.

A seguir