El simulador de políticas de gestión de identidades y accesos permitir políticas te permite ver cómo podría afectar un cambio en una política de este tipo al acceso de una entidad antes de que decidas implementar el cambio. Puedes usar el simulador de políticas para asegurarte de que los cambios que vas a hacer no provoquen que una entidad pierda el acceso que necesita.
Esta función solo evalúa las políticas de permiso. Para saber cómo simular otros tipos de políticas, consulta lo siguiente:
- Simulador de política para políticas de denegación
- Simulador de política para políticas de organización
- Simulador de política para políticas de límites de acceso de principales
Cómo funciona Policy Simulator para las políticas de permitir
El simulador de políticas de permiso te ayuda a determinar el impacto que podría tener en tus usuarios un cambio en una política de permiso. Para ello, no solo compara los permisos de las políticas de permiso actuales y propuestas. En su lugar, usa los registros de acceso para centrarse en los cambios de permisos que realmente afectarían a tus usuarios.
Para saber cómo puede afectar un cambio en una política de permiso al acceso de una entidad de seguridad, el simulador de políticas determina qué intentos de acceso de los últimos 90 días tienen resultados diferentes en la política de permiso propuesta y en la política de permiso actual. Después, informa de estos resultados como una lista de cambios de acceso.
Cuando simulas un cambio en una política de permiso, proporcionas una política de permiso propuesta con los cambios que quieres probar. Esta política de permiso propuesta se puede aplicar a cualquier recurso que acepte políticas de permiso.
Cuando ejecutas una simulación, el Simulador de políticas hace lo siguiente:
Recupera los registros de acceso de los tipos de recursos admitidos de los últimos 90 días. El origen de estos registros depende del recurso cuya política de permiso estés simulando:
- Si simulas una política de permiso para un proyecto o una organización, Policy Simulator recupera los registros de acceso de ese proyecto u organización.
- Si simulas una política de permiso para otro tipo de recurso, el simulador de políticas recupera los registros de acceso del proyecto o la organización principal de ese recurso.
- Si simulas las políticas de permiso de varios recursos a la vez, Policy Simulator recupera los registros de acceso del proyecto o la organización comunes más cercanos de los recursos.
Si el recurso principal no ha existido durante 90 días, el simulador de políticas recupera todos los intentos de acceso desde que se creó el recurso.
Vuelve a evaluar o reproduce los intentos de acceso registrados en los registros de acceso con las políticas de permiso actuales, teniendo en cuenta las políticas de permiso heredadas y las políticas de permiso definidas en los recursos descendientes.
Al reproducir los intentos de acceso con la política de permiso actual, el simulador de políticas solo informa de los cambios en el acceso que se deben a la política de permiso propuesta y no de los cambios que se deben a otras modificaciones de la política de permiso que hayas hecho en los últimos 90 días.
Vuelve a reproducir los intentos de acceso con la política de permiso propuesta, teniendo en cuenta de nuevo las políticas de permiso heredadas y las políticas de permiso definidas en los recursos descendientes.
Compara los resultados de las dos repeticiones e informa de las diferencias, que muestran cómo afectarían los cambios propuestos al acceso del director.
Ejemplo: probar cambios en las políticas
Supongamos que quieres quitar el rol de lector de la organización (roles/resourcemanager.organizationViewer) a un usuario. Quieres usar el simulador de políticas para confirmar que este cambio no afectará al acceso del usuario.
Usa la Google Cloud consola, la API REST o Google Cloud CLI para simular el cambio en la política de permisos.
Cuando empiezas la simulación, el Simulador de políticas hace lo siguiente:
- Obtiene los registros de acceso de tu organización de los últimos 90 días.
- Reproduce los intentos de acceso mediante la política de permiso actual de la organización, donde el usuario tiene el rol Lector de la organización.
- Vuelve a reproducir los intentos de acceso con la política de permiso propuesta, en la que el usuario no tiene el rol Lector de la organización.
- Compara los resultados de las dos repeticiones e informa de las diferencias entre ellas.
Después, puede revisar los resultados para saber cómo afecta el cambio propuesto al acceso del usuario.
Ejemplo: Herencia de políticas
Supongamos que quieres simular un cambio en una política de permiso de una carpeta, Engineering, en una organización con la siguiente estructura:
Ten en cuenta que Engineering tiene un recurso superior, la organización example.com, de la que hereda las políticas de permiso. También tiene tres proyectos secundarios que pueden tener sus propias políticas de permiso: example-prod, example-dev y example-test.
Proporcionas una política de permiso propuesta y ejecutas la simulación. Cuando empieces la simulación, Simulador de políticas hará lo siguiente:
- Recupera todos los registros relevantes de los últimos 90 días. Como
Engineeringes una carpeta, el simulador de política obtiene los registros de su organización principal,example.com. - Vuelve a reproducir los intentos de acceso con la política de permiso actual de la carpeta, la política de permiso heredada de
example.comy las políticas de permiso de los proyectos secundarios. - Vuelve a reproducir cada intento de acceso con la política de permiso propuesta, la política de permiso heredada de
example.comy las políticas de permiso de los proyectos secundarios. - Compara los resultados de las repeticiones e informa de las diferencias entre ellos.
Después, puede revisar los resultados para saber cómo afecta el cambio propuesto al acceso del usuario.
Resultados del simulador de políticas
El simulador de políticas informa del impacto de un cambio propuesto en una política de permiso como una lista de cambios en el acceso. Un cambio de acceso representa un intento de acceso de los últimos 90 días que tendría un resultado diferente con la política de permiso propuesta que con la política de permiso actual.
El simulador de políticas también muestra los errores que se han producido durante la simulación, lo que te ayuda a identificar posibles lagunas en la simulación.
Hay varios tipos de cambios de acceso:
| Cambio en el acceso | Detalles |
|---|---|
| Acceso revocado | La entidad principal tenía acceso según la política de permiso actual, pero ya no lo tendrá después del cambio propuesto. |
| Acceso potencialmente revocado |
Este resultado puede producirse por los siguientes motivos:
|
| Acceso adquirido | La entidad principal no tenía acceso con la política de permiso actual, pero lo tendrá después del cambio propuesto. |
| Acceso potencialmente adquirido |
Este resultado puede producirse por los siguientes motivos:
|
| Acceso desconocido | El acceso de la entidad de seguridad según la política de permiso actual y la propuesta es desconocido, y los cambios propuestos podrían afectar al acceso de la entidad de seguridad. |
| Error | Se ha producido un error durante la simulación. |
Resultados desconocidos
Si el resultado de un acceso es desconocido, significa que el simulador de políticas no tenía suficiente información para evaluar completamente el intento de acceso.
Hay varios motivos por los que un resultado puede ser desconocido:
- Información del rol denegada: la entidad principal que ejecuta la simulación no tiene permiso para ver los detalles de uno o varios de los roles que se están simulando.
- No se puede acceder a la política: la entidad de seguridad que ejecuta la simulación no tenía permiso para obtener la política de permiso de uno o varios de los recursos implicados en la simulación.
- Información de pertenencia denegada: la entidad de seguridad que ejecuta la simulación no tenía permiso para ver los miembros de uno o varios de los grupos incluidos en la política de permiso simulada.
- Condición no admitida: hay una vinculación de rol condicional en la política de permiso que se está probando. El simulador de políticas no admite condiciones, por lo que no se ha podido evaluar la vinculación.
Si se desconoce el resultado de un acceso, el informe de resultados del simulador de políticas indica el motivo por el que se desconoce, así como los roles, las políticas de permiso, la información de pertenencia y las condiciones específicas a las que no ha podido acceder o evaluar.
Errores
El simulador de políticas también informa de los errores que se hayan producido durante la simulación. Es importante que revises estos errores para entender las posibles deficiencias de la simulación.
El simulador de políticas puede informar de varios tipos de errores:
Errores de operación: no se ha podido ejecutar la simulación.
Si el mensaje de error indica que no se ha podido ejecutar la simulación porque hay demasiados registros en tu proyecto u organización, no podrás ejecutar una simulación en el recurso.
Si recibes este error por otro motivo, prueba a volver a ejecutar la simulación. Si sigues sin poder ejecutar la simulación, ponte en contacto con policy-simulator-feedback@google.com.
Errores de repetición: no se ha podido repetir un intento de acceso, por lo que el simulador de políticas no ha podido determinar si el resultado del intento de acceso cambiaría con la política de permiso propuesta.
Errores de tipo de recurso no admitido: la política de permiso propuesta afecta a los permisos asociados a un tipo de recurso no admitido, que el simulador de políticas no puede simular. El Simulador de políticas muestra estos permisos en los resultados de la simulación para que sepas cuáles no ha podido simular.
Tamaño máximo de repetición de registros
El número máximo de registros de acceso que puede reproducir una simulación es 5000. Si hay más de 5000 registros de acceso de tu proyecto u organización de los últimos 90 días, la simulación fallará.
Para saber cómo decide Simulador de políticas qué registros de acceso recuperar, consulta la sección Cómo funciona Simulador de políticas de esta página.
Niveles de compatibilidad de los tipos de recursos
Simulador de políticas no admite todos los tipos de recursos en las simulaciones. Esto afecta a los cambios de permisos que puede simular.
Tipos de recursos admitidos
El simulador de políticas solo admite los siguientes tipos de recursos:
| Servicio | Tipos de recursos admitidos |
|---|---|
| Cloud Storage |
|
| Pub/Sub |
|
| Cloud SQL |
|
| Spanner |
|
| Resource Manager |
|
| Compute Engine |
|
Tipos de recursos no admitidos
Los tipos de recursos no admitidos son aquellos para los que el simulador de políticas no puede obtener registros de acceso. Si el simulador de políticas no puede recuperar los registros de acceso de un recurso, no podrá evaluar cómo podría afectar la política de permiso propuesta a esos intentos de acceso.
Si un cambio propuesto en una política de permiso implica permisos para un tipo de recurso no admitido, el simulador de políticas mostrará esos permisos en los resultados de la simulación para que sepas qué permisos no se han podido simular.
Por ejemplo, el simulador de políticas no admite modelos de AI Platform. Por lo tanto, si una política de permiso propuesta elimina un rol con el permiso aiplatform.models.list, los resultados de esa simulación indicarán que no se ha podido simular el permiso aiplatform.models.list.
Siguientes pasos
- Consulta cómo simular un cambio en una política de permiso.
- Consulta otras herramientas de Policy Intelligence.