Policy Simulator pour les règles d'autorisation

Les stratégies d'autorisation de Policy Simulator pour Identity and Access Management vous permettent de voir l'impact d'une modification d'une stratégie d'autorisation sur l'accès d'un compte principal avant que vous ne vous acquittiez de la modification. Vous pouvez utiliser Policy Simulator pour vous assurer que les modifications que vous apportez n'entraînent pas la perte d'accès d'un compte principal dont il a besoin.

Fonctionnement de Policy Simulator

Policy Simulator vous aide à déterminer l'impact d'une modification d'une stratégie d'autorisation sur vos utilisateurs. Pour ce faire, il ne se contente pas de comparer les autorisations dans les stratégies d'autorisation actuelles et proposées. Au lieu de cela, il utilise les journaux d'accès pour se concentrer sur les modifications des autorisations qui affecteraient réellement vos utilisateurs.

Pour comprendre l'impact d'une modification de stratégie d'autorisation sur l'accès d'un compte principal, Policy Simulator détermine les tentatives d'accès des 90 derniers jours qui génèrent des résultats différents avec la stratégie d'autorisation proposée et la stratégie d'autorisation actuelle. Il renvoie ensuite ces résultats sous la forme d'une liste de modifications d'accès.

Lorsque vous simulez une modification de stratégie d'autorisation, vous fournissez une stratégie d'autorisation proposée avec les modifications que vous souhaitez tester. Cette stratégie d'autorisation proposée peut être appliquée à n'importe quelle ressource compatible avec les stratégies d'autorisation.

Lorsque vous exécutez une simulation, Policy Simulator effectue les opérations suivantes :

  1. Récupère les journaux d'accès pour les types de ressources compatibles au cours des 90 derniers jours. L'endroit où ces journaux sont collectés dépend de la ressource dont vous souhaitez simuler la stratégie d'autorisation :

    • Si vous simulez une stratégie d'autorisation pour un projet ou une organisation, Policy Simulator récupère les journaux d'accès de ce projet ou de cette organisation.
    • Si vous simulez une stratégie d'autorisation pour un type de ressource différent, Policy Simulator récupère les journaux d'accès pour le projet ou l'organisation parent de cette ressource.
    • Si vous simulez des stratégies d'autorisation pour plusieurs ressources à la fois, Policy Simulator récupère les journaux d'accès du projet ou de l'organisation les plus proches des ressources.

    Si la ressource parente n'existe pas depuis au moins 90 jours, Policy Simulator récupère toutes les tentatives d'accès depuis la création de la ressource.

  2. Réévalue (ou replays) les tentatives d'accès enregistrées dans les journaux d'accès à l'aide des stratégies d'autorisation en vigueur, en tenant compte des stratégies d'autorisation héritées et de toute stratégie d'autorisation des ressources descendantes.

    La relecture des tentatives d'accès avec la stratégie d'autorisation actuelle permettent de s'assurer que Policy Simulator ne signale que les modifications résultant de la stratégie d'autorisation proposée et ne signale pas les modifications résultant des autres modifications que vous avez apportées à la stratégie d'autorisation au cours des 90 derniers jours.

  3. Il relance les tentatives d'accès en utilisant la stratégie d'autorisation proposée, en tenant à nouveau compte des stratégies d'autorisation héritées et de toutes les stratégies d'autorisation définies sur les ressources descendantes.

  4. Compare les résultats des deux relectures et signale les différences, qui montrent l'impact des modifications proposées sur l'accès des comptes principaux.

Exemple : Tester les modifications apportées à une stratégie

Supposons que vous souhaitiez supprimer le rôle "Lecteur d'organisation" pour un utilisateur (roles/resourcemanager.organizationViewer). Vous souhaitez vous servir de Policy Simulator pour confirmer que cette modification n'affecte pas l'accès de l'utilisateur.

Utilisez la console Google Cloud, l'API REST ou la Google Cloud CLI pour simuler la modification de la règle d'autorisation.

Lorsque vous lancez la simulation, Policy Simulator effectue les opérations suivantes :

  • Récupère les journaux d'accès de votre organisation au cours des 90 derniers jours.
  • Relance les tentatives d'accès en utilisant la stratégie d'autorisation actuelle de l'organisation, dans laquelle l'utilisateur dispose du rôle Lecteur d'organisation.
  • Relance les tentatives d'accès en utilisant la stratégie d'autorisation proposée, dans laquelle l'utilisateur ne dispose pas du rôle de Lecteur d'organisation.
  • Compare les résultats des deux relectures et signale leurs différences.

Vous pouvez ensuite examiner les résultats pour comprendre l'impact de la modification proposée sur l'accès de l'utilisateur.

Exemple : Héritage des stratégies

Supposons que vous souhaitiez simuler une modification d'une stratégie d'autorisation pour un dossier, Engineering, dans une organisation ayant la structure suivante :

Exemple de structure organisationnelle

Notez que Engineering dispose d'une ressource parente, l'organisation example.com, dont il hérite des stratégies d'autorisation. Il dispose également de trois projets enfants pouvant avoir leurs propres stratégies d'autorisation : example-prod, example-dev et example-test.

Vous fournissez une stratégie d'autorisation proposée et exécutez la simulation. Lorsque vous lancez la simulation, Policy Simulator effectue les opérations suivantes :

  • Récupère tous les journaux pertinents au cours des 90 derniers jours. Étant donné que Engineering est un dossier, Policy Simulator récupère les journaux de son organisation parente, example.com.
  • Il relance les tentatives d'accès en utilisant la stratégie d'autorisation actuelle du dossier, la stratégie d'autorisation héritée de example.com et les stratégies d'autorisation des projets enfants.
  • Il relance chaque tentative d'accès en utilisant la stratégie d'autorisation proposée, la stratégie d'autorisation héritée de example.com et les stratégies d'autorisation des projets enfants.
  • Compare les résultats des relectures et signale leurs différences.

Vous pouvez ensuite examiner les résultats pour comprendre l'impact de la modification proposée sur l'accès de l'utilisateur.

Examiner les résultats de Policy Simulator

Policy Simulator fournit le détail de l'impact d'une modification proposée de stratégie d'autorisation, sous la forme d'une liste de modifications d'accès. Une modification d'accès représente une tentative d'accès survenue au cours des 90 derniers jours et dont les résultats diffèrent avec la stratégie d'autorisation proposée et la stratégie d'autorisation actuelle.

Policy Simulator répertorie également toutes les erreurs survenues lors de la simulation, ce qui vous permet d'identifier les écarts potentiels dans la simulation.

Il existe plusieurs types de modifications d'accès :

Modification d'accès Détails
Accès révoqué Le compte principal est autorisé à accéder avec la stratégie d'autorisation actuelle, mais ne le sera plus après la mise en œuvre de la modification proposée.
Accès potentiellement révoqué

Ce résultat peut se produire pour les raisons suivantes :

  • Le compte principal est autorisé à accéder avec la stratégie d'autorisation actuelle, mais son accès avec la stratégie d'autorisation proposée est inconnu.
  • L'accès du compte principal avec la stratégie d'autorisation actuelle est inconnu, mais il n'aura pas d'accès après la mise en œuvre de la modification proposée.
Accès obtenu Le compte principal n'est pas autorisé à accéder avec la stratégie d'autorisation actuelle, mais le sera après la mise en œuvre de la modification proposée.
Accès potentiellement obtenu

Ce résultat peut se produire pour les raisons suivantes :

  • Le compte principal n'avait pas accès en vertu de la règle d'autorisation actuelle, mais son accès après la modification proposée est inconnu.
  • L'accès du compte principal avec la stratégie d'autorisation actuelle est inconnu, mais il sera autorisé à accéder après la mise en œuvre de la modification proposée.
Accès inconnu L'accès du compte principal avec la stratégie d'autorisation actuelle et avec la stratégie d'autorisation proposée est inconnu. Les modifications proposées peuvent affecter l'accès du compte principal.
Erreur Une erreur s'est produite lors de la simulation.

Résultats inconnus

Si un résultat d'accès est inconnu, cela signifie que Policy Simulator n'a pas suffisamment d'informations pour faire une évaluation complète de la tentative d'accès.

Un résultat peut être inconnu pour plusieurs raisons :

  • Refus d'afficher les informations sur le rôle : le compte principal exécutant la simulation n'a pas l'autorisation d'afficher les détails d'un ou de plusieurs des rôles simulés.
  • Impossible d'accéder à la stratégie : le compte principal exécutant la simulation n'a pas l'autorisation d'obtenir la stratégie d'autorisation pour une ou plusieurs des ressources impliquées dans la simulation.
  • Informations sur l'appartenance refusée : le compte principal qui exécute la simulation n'a pas l'autorisation d'afficher les membres d'un ou plusieurs des groupes inclus dans la stratégie d'autorisation simulée.
  • Condition non acceptée : une liaison de rôle conditionnelle de la stratégie d'autorisation est en cours de test. Policy Simulator n'étant pas compatible avec les conditions, la liaison n'a pas pu être évaluée.

Si un résultat d'accès est inconnu, les résultats de Policy Simulator indiquent la raison pour laquelle il était inconnu, ainsi que les rôles, stratégies d'autorisation, informations sur l'appartenance et conditions spécifiques non accessibles ou impossibles à évaluer.

Erreurs

Policy Simulator signale également toute erreur survenue lors de la simulation. Il est important d'examiner ces erreurs afin de comprendre les écarts potentiels dans la simulation.

Policy Simulator peut signaler plusieurs types d'erreurs :

  • Erreurs d'opération : la simulation n'a pas pu être exécutée.

    Si le message d'erreur indique que la simulation n'a pas pu être exécutée, car votre projet ou votre organisation comporte trop de journaux, vous ne pouvez pas exécuter de simulation sur la ressource.

    Si vous obtenez cette erreur pour une autre raison, essayez à nouveau d'exécuter la simulation. Si vous ne parvenez toujours pas à exécuter la simulation, envoyez un e-mail à l'adresse policy-simulator-feedback@google.com.

  • Erreurs de relecture : une relecture de tentative d'accès unique a échoué. Policy Simulator n'a donc pas pu déterminer si le résultat de la tentative d'accès serait modifié avec la stratégie d'autorisation proposée.

  • Erreurs de type de ressource non compatibles : la stratégie d'autorisation proposée affecte les autorisations associées à un type de ressource non compatible, que Policy Simulator ne peut pas simuler. Policy Simulator répertorie ces autorisations dans les résultats de la simulation pour vous permettre de savoir quelles autorisations n'ont pas pu être simulées.

Taille maximale de la relecture du journal

Le nombre maximal de journaux d'accès qu'une simulation peut relire est de 5 000. S'il existe plus de 5 000 journaux d'accès pour votre projet ou votre organisation au cours des 90 derniers jours, la simulation échouera.

Pour savoir comment Policy Simulator décide des journaux d'accès à récupérer, consultez la section Fonctionnement de Policy Simulator sur cette page.

Niveaux de compatibilité des types de ressources

Policy Simulator n'accepte pas tous les types de ressources lors des simulations. Cela affecte les modifications d'autorisation qu'il est possible de simuler.

Types de ressources acceptés

Policy Simulator est compatible uniquement avec les types de ressources suivants :

Service Types de ressources acceptés
Cloud Storage
  • buckets
Pub/Sub
  • snapshots
  • subscriptions
  • topics
Cloud SQL
  • backupRuns
  • databases
  • instances
  • sslCerts
  • users
Spanner
  • backups
  • backupOperations
  • databases
  • databaseOperations
  • instanceConfigs
  • instanceOperations
  • instances
  • sessions
Resource Manager
  • folders
  • organizations
  • projects
Compute Engine
  • instances

Types de ressources non compatibles

Les types de ressources non compatibles sont les types de ressources pour lesquels Policy Simulator ne peut pas récupérer les journaux d'accès. Si Policy Simulator ne peut pas récupérer les journaux d'accès à une ressource, il ne peut pas évaluer la façon dont la stratégie d'autorisation proposée peut affecter ces tentatives d'accès.

Si une modification proposée pour une stratégie d'autorisation implique des autorisations pour un type de ressource non compatible, Policy Simulator répertorie ces autorisations dans les résultats de la simulation afin que vous sachiez quelles autorisations il n'a pas pu simuler. Par exemple, Policy Simulator n'est pas compatible avec les modèles AI Platform. Ainsi, si une stratégie d'autorisation proposée supprime un rôle doté de l'autorisation aiplatform.models.list, les résultats de cette simulation indiquent que l'autorisation aiplatform.models.list n'a pas pu être simulée.

Étapes suivantes