Policy Simulator untuk kebijakan izin

Policy Simulator untuk kebijakan izin Identity and Access Management memungkinkan Anda melihat bagaimana perubahan pada kebijakan izin dapat memengaruhi akses akun utama sebelum Anda berkomitmen untuk melakukan perubahan. Anda dapat menggunakan Policy Simulator untuk memastikan bahwa perubahan yang Anda buat tidak akan menyebabkan akun utama kehilangan akses yang diperlukan.

Cara kerja Policy Simulator

Policy Simulator membantu Anda menentukan dampak perubahan pada kebijakan izin terhadap pengguna. Untuk melakukannya, kebijakan ini tidak hanya membandingkan izin dalam kebijakan izin saat ini dan yang diusulkan. Sebagai gantinya, fitur ini menggunakan log akses untuk berfokus pada perubahan izin yang benar-benar akan memengaruhi pengguna Anda.

Untuk mengetahui pengaruh perubahan pada kebijakan izin terhadap akses akun utama, Policy Simulator menentukan upaya akses mana dari 90 hari terakhir yang memiliki hasil berbeda berdasarkan kebijakan izin yang diusulkan dan kebijakan izin saat ini. Kemudian, API ini melaporkan hasil ini sebagai daftar perubahan akses.

Saat menyimulasikan perubahan pada kebijakan izin, Anda memberikan kebijakan izin yang diusulkan dengan perubahan yang ingin diuji. Kebijakan izin yang diusulkan ini dapat berlaku untuk resource apa pun yang menerima kebijakan izin.

Saat Anda menjalankan simulasi, Policy Simulator akan melakukan hal berikut:

  1. Mengambil log akses untuk jenis resource yang didukung dari 90 hari terakhir. Sumber log ini dikumpulkan bergantung pada resource yang kebijakan izinnya Anda simulasikan:

    • Jika Anda menyimulasikan kebijakan izin untuk project atau organisasi, Policy Simulator akan mengambil log akses untuk project atau organisasi tersebut.
    • Jika Anda menyimulasikan kebijakan izin untuk jenis resource yang berbeda, Policy Simulator akan mengambil log akses untuk project atau organisasi induk resource tersebut.
    • Jika Anda menyimulasikan beberapa kebijakan izin resource sekaligus, Policy Simulator akan mengambil log akses untuk project atau organisasi umum terdekat resource.

    Jika resource induk belum ada selama 90 hari, Policy Simulator akan mengambil semua upaya akses sejak resource dibuat.

  2. Mengevaluasi ulang, atau memutar ulang, upaya akses yang dicatat dalam log akses menggunakan kebijakan izin saat ini, dengan mempertimbangkan kebijakan izin yang diwariskan dan kebijakan izin apa pun yang ditetapkan pada resource turunan.

    Memutar ulang upaya akses dengan kebijakan izin saat ini memastikan bahwa Policy Simulator hanya melaporkan perubahan akses yang merupakan hasil dari kebijakan izin yang diusulkan, dan tidak melaporkan perubahan yang merupakan hasil modifikasi kebijakan izin lain yang telah Anda buat dalam 90 hari terakhir.

  3. Memutar ulang upaya akses lagi menggunakan kebijakan izin yang diusulkan, sekali lagi dengan mempertimbangkan kebijakan izin yang diwarisi dan kebijakan izin apa pun yang ditetapkan pada resource turunan.

  4. Membandingkan hasil dari dua replay dan melaporkan perbedaannya, yang menunjukkan pengaruh perubahan yang diusulkan terhadap akses akun utama.

Contoh: Menguji perubahan kebijakan

Misalkan Anda ingin menghapus peran Organization Viewer pengguna (roles/resourcemanager.organizationViewer). Anda ingin menggunakan Policy Simulator untuk mengonfirmasi bahwa perubahan ini tidak akan memengaruhi akses pengguna.

Anda menggunakan konsol Google Cloud, REST API, atau Google Cloud CLI untuk menyimulasikan perubahan pada kebijakan izin.

Saat Anda memulai simulasi, Simulator Kebijakan akan melakukan hal berikut:

  • Mengambil log akses untuk organisasi Anda dari 90 hari terakhir.
  • Memutar ulang upaya akses menggunakan kebijakan izin organisasi saat ini, dengan pengguna memiliki peran Organization Viewer.
  • Memutar ulang upaya akses lagi menggunakan kebijakan izin yang diusulkan, dengan pengguna tidak memiliki peran Organization Viewer.
  • Membandingkan hasil dari dua replay dan melaporkan perbedaan antara kedua replay tersebut.

Kemudian, Anda dapat meninjau hasilnya untuk memahami pengaruh perubahan yang diusulkan terhadap akses pengguna.

Contoh: Pewarisan kebijakan

Bayangkan Anda ingin menyimulasikan perubahan pada kebijakan izin untuk folder, Engineering, di organisasi dengan struktur berikut:

Contoh struktur organisasi

Perhatikan bahwa Engineering memiliki resource induk, organisasi example.com, yang mewarisi kebijakan izin. Project ini juga memiliki tiga project turunan yang dapat memiliki kebijakan izinnya sendiri: example-prod, example-dev, dan example-test.

Anda memberikan kebijakan izin yang diusulkan dan menjalankan simulasi. Saat Anda memulai simulasi, Simulator Kebijakan akan melakukan hal berikut:

  • Mengambil semua log yang relevan selama 90 hari terakhir. Karena Engineering adalah folder, Policy Simulator mengambil log dari organisasi induknya, example.com.
  • Memutar ulang upaya akses menggunakan kebijakan izin folder saat ini, kebijakan izin yang diwarisi dari example.com, dan kebijakan izin project turunan.
  • Memutar ulang setiap upaya akses lagi menggunakan kebijakan izin yang diusulkan, kebijakan izin yang diwarisi dari example.com, dan kebijakan izin project turunan.
  • Membandingkan hasil dari replay dan melaporkan perbedaan di antara keduanya.

Kemudian, Anda dapat meninjau hasilnya untuk memahami pengaruh perubahan yang diusulkan terhadap akses pengguna.

Meninjau hasil Policy Simulator

Policy Simulator melaporkan dampak perubahan yang diusulkan pada kebijakan izin sebagai daftar perubahan akses. Perubahan akses mewakili upaya akses dari 90 hari terakhir yang akan memiliki hasil yang berbeda berdasarkan kebijakan izin yang diusulkan daripada berdasarkan kebijakan izin saat ini.

Simulator Kebijakan juga mencantumkan error yang terjadi selama simulasi, yang membantu Anda mengidentifikasi potensi kesenjangan dalam simulasi.

Ada beberapa jenis perubahan akses:

Perubahan akses Detail
Akses dicabut Akun utama memiliki akses berdasarkan kebijakan izin saat ini, tetapi tidak akan lagi memiliki akses setelah perubahan yang diusulkan.
Akses berpotensi dicabut

Hasil ini dapat terjadi karena alasan berikut:

  • Akun utama memiliki akses berdasarkan kebijakan izin saat ini, tetapi aksesnya berdasarkan kebijakan izin yang diusulkan tidak diketahui.
  • Akses akun utama berdasarkan kebijakan izin saat ini tidak diketahui, tetapi akun utama tersebut tidak akan memiliki akses setelah perubahan yang diusulkan.
Akses didapatkan Prinsipal tidak memiliki akses berdasarkan kebijakan izin saat ini, tetapi akan memiliki akses setelah perubahan yang diusulkan.
Akses yang berpotensi didapatkan

Hasil ini dapat terjadi karena alasan berikut:

  • Prinsipal tidak memiliki akses berdasarkan kebijakan izin saat ini, tetapi aksesnya setelah perubahan yang diusulkan tidak diketahui.
  • Akses akun utama berdasarkan kebijakan izin saat ini tidak diketahui, tetapi mereka akan memiliki akses setelah perubahan yang diusulkan.
Akses tidak diketahui Akses akun utama berdasarkan kebijakan izin saat ini dan kebijakan izin yang diusulkan tidak diketahui, dan perubahan yang diusulkan dapat memengaruhi akses akun utama.
Error Terjadi error selama simulasi.

Hasil tidak diketahui

Jika hasil akses tidak diketahui, artinya Simulator Kebijakan tidak memiliki cukup informasi untuk mengevaluasi upaya akses sepenuhnya.

Ada beberapa alasan mengapa hasil tidak diketahui:

  • Info peran ditolak: Akun utama yang menjalankan simulasi tidak memiliki izin untuk melihat detail peran untuk satu atau beberapa peran yang disimulasikan.
  • Tidak dapat mengakses kebijakan: Akun utama yang menjalankan simulasi tidak memiliki izin untuk mendapatkan kebijakan izin untuk satu atau beberapa resource yang terlibat dalam simulasi.
  • Info keanggotaan ditolak: Akun utama yang menjalankan simulasi tidak memiliki izin untuk melihat anggota satu atau beberapa grup yang disertakan dalam kebijakan izin yang disimulasikan.
  • Kondisi tidak didukung: Ada binding peran bersyarat dalam kebijakan izin yang sedang diuji. Simulator Kebijakan tidak mendukung kondisi, sehingga binding tidak dapat dievaluasi.

Jika hasil akses tidak diketahui, hasil Simulator Kebijakan akan melaporkan alasan hasil tersebut tidak diketahui, ditambah peran tertentu, kebijakan izin, info keanggotaan, dan kondisional yang tidak dapat diakses atau dievaluasi.

Error

Simulator Kebijakan juga melaporkan error yang terjadi selama simulasi. Penting untuk meninjau error ini agar Anda memahami potensi kesenjangan dalam simulasi.

Ada beberapa jenis error yang mungkin dilaporkan oleh Simulator Kebijakan:

  • Error operasi: Simulasi tidak dapat dijalankan.

    Jika pesan error menyatakan bahwa simulasi tidak dapat dijalankan karena terlalu banyak log di project atau organisasi, Anda tidak dapat menjalankan simulasi pada resource.

    Jika Anda mendapatkan error ini karena alasan lain, coba jalankan simulasi lagi. Jika Anda masih tidak dapat menjalankan simulasi, hubungi policy-simulator-feedback@google.com.

  • Error pemutaran ulang: Pemutaran ulang satu upaya akses tidak berhasil, sehingga Policy Simulator tidak dapat menentukan apakah hasil upaya akses akan berubah berdasarkan kebijakan izin yang diusulkan.

  • Error jenis resource yang tidak didukung: Kebijakan izin yang diusulkan memengaruhi izin yang terkait dengan jenis resource yang tidak didukung, yang tidak dapat disimulasikan oleh Simulator Kebijakan. Policy Simulator mencantumkan izin ini dalam hasil simulasi sehingga Anda mengetahui izin mana yang tidak dapat disimulasikan.

Ukuran replay log maksimum

Jumlah maksimum log akses yang dapat diputar ulang oleh simulasi adalah 5.000. Jika ada lebih dari 5.000 log akses untuk project atau organisasi Anda selama 90 hari terakhir, simulasi akan gagal.

Untuk mempelajari cara Policy Simulator menentukan log akses yang akan diambil, lihat Cara kerja Policy Simulator di halaman ini.

Tingkat dukungan untuk jenis resource

Simulator Kebijakan tidak mendukung semua jenis resource dalam simulasi. Hal ini memengaruhi perubahan izin yang dapat disimulasikan.

Jenis resource yang didukung

Policy Simulator hanya mendukung jenis resource berikut:

Layanan Jenis resource yang didukung
Cloud Storage
  • buckets
Pub/Sub
  • snapshots
  • subscriptions
  • topics
Cloud SQL
  • backupRuns
  • databases
  • instances
  • sslCerts
  • users
Spanner
  • backups
  • backupOperations
  • databases
  • databaseOperations
  • instanceConfigs
  • instanceOperations
  • instances
  • sessions
Resource Manager
  • folders
  • organizations
  • projects
Compute Engine
  • instances

Jenis resource yang tidak didukung

Jenis resource yang tidak didukung adalah jenis resource yang tidak dapat diambil log aksesnya oleh Simulator Kebijakan. Jika Simulator Kebijakan tidak dapat mengambil log akses untuk resource, simulator tersebut tidak dapat mengevaluasi pengaruh kebijakan izin yang diusulkan terhadap upaya akses tersebut.

Jika perubahan yang diusulkan pada kebijakan izin melibatkan izin untuk jenis resource yang tidak didukung, Policy Simulator akan mencantumkan izin tersebut dalam hasil simulasi sehingga Anda tahu izin mana yang tidak dapat disimulasikan. Misalnya, Policy Simulator tidak mendukung model AI Platform. Jadi, jika kebijakan izin yang diusulkan menghapus peran dengan izin aiplatform.models.list, hasil untuk simulasi tersebut akan menyatakan bahwa simulasi tidak dapat menyimulasikan izin aiplatform.models.list.

Langkah selanjutnya