Policy Simulator für Zulassungsrichtlinien

Mit Policy Simulator für Identity and Access Management-Zulassungsrichtlinien können Sie sehen, wie sich eine Änderung an einer Zulassungsrichtlinie auf den Zugriff eines Hauptkontos auswirken kann, bevor Sie die Änderung festlegen. Mit Policy Simulator können Sie dafür sorgen, dass die vorgenommenen Änderungen nicht dazu führen, dass ein Hauptkonto den erforderlichen Zugriff verliert.

Funktionsweise des Richtliniensimulators

Mit dem Richtliniensimulator können Sie ermitteln, welche Auswirkungen eine Änderung an einer Zulassungsrichtlinie auf Ihre Nutzer haben kann. Dazu werden nicht nur die Berechtigungen in den aktuellen und den vorgeschlagenen Zulassungsrichtlinie verglichen. Stattdessen werden Zugriffs-Logs verwendet, um sich auf die Berechtigungsänderungen zu konzentrieren, die sich auf Ihre Nutzer auswirken.

Um herauszufinden, wie sich eine Änderung an einer Zulassungsrichtlinie auf den Zugriff eines Hauptkontos auswirken kann, ermittelt der Richtliniensimulator, welche Zugriffsversuche in den letzten 90 Tagen unter der vorgeschlagenen Zulassungsrichtlinie und der aktuellen Zulassungsrichtlinie zu unterschiedlichen Ergebnissen führen. Die Ergebnisse werden als Liste der Zugriffsänderungen gemeldet.

Wenn Sie eine Änderung an einer Zulassungsrichtlinie simulieren, geben Sie eine vorgeschlagene Zulassungsrichtlinie mit den Änderungen an, die Sie testen möchten. Diese vorgeschlagene Zulassungsrichtlinie kann für jede Ressource gelten, die Zulassungsrichtlinien akzeptiert.

Wenn Sie eine Simulation ausführen, ergreift der Richtliniensimulator folgende Maßnahmen:

  1. Ruft Zugriffslogs für unterstützte Ressourcentypen der letzten 90 Tage ab. Wo diese Logs erfasst werden, hängt von der Ressource ab, deren Zulassungsrichtlinie Sie simulieren:

    • Wenn Sie eine Zulassungsrichtlinie für ein Projekt oder eine Organisation simulieren, ruft der Richtliniensimulator die Zugriffslogs für dieses Projekt oder diese Organisation ab.
    • Wenn Sie eine Zulassungsrichtlinie für einen anderen Ressourcentyp simulieren, ruft der Richtliniensimulator die Zugriffslogs für das übergeordnete Projekt oder die übergeordnete Organisation dieser Ressource ab.
    • Wenn Sie die Zulassungsrichtlinien für mehrere Ressourcen gleichzeitig simulieren, ruft der Richtliniensimulator die Zugriffslogs für die nächstgelegenen Projekte oder Organisationen der Ressource ab.

    Wenn die übergeordnete Ressource 90 Tage lang nicht vorhanden war, ruft der Richtliniensimulator alle Zugriffsversuche seit der Erstellung der Ressource ab.

  2. Bewertet die in den Zugriffslogs aufgezeichneten Zugriffsversuche unter Verwendung der aktuellen Zulassungsrichtlinie neu bzw. replays, wobei alle übernommenen Richtlinien und alle Zulassungsrichtlinien berücksichtigt werden, die für untergeordnete Ressourcen festgelegt wurden.

    Durch wiederholte Zugriffsversuche mit der aktuellen Zulassungsrichtlinie wird sichergestellt, dass der Richtliniensimulator nur Zugriffsänderungen erfasst, die auf der vorgeschlagenen Zulassungsrichtlinie basieren, und keine Änderungen meldet, die das Ergebnis anderer Zulassungsrichtlinienänderungen sind, die Sie in den letzten 90 Tagen gemacht.

  3. Gibt die Zugriffsversuche noch einmal mit der vorgeschlagenen Zulassungsrichtlinie noch einmal aus, wobei alle übernommenen Zulassungsrichtlinie und alle Zulassungsrichtlinie zugelassen werden, die auf untergeordneten Ressourcen festgelegt sind.

  4. Vergleicht die Ergebnisse der beiden Wiederholungen und meldet die Unterschiede, die zeigen, wie sich die vorgeschlagenen Änderungen auf den Zugriff für Hauptkonten auswirken würden.

Beispiel: Richtlinienänderungen testen

Angenommen, Sie möchten die Rolle „Organisationsbetrachter“ eines Nutzers entfernen (roles/resourcemanager.organizationViewer). Sie möchten mit dem Richtliniensimulator überprüfen, ob sich diese Änderung nicht auf den Zugriff des Nutzers auswirkt.

Sie können die Google Cloud Console, die REST API oder die Google Cloud CLI verwenden, um die Änderung an der Zulassungsrichtlinie zu simulieren.

Wenn Sie die Simulation starten, führt der Richtliniensimulator folgende Schritte aus:

  • Er ruft die Zugriffslogs für Ihre Organisation aus den letzten 90 Tagen ab.
  • Gibt die Zugriffsversuche mithilfe der aktuellen Zulassungsrichtlinie der Organisation noch einmal aus, wobei der Nutzer die Rolle „Organisationsbetrachter“ hat.
  • Wiederholen Sie den Zugriffsversuch noch einmal mit der vorgeschlagenen Zulassungsrichtlinie, bei der der Nutzer nicht die Rolle „Organisationsbetrachter“ hat.
  • Er vergleicht die Ergebnisse der beiden Wiederholungen und meldet die Unterschiede zwischen ihnen.

Sie können dann die Ergebnisse prüfen, um zu verstehen, wie sich die vorgeschlagene Änderung auf den Zugriff des Nutzers auswirkt.

Beispiel: Richtlinienübernahme

Angenommen, Sie möchten eine Änderung an einer Zulassungsrichtlinie für den Ordner Engineering in einer Organisation mit der folgenden Struktur simulieren:

Beispiel für Organisationsstruktur

Beachten Sie, dass Engineering eine übergeordnete Ressource hat, die Organisation example.com, von der es die Zulassungsrichtlinien übernimmt. Es gibt auch drei untergeordnete Projekte, die jeweils eigene Zulassungsrichtlinien haben können: example-prod, example-dev und example-test.

Sie geben eine vorgeschlagene Zulassungsrichtlinie an und führen die Simulation durch. Wenn Sie die Simulation starten, führt der Richtliniensimulator folgende Schritte aus:

  • Er ruft alle relevanten Logs der letzten 90 Tage ab. Da Engineering ein Ordner ist, ruft der Richtliniensimulator Logs aus der übergeordneten Organisation example.com ab.
  • Gibt die Zugriffsversuche mithilfe der aktuellen Zulassungsrichtlinie des Ordners, der von example.com übernommenen Zulassungsrichtlinie und der Zulassungsrichtlinien der untergeordneten Projekte noch einmal aus.
  • Wiederholt jeden Zugriffsversuch mit den Zulassungsrichtlinie der untergeordneten Projekte und der vorgeschlagenen Richtlinie, die die Zulassungsrichtlinie von example.com übernommen hat.
  • Er vergleicht die Ergebnisse der Wiederholungen und meldet die Unterschiede zwischen den Wiederholungen.

Sie können dann die Ergebnisse prüfen, um zu verstehen, wie sich die vorgeschlagene Änderung auf den Zugriff des Nutzers auswirkt.

Ergebnisse des Richtliniensimulators prüfen

Der Richtliniensimulator meldet die Auswirkungen einer vorgeschlagenen Änderung an einer Zulassungsrichtlinie als Liste von Zugriffsänderungen. Eine Zugriffsänderung stellt einen Zugriffsversuch der letzten 90 Tage dar, der gemäß der vorgeschlagenen Zulassungsrichtlinie ein anderes Ergebnis als die aktuelle Zulassungsrichtlinie hätte.

Im Richtliniensimulator werden auch Fehler aufgeführt, die während der Simulation aufgetreten sind. So können Sie potenzielle Lücken in der Simulation identifizieren.

Es gibt verschiedene Arten von Zugriffsänderungen:

Zugriffsänderung Details
Zugriff entzogen Das Hauptkonto hatte gemäß der aktuellen Zulassungsrichtlinie Zugriff, hat aber nach der vorgeschlagenen Änderung keinen Zugriff mehr.
Zugriff möglicherweise entzogen

Das Problem kann folgende Ursachen haben:

  • Der Hauptkonto hatte Zugriff gemäß der aktuellen Zulassungsrichtlinie, aber der Zugriff gemäß der vorgeschlagenen Zulassungsrichtlinie ist unbekannt.
  • Der Zugriff des Hauptkontos war gemäß der aktuellen Zulassungsrichtlinie unbekannt, aber nach der vorgeschlagenen Änderung hat das Hauptkonto keinen Zugriff.
Zugriff erhalten Das Hauptkonto hatte gemäß der aktuellen Zulassungsrichtlinie keinen Zugriff, hat aber nach der vorgeschlagenen Änderung Zugriff.
Zugriff möglicherweise erhalten

Das Problem kann folgende Ursachen haben:

  • Das Hauptkonto hatte gemäß der aktuellen Zulassungsrichtlinie keinen Zugriff, aber sein Zugriff nach der vorgeschlagenen Änderung ist unbekannt.
  • Der Zugriff des Hauptkontos gemäß der aktuellen Zulassungsrichtlinie ist unbekannt, aber nach der vorgeschlagenen Änderung hat es Zugriff.
Zugriffsstatus unbekannt Der Zugriff des Hauptkontos sowohl gemäß der aktuellen Zulassungsrichtlinie als auch der vorgeschlagenen Zulassungsrichtlinie ist unbekannt und die vorgeschlagenen Änderungen können sich auf den Zugriff des Hauptkontos auswirken.
Fehler Bei der Simulation ist ein Fehler aufgetreten.

Unbekannte Ergebnisse

Wenn ein Zugriffsergebnis unbekannt ist, bedeutet dies, dass im Richtliniensimulator nicht genügend Informationen vorhanden sind, um den Zugriffsversuch vollständig zu evaluieren.

Es gibt verschiedene Gründe, warum ein Ergebnis unbekannt sein kann:

  • Rolleninformationen verweigert: Das Hauptkonto, das die Simulation ausführt, ist nicht berechtigt, die Rollendetails einer oder mehrerer simulierter Rollen zu sehen.
  • Kein Zugriff auf Richtlinie: Das Hauptkonto, das die Simulation ausführt, war nicht berechtigt, die Zulassungsrichtlinie für eine oder mehrere an der Simulation beteiligten Ressourcen abzurufen.
  • Informationen zur Mitgliedschaft abgelehnt: Das Hauptkonto, das die Simulation ausführt, hatte keine Berechtigung, die Mitglieder einer oder mehrerer der in der simulierten Zulassungsrichtlinie enthaltenen Gruppen anzuzeigen.
  • Nicht unterstützte Bedingung: In der Zulassungsrichtlinie, die getestet wird, gibt es eine bedingte Rollenbindung. Bedingungen werden vom Richtliniensimulator nicht unterstützt, sodass die Bindung nicht ausgewertet werden konnte.

Wenn ein Zugriffsergebnis unbekannt ist, melden die Ergebnisse des Richtliniensimulators den Grund, warum es unbekannt war, sowie die spezifischen Rollen, Zulassungsrichtlinie, Mitgliedschaftsinformationen und Bedingungen, auf die nicht zugegriffen oder die nicht ausgewertet werden konnten.

Fehler

Policy Simulator ermittelt auch Fehler, die während der Simulation aufgetreten sind. Es ist wichtig, diese Fehler zu überprüfen, damit Sie die potenziellen Lücken in der Simulation verstehen.

Der Richtliniensimulator kann verschiedene Arten von Fehlern melden:

  • Vorgangsfehler: Die Simulation konnte nicht ausgeführt werden.

    Wenn die Fehlermeldung ergibt, dass die Simulation nicht ausgeführt werden konnte, weil in Ihrem Projekt oder Ihrer Organisation zu viele Logs vorhanden sind, können Sie für die Ressource keine Simulation ausführen.

    Wenn dieser Fehler aus einem anderen Grund auftritt, führen Sie die Simulation nochmal aus. Wenn Sie die Simulation immer noch nicht ausführen können, wenden Sie sich an policy-simulator-feedback@google.com.

  • Wiederholungsfehler: Die erneute Ausführung eines einzelnen Zugriffsversuchs war nicht erfolgreich. Daher konnte der Richtliniensimulator nicht ermitteln, ob sich das Ergebnis des Zugriffsversuchs gemäß der vorgeschlagenen Zulassungsrichtlinie ändern würde.

  • Fehler bei nicht unterstützten Ressourcentypen: Die vorgeschlagene Zulassungsrichtlinie wirkt sich auf Berechtigungen im Zusammenhang mit einem nicht unterstützten Ressourcentyp aus, den der Richtliniensimulator nicht simulieren kann. Der Richtliniensimulator listet diese Berechtigungen in den Simulationsergebnissen auf, damit Sie wissen, welche Berechtigungen nicht simuliert werden konnten.

Maximale Größe der Logwiedergabe

Die maximale Anzahl von Zugriffslogs, die eine Simulation erneut wiedergeben kann, beträgt 5.000. Wenn für Ihr Projekt oder Ihre Organisation in den letzten 90 Tagen mehr als 5.000 Zugriffslogs vorhanden sind, schlägt die Simulation fehl.

Informationen darüber, wie der Richtliniensimulator ermittelt, welche Zugriffslogs abgerufen werden, finden Sie unter Funktionsweise des Richtliniensimulators auf dieser Seite.

Supportstufen für Ressourcentypen

Der Richtliniensimulator unterstützt nicht alle Ressourcentypen in Simulationen. Dies wirkt sich auf die Berechtigungsänderungen aus, die simuliert werden können.

Unterstützte Ressourcentypen

Der Richtliniensimulator unterstützt nur die folgenden Ressourcentypen:

Dienst Unterstützte Ressourcentypen
Cloud Storage
  • buckets
Pub/Sub
  • snapshots
  • subscriptions
  • topics
Cloud SQL
  • backupRuns
  • databases
  • instances
  • sslCerts
  • users
Cloud Spanner
  • backups
  • backupOperations
  • databases
  • databaseOperations
  • instanceConfigs
  • instanceOperations
  • instances
  • sessions
Resource Manager
  • folders
  • organizations
  • projects
Compute Engine
  • instances

Nicht unterstützte Ressourcentypen

Nicht unterstützte Ressourcentypen sind Ressourcentypen, für die der Richtliniensimulator keine Zugriffslogs abruft. Wenn der Richtliniensimulator keine Zugriffslogs für eine Ressource abrufen kann, kann nicht bewertet werden, wie sich die vorgeschlagene Zulassungsrichtlinie auf diese Zugriffsversuche auswirken könnte.

Wenn eine vorgeschlagene Änderung an einer Zulassungsrichtlinie Berechtigungen für einen nicht unterstützten Ressourcentyp beinhaltet, listet der Richtliniensimulator diese Berechtigungen in den Simulationsergebnissen auf, damit Sie wissen, welche Berechtigungen nicht simuliert werden konnten. Beispielsweise unterstützt der Zulassungsrichtliniensimulator keine AI Platform-Modelle. Wenn also eine vorgeschlagene Zulassungsrichtlinie eine Rolle mit der Berechtigung aiplatform.models.list entfernt, zeigen die Ergebnisse für diesen Simulationsstatus, dass die Berechtigung aiplatform.models.list nicht simuliert werden konnte.

Nächste Schritte