Simulador de política

Policy Simulator te permite ver cómo un cambio en la política de IAM puede afectar el acceso de una principal antes de que realices la modificación. Puedes usarlo para asegurarte de que los cambios que realices no harán que una principal pierda el acceso que necesita.

Cómo funciona el simulador de política

El simulador de política te ayuda a determinar qué impacto podría tener un cambio de política para los usuarios. Para hacerlo, no solo compara los permisos en las políticas actuales y propuestas. En cambio, utiliza registros de acceso para enfocarse en los cambios en los permisos que realmente podrían afectar a tus usuarios.

Para averiguar cómo un cambio de política de IAM puede afectar el acceso de una principal, Policy Simulator determina qué intentos de acceso de los últimos 90 días tienen resultados diferentes con la política propuesta y la política actual. Luego, informa estos resultados como una lista de cambios de acceso.

Cuando simulas un cambio en la política de IAM, proporcionas una política propuesta con los cambios que deseas probar. Esta política propuesta puede ser para cualquier recurso que acepte políticas de IAM.

Cuando ejecutas una simulación, el simulador de política realiza lo siguiente:

  1. Recupera registros de acceso para los tipos de recursos admitidos de los últimos 90 días. La ubicación desde la que se recopilan estos registros depende del recurso cuya política de IAM estás simulando:

    • Si estás simulando una política para un proyecto o una organización, el simulador de política recupera los registros de acceso para ese proyecto u organización.
    • Si estás simulando una política para un tipo de recurso diferente, el simulador de política recupera los registros de acceso para la organización o el proyecto superior de ese recurso.
    • Si estás simulando políticas de varios recursos a la vez, el simulador de política recupera los registros de acceso de la organización o proyecto común más cercanos.

    Si el recurso superior no existe durante 90 días, el simulador de política recupera todos los intentos de acceso desde que se creó el recurso.

  2. Reevalúa, o reproduce los intentos de acceso registrados en los registros de acceso mediante las políticas de IAM actuales, teniendo en cuenta todas las políticas heredadas y cualquier política establecida en recursos descendientes.

    La reproducción de los intentos de acceso con la política actual garantiza que el simulador de política informe solo los cambios de acceso que son producto de la política propuesta y no informe sobre los cambios que son producto de otras modificaciones de la política que realizaste en los últimos 90 días.

  3. Vuelve a reproducir los intentos de acceso con la política de IAM propuesta, una vez más, teniendo en cuenta todas las políticas heredadas y las políticas establecidas en recursos descendientes.

  4. Compara los resultados de las dos repeticiones y, luego, informa las diferencias, que muestran cómo los cambios propuestos afectarían el acceso de la principal.

Ejemplo: Prueba de cambios de política

Imagina que deseas quitar la función de visualizador de la organización de un usuario (roles/resourcemanager.organizationViewer). Quieres usar el simulador de política para confirmar que este cambio no afectará el acceso del usuario.

Usa Cloud Console, la API de REST o la herramienta de línea de comandos de gcloud para simular el cambio de política.

Cuando comienza la simulación, el simulador de política hace lo siguiente:

  • Recupera los registros de acceso para tu organización de los últimos 90 días.
  • Reproduce los intentos de acceso con la política actual de la organización, en la que el usuario tiene la función de editor.
  • Reproduce los intentos de acceso nuevamente con la política propuesta, en la que el usuario tiene la función de administrador de App Engine.
  • Compara los resultados de ambas reproducciones y también informa las diferencias entre ellas.

Luego, puedes revisar los resultados para comprender cómo el cambio propuesto afecta el acceso del usuario.

Ejemplo: Herencia de políticas

Imagina que deseas simular un cambio en la política de IAM de una carpeta, Engineering, en una organización con la siguiente estructura:

Estructura de la organización de muestra

Ten en cuenta que Engineering tiene un recurso superior, la organización example.com, de la que hereda las políticas de IAM. También tiene tres proyectos secundarios que pueden tener sus propias políticas de IAM: example-prod, example-dev y example-test.

Debes proporcionar una política propuesta y ejecutar la simulación. Cuando comienza la simulación, el simulador de política hace lo siguiente:

  • Recupera todos los registros relevantes de los últimos 90 días. Debido a que Engineering es una carpeta, el simulador de política recupera registros de su organización superior, example.com.
  • Reproduce los intentos de acceso con la política actual de la carpeta, la política heredada de example.com y las políticas de los proyectos secundarios.
  • Reproduce cada intento de acceso con la política propuesta, la política heredada de example.com y las políticas de los proyectos secundarios.
  • Compara los resultados de las reproducciones y también informa las diferencias entre ellas.

Luego, puedes revisar los resultados para comprender cómo el cambio propuesto afecta el acceso del usuario.

Revisión de los resultados del simulador de política

El simulador de política informa el impacto de un cambio de política propuesto como una lista de cambios de acceso. Un cambio de acceso representa un intento de acceso de los últimos 90 días que tendría un resultado diferente con la política propuesta en comparación con la política actual.

El simulador de política también enumera los errores que se produjeron durante la simulación, lo que te ayuda a identificar posibles brechas en la simulación.

Existen varios tipos de cambios de acceso:

Cambio de acceso Detalles
Se revocó el acceso La principal tenía acceso con la política actual, pero que ya no tendrá acceso después del cambio propuesto.
Es posible que se haya revocado el acceso

Esto puede suceder por los siguientes motivos:

  • La principal tenía acceso con la política actual, pero su acceso con la política propuesta es desconocido.
  • El acceso de la principal con la política actual es desconocido, pero no tendrá acceso después del cambio propuesto.
Acceso obtenido La principal no tiene acceso con la política actual, pero tendrá acceso después del cambio propuesto.
Acceso potencialmente obtenido

Esto puede suceder por los siguientes motivos:

  • La principal no tiene acceso con la política actual, pero su acceso después del cambio propuesto es desconocido.
  • El acceso de la principal con la política actual es desconocido, pero tendrá acceso después del cambio propuesto.
Acceso desconocido El acceso de la principal tanto con la política actual como con la política propuesta es desconocido, y los cambios propuestos pueden afectar el acceso de la principal.
Error Se produjo un error durante la simulación.

Resultados desconocidos

Si un resultado de acceso es desconocido, significa que el simulador de política no tiene suficiente información para evaluar por completo el intento de acceso.

Existen varios motivos por los que un resultado puede ser desconocido:

  • Información de la función rechazada: la principal que ejecuta la simulación no tuvo permiso para ver los detalles de una o más de las funciones que se simularon.
  • No se pudo acceder a la política: la principal que ejecuta la simulación no tuvo permiso para obtener la política de IAM de uno o más de los recursos involucrados en ella.
  • Información de la membresía rechazada: la principal que ejecuta la simulación no tuvo permiso para ver los miembros de uno o más de los grupos incluidos en la política simulada.
  • Condición no admitida: Hay una vinculación de función condicional en la política que se probó. El simulador de política no admite condiciones, por lo que la vinculación no se pudo evaluar.

Si un resultado de acceso es desconocido, el resultado del simulador de política informa por qué se desconoce, además de las funciones, las políticas, la información de membresía y los condicionales específicos a los que no pudo acceder o evaluar.

Errores

El simulador de política también informa los errores que se produjeron durante la simulación. Es importante revisar estos errores para comprender las posibles brechas en la simulación.

Existen diversos tipos de errores que el simulador de política puede informar:

  • Errores de operación: La simulación no se pudo ejecutar.

    Si el mensaje de error indica que la simulación no se pudo ejecutar porque hay demasiados registros en tu organización o proyecto, no puedes ejecutar una simulación en el recurso.

    Si aparece este error por otro motivo, intenta ejecutar la simulación nuevamente. Si aún no puedes ejecutar la simulación, envía un correo electrónico a policy-simulator-feedback@google.com.

  • Errores de reproducción: La reproducción de un único intento de acceso no fue exitosa, por lo que el simulador de política no pudo determinar si el resultado del intento de acceso cambiaría con la política propuesta.

  • Errores de tipos de recursos no admitidos: la política propuesta afecta los permisos asociados a un tipo de recurso no admitido, que el simulador de política no puede simular. El simulador de política enumera estos permisos en los resultados de la simulación para que sepas qué permisos no pudo simular.

Tamaño máximo de reproducción de registro

La cantidad máxima de registros de acceso que puede reproducir una simulación es de 1,000. Si hay más de 1,000 registros de acceso para tu organización o proyecto en los últimos 90 días, la simulación fallará.

Para obtener información sobre cómo el simulador de política decide qué registros de acceso recuperar, consulta Cómo funciona el simulador de política en esta página.

Niveles de compatibilidad de los tipos de recursos

El simulador de política no admite todos los tipos de recursos en las simulaciones. Esto afecta los cambios en los permisos que puede simular.

Tipos de recursos admitidos

El simulador de política admite solo los siguientes tipos de recursos:

Servicio Tipos de recursos admitidos
Cloud Storage
  • buckets
Pub/Sub
  • snapshots
  • subscriptions
  • topics
Cloud SQL
  • backupRuns
  • databases
  • instances
  • sslCerts
  • users
Cloud Spanner
  • backups
  • backupOperations
  • databases
  • databaseOperations
  • instanceConfigs
  • instanceOperations
  • instances
  • sessions
Resource Manager
  • folders
  • organizations
  • projects
Compute Engine
  • instances

Tipos de recursos no compatibles

Los tipos de recursos no admitidos son aquellos para los que el simulador de política no puede recuperar registros de acceso. Si el simulador de política no puede recuperar registros de acceso para un recurso, no puede evaluar cómo la política propuesta podría afectar esos intentos de acceso.

Si un cambio de política propuesto involucra permisos para un tipo de recurso no admitido, el simulador de política enumera esos permisos en los resultados de la simulación para que sepas qué permisos no pudo simular. Por ejemplo, el simulador de política no admite modelos de AI Platform. Por lo tanto, si una política propuesta quita una función con el permiso aiplatform.models.list, los resultados de esa simulación indican que no se pudo simular el permiso aiplatform.models.list.

¿Qué sigue?