Simulateur de stratégie

Policy Simulator vous permet de voir comment une modification de stratégie IAM peut affecter l'accès d'un membre avant de procéder à la modification. Vous pouvez utiliser Policy Simulator pour vous assurer que les modifications que vous apportez n'empêchent pas un membre d'accéder aux ressources dont il a besoin.

Fonctionnement de Policy Simulator

Policy Simulator vous permet de déterminer l'impact qu'aura une modification de stratégie sur vos utilisateurs. Pour ce faire, il ne se contente pas de comparer les autorisations dans les stratégies actuelles et proposées. Au lieu de cela, il utilisent les journaux d'accès pour se concentrer sur les modifications des autorisations qui affecteraient réellement vos utilisateurs.

Pour savoir comment une modification de stratégie IAM peut affecter l'accès d'un membre, Policy Simulator détermine quelles tentatives d'accès des 90 derniers jours produisent des résultats différents dans la stratégie proposée et la stratégie actuelle. Il renvoie ensuite ces résultats sous la forme d'une liste de modifications d'accès.

Lorsque vous simulez une modification de stratégie IAM, vous fournissez une proposition de stratégie avec les modifications que vous souhaitez tester. Cette stratégie proposée peut s'appliquer à n'importe quelle ressource compatible avec les stratégies IAM.

Lorsque vous exécutez une simulation, Policy Simulator effectue les opérations suivantes :

  1. Récupère les journaux d'accès pour les types de ressources compatibles au cours des 90 derniers jours. L'endroit où ces journaux sont collectés dépend de la ressource dont vous souhaitez simuler la stratégie IAM :

    • Si vous simulez une stratégie pour un projet ou une organisation, Policy Simulator récupère les journaux d'accès pour ce projet ou cette organisation.
    • Si vous simulez une stratégie pour un type de ressource différent, Policy Simulator récupère les journaux d'accès du projet ou de l'organisation parent de cette ressource.
    • Si vous simulez des stratégies pour plusieurs ressources à la fois, Policy Simulator récupère les journaux d'accès du projet ou de l'organisation les plus proches des ressources.

    Si la ressource parente n'existe pas depuis au moins 90 jours, Policy Simulator récupère toutes les tentatives d'accès depuis la création de la ressource.

  2. Réévalue (ou relit) les tentatives d'accès enregistrées dans les journaux d'accès à l'aide des stratégies IAM en vigueur, en tenant compte des stratégies héritées et de toute stratégie des ressources descendantes.

    La relecture des tentatives d'accès avec la stratégie actuelle permettent de s'assurer que Policy Simulator ne signale que les modifications résultant de la stratégie proposée et ne signale pas les modifications résultant des autres modifications que vous avez apportées à la stratégie. au cours des 90 derniers jours.

  3. Relit les tentatives d'accès à l'aide de la stratégie IAM proposée, une fois de plus en prenant en compte toutes les stratégies héritées et les stratégies définies sur des ressources descendantes.

  4. Compare les résultats des deux relectures et signale les différences, qui montrent l'impact des modifications proposées sur l'accès des membres.

Exemple : Tester les modifications apportées à une stratégie

Supposons que vous souhaitiez supprimer le rôle "Lecteur d'organisation" pour un utilisateur (roles/resourcemanager.organizationViewer). Vous souhaitez vous servir de Policy Simulator pour confirmer que cette modification n'affecte pas l'accès de l'utilisateur.

Vous pouvez utiliser Cloud Console, l'API REST ou l'outil de ligne de commande gcloud pour simuler le changement de stratégie.

Lorsque vous lancez la simulation, Policy Simulator effectue les opérations suivantes :

  • Récupère les journaux d'accès de votre organisation au cours des 90 derniers jours.
  • Relit les tentatives d'accès à l'aide de la stratégie actuelle de l'organisation, dans laquelle l'utilisateur possède le rôle d'éditeur.
  • Relit les tentatives d'accès à l'aide de la stratégie proposée, dans laquelle l'utilisateur possède le rôle "Administrateur App Engine".
  • Compare les résultats des deux relectures et signale leurs différences.

Vous pouvez ensuite examiner les résultats pour comprendre l'impact de la modification proposée sur l'accès de l'utilisateur.

Exemple : Héritage des stratégies

Imaginons que vous souhaitiez simuler une modification de stratégie IAM pour un dossier, Engineering, dans une organisation présentant la structure suivante :

Exemple de structure organisationnelle

Notez que Engineering dispose d'une ressource parente, l'organisation example.com, dont il hérite des stratégies IAM. Il dispose également de trois projets enfants pouvant avoir leurs propres stratégies IAM : example-prod, example-dev et example-test.

Vous fournissez une stratégie proposée et exécutez la simulation. Lorsque vous lancez la simulation, Policy Simulator effectue les opérations suivantes :

  • Récupère tous les journaux pertinents au cours des 90 derniers jours. Étant donné que Engineering est un dossier, Policy Simulator récupère les journaux de son organisation parente, example.com.
  • Relit les tentatives d'accès en utilisant la stratégie actuelle du dossier, la stratégie héritée de example.com et les stratégies des projets enfants.
  • Relit chaque tentative d'accès à l'aide de la stratégie proposée, de la stratégie héritée de example.com et des stratégies des projets enfants.
  • Compare les résultats des relectures et signale leurs différences.

Vous pouvez ensuite examiner les résultats pour comprendre l'impact de la modification proposée sur l'accès de l'utilisateur.

Examiner les résultats de Policy Simulator

Policy Simulator signale l'impact d'une modification de stratégie proposée sous la forme d'une liste de modifications d'accès. Une modification d'accès représente une tentative d'accès survenue au cours des 90 derniers jours et dont les résultats de la stratégie proposée diffèrent de ceux de la stratégie actuelle.

Policy Simulator répertorie également toutes les erreurs survenues lors de la simulation, ce qui vous permet d'identifier les écarts potentiels dans la simulation.

Il existe plusieurs types de modifications d'accès :

Modification d'accès Détails
Accès révoqué Le membre a accès avec la stratégie actuelle, mais n'aura plus accès après la mise en œuvre de la modification proposée.
Accès potentiellement révoqué

Ce résultat peut se produire pour les raisons suivantes :

  • Le membre a accès avec la stratégie actuelle, mais son accès avec la stratégie proposée est inconnu.
  • L'accès du membre avec la stratégie actuelle est inconnu, mais il n'aura pas accès après la mise en œuvre de la modification proposée.
Accès obtenu Le membre n'a pas accès avec la stratégie actuelle, mais aura accès après la mise en œuvre de la modification proposée.
Accès potentiellement obtenu

Ce résultat peut se produire pour les raisons suivantes :

  • Le membre n'a pas accès avec la stratégie actuelle, mais son accès après la mise en œuvre de la modification proposée est inconnu.
  • L'accès du membre avec la stratégie actuelle est inconnu, mais il aura pas accès après la mise en œuvre de la modification proposée.
Accès inconnu L'accès du membre avec la stratégie actuelle et la stratégie proposée est inconnu. Les modifications proposées peuvent affecter l'accès du membre.
Erreur Une erreur s'est produite lors de la simulation.

Résultats inconnus

Si un résultat d'accès est inconnu, cela signifie que Policy Simulator n'a pas suffisamment d'informations pour faire une évaluation complète de la tentative d'accès.

Un résultat peut être inconnu pour plusieurs raisons :

  • Refus d'afficher les informations sur le rôle : le membre exécutant la simulation n'a pas l'autorisation d'afficher les détails d'un ou de plusieurs des rôles simulés.
  • Impossible d'accéder à la stratégie : le membre exécutant la simulation n'a pas l'autorisation d'obtenir la stratégie IAM pour une ou plusieurs des ressources impliquées dans la simulation.
  • Informations sur l'appartenance refusée : le membre qui exécute la simulation n'a pas l'autorisation d'afficher les membres d'un ou plusieurs des groupes inclus dans la stratégie simulée.
  • Condition non acceptée : une liaison de rôle conditionnelle de la stratégie est en cours de test. Policy Simulator n'étant pas compatible avec les conditions, la liaison n'a pas pu être évaluée.

Si un résultat d'accès est inconnu, les résultats de Policy Simulator indiquent la raison pour laquelle il était inconnu, ainsi que les rôles, stratégies, informations sur l'appartenance et conditions spécifiques non accessibles ou impossibles à évaluer.

Erreurs

Policy Simulator signale également toute erreur survenue lors de la simulation. Il est important d'examiner ces erreurs afin de comprendre les écarts potentiels dans la simulation.

Policy Simulator peut signaler plusieurs types d'erreurs :

  • Erreurs d'opération : la simulation n'a pas pu être exécutée.

    Si le message d'erreur indique que la simulation n'a pas pu être exécutée, car votre projet ou votre organisation comporte trop de journaux, vous ne pouvez pas exécuter de simulation sur la ressource.

    Si vous obtenez cette erreur pour une autre raison, essayez à nouveau d'exécuter la simulation. Si vous ne parvenez toujours pas à exécuter la simulation, envoyez un e-mail à l'adresse policy-simulator-feedback@google.com.

  • Erreurs de relecture : une relecture de tentative d'accès unique a échoué. Policy Simulator n'a donc pas pu déterminer si le résultat de la tentative d'accès serait modifié avec la stratégie proposée.

  • Erreurs de type de ressource non compatibles : la stratégie proposée affecte les autorisations associées à un type de ressource non compatible, que Policy Simulator ne peut pas simuler. Policy Simulator répertorie ces autorisations dans les résultats de la simulation pour vous permettre de savoir quelles autorisations n'ont pas pu être simulées.

Taille maximale de la relecture du journal

Le nombre maximal de journaux d'accès qu'une simulation peut relire s'élève à 1 000. S'il existe plus de 1 000 journaux d'accès pour votre projet ou votre organisation au cours des 90 derniers jours, la simulation échoue.

Pour savoir comment Policy Simulator décide des journaux d'accès à récupérer, consultez la section Fonctionnement de Policy Simulator sur cette page.

Niveaux de compatibilité des types de ressources

Policy Simulator n'accepte pas tous les types de ressources lors des simulations. Cela affecte les modifications d'autorisation qu'il est possible de simuler.

Types de ressources acceptés

Policy Simulator est compatible uniquement avec les types de ressources suivants :

Service Types de ressources acceptés
Cloud Storage
  • buckets
Pub/Sub
  • snapshots
  • subscriptions
  • topics
Cloud SQL
  • backupRuns
  • databases
  • instances
  • sslCerts
  • users
Cloud Spanner
  • backups
  • backupOperations
  • databases
  • databaseOperations
  • instanceConfigs
  • instanceOperations
  • instances
  • sessions
Resource Manager
  • folders
  • organizations
  • projects
Compute Engine
  • instances

Types de ressources non compatibles

Les types de ressources non compatibles sont les types de ressources pour lesquels Policy Simulator ne peut pas récupérer les journaux d'accès. Si Policy Simulator ne peut pas récupérer les journaux d'accès à une ressource, il ne peut pas évaluer la façon dont la stratégie proposée peut affecter ces tentatives d'accès.

Si une modification de stratégie proposée implique des autorisations pour un type de ressource non compatible, Policy Simulator répertorie ces autorisations dans les résultats de la simulation afin que vous puissiez savoir quelles autorisations n'ont pas pu être simulées. Par exemple, Policy Simulator n'est pas compatible avec les modèles AI Platform. Ainsi, si une stratégie proposée supprime un rôle doté de l'autorisation aiplatform.models.list, les résultats de cette simulation indiquent que l'autorisation aiplatform.models.list n'a pas pu être simulée.

Étape suivante