Esta página foi traduzida pela API Cloud Translation.

Simulador de políticas para políticas de recusa

O Simulador de políticas de recusa permite-lhe ver como uma alteração a uma política de recusa do IAM pode afetar o acesso de um principal antes de se comprometer a fazer a alteração. Pode usar o simulador de políticas para garantir que as alterações que está a fazer não fazem com que um principal perca o acesso de que precisa.

Esta funcionalidade apenas avalia políticas de recusa. Para saber como simular outros tipos de políticas, consulte o seguinte:

Como funciona o Simulador de políticas para políticas de recusa

O Simulador de políticas para políticas de negação ajuda a determinar se uma alteração a uma política de negação vai bloquear o acesso que os seus principais estão a usar.

Quando executa uma simulação para uma política de recusa, o Simulador de políticas faz o seguinte:

Obtém registos de acesso da organização que foram gerados durante o período de repetição. O período de repetição é de 90 dias.

Se a organização não existir há mais de 90 dias, o Simulador de políticas obtém todos os registos de acesso desde a criação da organização.
Determina que registos de acesso são relevantes para a simulação. Os registos de acesso relevantes são todos os registos de acesso que representam a tentativa mais recente de um principal de usar uma autorização para aceder a um recurso.
Para cada registo de acesso relevante, determina se as políticas de recusa atuais, juntamente com as alterações propostas, permitiriam o acesso tentado. Este processo é denominado repetição das tentativas de acesso.
Para cada registo de acesso, compara o estado de acesso da repetição com o estado de acesso nos registos de acesso. Em seguida, o simulador de políticas comunica quaisquer tentativas de acesso históricas que não foram bloqueadas no registo de acesso, mas foram bloqueadas na repetição. Estas diferenças, denominadas alterações de acesso, mostram que tentativas de acesso teriam sido bloqueadas se a política de recusa simulada estivesse em vigor no momento da tentativa.

Nota: o estado de acesso num registo de acesso pode não refletir o estado de acesso atual. Nestes casos, o Simulador de políticas compara sempre os resultados da repetição com o resultado do registo de acesso e não com o estado de acesso atual.

Período de repetição

O período de repetição é o período durante o qual o Simulador de políticas tem acesso aos registos quando executa uma simulação. Os registos de acesso que ocorrem antes do primeiro dia do período de repetição ou após o último dia do período de repetição não são incluídos na simulação.

Normalmente, o último dia do período de repetição é 1 dia antes da simulação. No entanto, em alguns casos, o último dia do período de repetição pode ser até 10 dias antes da simulação. Os registos de acesso que ocorrem após o último dia do período de repetição não são incluídos na simulação.

O período de repetição é de 90 dias. Se a organização não existir há mais de 90 dias, o Simulador de políticas obtém todas as tentativas de acesso desde a criação da organização.

A janela de repetição também é eventualmente consistente. Isto significa que, quando executa uma simulação, alguns dados podem ser mais recentes do que outros. No entanto, todos os dados acabam por ter a mesma atualização.

Resultados do Simulador de políticas

O Simulador de políticas comunica o impacto de uma alteração proposta a uma política de recusa como uma lista de alterações de acesso. Para políticas de recusa, o único tipo de alteração de acesso que o Simulador de políticas comunica é a alteração de acesso Acesso revogado.

O simulador de políticas comunica que o acesso é revogado se as seguintes condições forem verdadeiras:

A tentativa mais recente do principal de aceder ao recurso foi bem-sucedida
As alterações propostas ou outra política de recusa bloqueiam o acesso do principal ao recurso

Para cada alteração de acesso, o Simulador de políticas também comunica as seguintes informações:

O principal, o recurso e a autorização envolvidos na tentativa de acesso.
O número de dias durante o período de repetição em que o principal tentou usar a autorização para aceder ao recurso. Este total inclui apenas as tentativas de acesso que têm o mesmo resultado que a tentativa de acesso mais recente.
A data da tentativa de acesso mais recente.

Erros

Os seguintes erros podem fazer com que uma simulação falhe:

Número máximo de simulações simultâneas excedido: o utilizador já tem 10 simulações em curso, que é o número máximo de simulações em curso que um utilizador pode ter. Para resolver o problema, aguarde que uma das simulações em curso seja concluída e, em seguida, tente executar a simulação novamente.
Limite de tempo excedido: a execução da simulação demorou demasiado tempo e excedeu o limite de tempo. Para resolver o problema, tente executar a simulação novamente.
Construção de simulação inválida: a política de recusa proposta é inválida. Por exemplo, a política proposta tem uma expressão de condição inválida. Para resolver o problema, corrija a política e tente novamente.
Autorização recusada: não tem autorização para executar uma simulação. Para resolver o problema, certifique-se de que lhe foram concedidas as funções necessárias e tente novamente.

Tipos de principais suportados

O simulador de políticas para políticas de negação apenas revê os registos de acesso para os seguintes tipos de responsáveis:

Contas do Google Workspace
Contas de serviço
Agentes do serviço

Quando simula políticas de recusa, o Simulador de políticas não revê os registos de acesso de outros tipos de principais, incluindo os baseados em identidades federadas num conjunto de identidades de carga de trabalho. Consequentemente, o Simulador de políticas não comunica se as alterações propostas às suas políticas ou associações afetam o acesso desses responsáveis.

O que se segue?

Saiba como simular uma alteração a uma política de recusa.
Explore outras ferramentas de inteligência de políticas.