Diese Seite wurde von der Cloud Translation API übersetzt.

Policy Simulator für Ablehnungsrichtlinien

Mit dem Policy Simulator für Ablehnungsrichtlinien können Sie sehen, wie sich eine Änderung an einer IAM-Ablehnungsrichtlinie auf den Zugriff eines Hauptkontos auswirken kann, bevor Sie die Änderung vornehmen. Mit dem Richtliniensimulator können Sie dafür sorgen, dass Änderungen nicht dazu führen, dass ein Hauptkonto den erforderlichen Zugriff verliert.

Mit dieser Funktion werden nur Ablehnungsrichtlinien ausgewertet. Informationen zum Simulieren anderer Richtlinientypen finden Sie hier:

Funktionsweise des Policy Simulators für Ablehnungsrichtlinien

Mit dem Policy Simulator für Ablehnungsrichtlinien können Sie feststellen, ob eine Änderung an einer Ablehnungsrichtlinie den Zugriff blockiert, den Ihre Hauptkonten verwenden.

Wenn Sie eine Simulation für eine Ablehnungsrichtlinie ausführen, ergreift der Policy Simulator folgende Maßnahmen:

Ruft Zugriffslogs für die Organisation ab, die während des Wiedergabezeitraums generiert wurden. Die Wiedergabezeit beträgt mindestens 30 Tage.

Wenn die Organisation länger als 30 Tage nicht vorhanden war, ruft der Policy Simulator alle Zugriffslogs seit der Erstellung der Organisation ab.
Bestimmt, welche Zugriffsprotokolle für die Simulation relevant sind. Relevante Zugriffsprotokolle sind alle Zugriffsprotokolle, die den letzten Versuch eines Hauptkontos darstellen, eine Berechtigung zum Zugriff auf eine Ressource zu verwenden.
Für jedes relevante Zugriffsprotokoll wird ermittelt, ob der Zugriffsversuch gemäß den aktuellen Ablehnungsrichtlinien und den vorgeschlagenen Änderungen zulässig wäre. Dieser Vorgang wird als Wiedergabe der Zugriffsversuche bezeichnet.
Für jedes Zugriffsprotokoll wird der Zugriffsstatus aus der Aufzeichnung mit dem Zugriffsstatus in den Zugriffsprotokollen verglichen. Anschließend meldet der Policy Simulator alle bisherigen Zugriffsversuche, die im Zugriffsprotokoll nicht blockiert wurden, aber bei der Wiederholung blockiert wurden. Diese Unterschiede, die als Zugriffsänderungen bezeichnet werden, zeigen, welche Zugriffsversuche blockiert worden wären, wenn die simulierte Richtlinie zum Zeitpunkt des Versuchs gültig gewesen wäre.

Hinweis: Der Zugriffsstatus in einem Zugriffsprotokoll entspricht möglicherweise nicht dem aktuellen Zugriffsstatus. In diesen Fällen vergleicht Policy Simulator die Ergebnisse der Wiederholung immer mit dem Ergebnis aus dem Zugriffsprotokoll, nicht mit dem aktuellen Zugriffsstatus.

Wiedergabezeitraum

Der Wiedergabezeitraum ist der Zeitraum, für den der Policy Simulator Zugriffslogs abrufen kann, wenn eine Simulation ausgeführt wird. Zugriffsprotokolle, die vor dem ersten Tag oder nach dem letzten Tag des Wiedergabezeitraums auftreten, werden nicht in die Simulation einbezogen.

Der letzte Tag des Wiedergabezeitraums ist in der Regel ein Tag vor der Simulation. In einigen Fällen kann der letzte Tag des Wiedergabezeitraums jedoch bis zu einige Tage vor der Simulation liegen. Zugriffsprotokolle, die nach dem letzten Tag des Wiedergabezeitraums auftreten, werden nicht in die Simulation einbezogen.

Die Wiedergabezeit beträgt mindestens 30 Tage. Wenn die Organisation länger als 30 Tage nicht vorhanden war, ruft der Policy Simulator alle Zugriffsversuche seit der Erstellung der Organisation ab.

Ergebnisse des Policy Simulator

Der Policy Simulator meldet die Auswirkungen einer vorgeschlagenen Änderung an einer Deaktivierungsrichtlinie als Liste von Zugriffsänderungen. Bei Ablehnungsrichtlinien meldet der Policy Simulator nur die Zugriffsänderung Zugriff widerrufen.

Der Policy Simulator meldet, dass der Zugriff entzogen wird, wenn Folgendes zutrifft:

Der letzte Zugriffsversuch des Hauptkontos auf die Ressource war erfolgreich
Die aktuellen Ablehnungsrichtlinien und die vorgeschlagenen Änderungen blockieren den Zugriff des Hauptkontos auf die Ressource.

Für jede Zugriffsänderung meldet der Policy Simulator außerdem die folgenden Informationen:

Das Hauptkonto, die Ressource und die Berechtigung, die am Zugriffsversuch beteiligt waren.
Die Anzahl der Tage während des Wiedergabezeitraums, an denen das Hauptkonto versucht hat, die Berechtigung zum Zugriff auf die Ressource zu verwenden. Diese Gesamtzahl umfasst nur die Zugriffsversuche, die dasselbe Ergebnis wie der letzte Zugriffsversuch haben.
Das Datum des letzten Zugriffsversuchs.

Fehler

Die folgenden Fehler können zu einem Simulationsfehler führen:

Maximale Anzahl gleichzeitiger Simulationen überschritten: Der Nutzer hat bereits 10 laufende Simulationen. Das ist die maximale Anzahl laufender Simulationen, die ein Nutzer haben kann. Warten Sie, bis eine der laufenden Simulationen abgeschlossen ist, und führen Sie die Simulation dann noch einmal aus.
Zeitüberschreitung: Die Ausführung der Simulation hat zu lange gedauert und es ist eine Zeitüberschreitung aufgetreten. Um das Problem zu beheben, führen Sie die Simulation noch einmal aus.
Ungültige Simulationskonstruktion: Die vorgeschlagene Ablehnungsrichtlinie ist ungültig. Die vorgeschlagene Richtlinie enthält beispielsweise einen ungültigen Bedingungsausdruck. Korrigieren Sie die Richtlinie und versuchen Sie es noch einmal.
Zugriff verweigert: Sie sind nicht berechtigt, eine Simulation auszuführen. Prüfen Sie, ob Sie die erforderlichen Rollen haben, und versuchen Sie es noch einmal.

Unterstützte Hauptkontotypen

Im Policy Simulator für Ablehnungsrichtlinien werden nur Zugriffslogs für die folgenden Hauptkontentypen geprüft:

Google-Konten
Dienstkonten

Beim Simulieren von Ablehnungsrichtlinien prüft Policy Simulator keine Zugriffsprotokolle für andere Hauptkontotypen. Daher wird nicht gemeldet, ob sich die vorgeschlagenen Änderungen an Ihren Richtlinien oder Bindungen auf den Zugriff dieser Hauptkonten auswirken.

Nächste Schritte

Änderungen an einer Ablehnungsrichtlinie simulieren
Weitere Informationen zu Policy Intelligence-Tools.