Se usó la API de Cloud Translation para traducir esta página.

Policy Simulator para políticas de denegación

Policy Simulator para políticas de denegación te permite ver cómo un cambio en una política de denegación de IAM puede afectar el acceso de una principal antes de que realices la modificación. Puedes usarlo para asegurarte de que los cambios que realices no harán que una principal pierda el acceso que necesita.

Esta función solo evalúa las políticas de denegación. Para obtener información sobre cómo simular otros tipos de políticas, consulta lo siguiente:

Cómo funciona el simulador de políticas de denegación

Policy Simulator para las políticas de denegación te ayuda a determinar si un cambio en una política de denegación bloqueará el acceso que usan tus principales.

Cuando ejecutas una simulación para una política de denegación, Policy Simulator hace lo siguiente:

Recupera los registros de acceso de la organización que se generaron durante el período de repetición. El período de repetición es de al menos 30 días.

Si la organización no existe desde hace más de 30 días, Policy Simulator recupera todos los registros de acceso desde que se creó la organización.
Determina qué registros de acceso son relevantes para la simulación. Los registros de acceso relevantes son todos los registros de acceso que representan el intento más reciente de una principal de usar un permiso para acceder a un recurso.
Para cada registro de acceso relevante, determina si las políticas de denegación actuales, junto con los cambios propuestos, permitirían el intento de acceso. Este proceso se denomina reproducción de los intentos de acceso.
Para cada registro de acceso, compara el estado de acceso de la repetición con el estado de acceso en los registros de acceso. Luego, Policy Simulator informa todos los intentos de acceso históricos que no se bloquearon en el registro de acceso, pero que sí se bloquearon en la repetición. Estas diferencias, que se denominan cambios de acceso, muestran qué intentos de acceso se habrían bloqueado si la política de denegación simulada se hubiera implementado en el momento del intento.

Nota: Es posible que el estado de acceso en un registro de acceso no refleje el estado de acceso actual. En estos casos, Policy Simulator siempre compara los resultados de la repetición con el resultado del registro de acceso, no con el estado de acceso actual.

Período de repetición

El período de repetición es el período para el que Policy Simulator obtiene registros de acceso cuando se ejecuta una simulación. Los registros de acceso que se producen antes del primer día del período de repetición o después del último día del período de repetición no se incluyen en la simulación.

Por lo general, el último día del período de repetición es 1 día antes de la simulación. Sin embargo, en algunos casos, el último día del período de repetición puede ser hasta unos días antes de la simulación. Los registros de acceso que se producen después del último día del período de repetición no se incluyen en la simulación.

El período de repetición es de al menos 30 días. Si la organización no existe desde hace más de 30 días, Policy Simulator recupera todos los intentos de acceso desde que se creó la organización.

Resultados de Policy Simulator

Policy Simulator informa el impacto de un cambio propuesto en una política de denegación como una lista de cambios de acceso. En el caso de las políticas de denegación, el único tipo de cambio de acceso que informa Policy Simulator es el cambio de acceso Se revocó el acceso.

Policy Simulator informa que se revoca el acceso si se cumple lo siguiente:

El intento más reciente de la principal para acceder al recurso se realizó correctamente
Las políticas de denegación actuales, junto con los cambios propuestos, bloquean el acceso de la principal al recurso.

Para cada cambio de acceso, Policy Simulator también informa la siguiente información:

El principal, el recurso y el permiso involucrados en el intento de acceso
Es la cantidad de días durante el período de repetición en los que la principal intentó usar el permiso para acceder al recurso. Este total solo incluye los intentos de acceso que tienen el mismo resultado que el intento de acceso más reciente.
Es la fecha del intento de acceso más reciente.

Errores

Los siguientes errores pueden provocar que una simulación falle:

Se superó la cantidad máxima de simulaciones simultáneas: El usuario ya tiene 10 simulaciones en curso, que es la cantidad máxima de simulaciones en curso que puede tener un usuario. Para resolverlo, espera a que se complete una de las simulaciones en curso y, luego, vuelve a ejecutar la simulación.
Tiempo de espera: La simulación tardó demasiado en ejecutarse y se agotó el tiempo de espera. Para resolverlo, vuelve a ejecutar la simulación.
Construcción de simulación no válida: La política de denegación propuesta no es válida. Por ejemplo, la política propuesta tiene una expresión de condición no válida. Para resolverlo, corrige la política y vuelve a intentarlo.
Permiso denegado: No tienes permiso para ejecutar una simulación. Para resolverlo, asegúrate de que se te otorguen los roles necesarios y vuelve a intentarlo.

Tipos de principales admitidos

Policy Simulator de políticas de denegación solo revisa los registros de acceso de los siguientes tipos de principales:

Cuentas de Google
Cuentas de servicio

Cuando se simulan políticas de denegación, Policy Simulator no revisa los registros de acceso de ningún otro tipo de principal. Como resultado, no informa si los cambios propuestos en tus políticas o vinculaciones afectarán el acceso de esos principales.

¿Qué sigue?

Obtén más información para simular un cambio en una política de denegación.
Explora otras herramientas de Policy Intelligence.