Cette page a été traduite par l'API Cloud Translation.

Simulateur de règles pour les règles de refus

Policy Simulator pour les stratégies de refus vous permet de voir comment une modification d'une stratégie de refus IAM peut affecter l'accès d'un compte principal avant de procéder à la modification. Vous pouvez utiliser Policy Simulator pour vous assurer que les modifications que vous apportez n'empêchent pas un compte principal d'accéder aux ressources dont il a besoin.

Cette fonctionnalité n'évalue que les règles de refus. Pour savoir comment simuler d'autres types de stratégies, consultez les ressources suivantes:

Fonctionnement de Policy Simulator pour les stratégies de refus

Policy Simulator pour les stratégies de refus vous aide à déterminer si une modification d'une stratégie de refus bloquera l'accès que vos comptes principaux utilisent.

Lorsque vous exécutez une simulation pour une stratégie de refus, Policy Simulator effectue les opérations suivantes:

Récupère les journaux d'accès de l'organisation générés pendant la période de relecture. La période de relecture est d'au moins 30 jours.

Si l'organisation n'existe pas depuis plus de 30 jours, Policy Simulator récupère tous les journaux d'accès depuis sa création.
Détermine les journaux d'accès pertinents pour la simulation. Les journaux d'accès pertinents sont tous les journaux d'accès qui représentent la tentative la plus récente d'un compte principal d'utiliser une autorisation pour accéder à une ressource.
Pour chaque journal d'accès pertinent, détermine si les stratégies de refus actuelles, ainsi que les modifications proposées, autoriseraient la tentative d'accès. Ce processus est appelé relecture des tentatives d'accès.
Pour chaque journal d'accès, compare l'état d'accès de la relecture à l'état d'accès dans les journaux d'accès. Ensuite, Policy Simulator signale toutes les tentatives d'accès précédentes qui n'ont pas été bloquées dans le journal des accès, mais qui ont été bloquées lors de la relecture. Ces différences, appelées modifications d'accès, indiquent quelles tentatives d'accès auraient été bloquées si la stratégie de refus simulée avait été en place au moment de la tentative.

Remarque :L'état d'accès dans un journal d'accès peut ne pas refléter l'état d'accès actuel. Dans ce cas, Policy Simulator compare toujours les résultats de la relecture au résultat du journal des accès, et non à l'état d'accès actuel.

Période de relecture

La période de relecture correspond à la période pour laquelle Policy Simulator obtient les journaux d'accès lors de l'exécution d'une simulation. Les journaux d'accès qui se produisent avant le premier jour de la période de relecture ou après le dernier jour de la période de relecture ne sont pas inclus dans la simulation.

En règle générale, le dernier jour de la période de relecture est un jour avant la simulation. Toutefois, dans certains cas, le dernier jour de la période de relecture peut être jusqu'à quelques jours avant la simulation. Les journaux d'accès qui se produisent après le dernier jour de la période de relecture ne sont pas inclus dans la simulation.

La période de relecture est d'au moins 30 jours. Si l'organisation n'existe pas depuis plus de 30 jours, Policy Simulator récupère toutes les tentatives d'accès depuis la création de l'organisation.

Résultats de Policy Simulator

Policy Simulator fournit le détail de l'impact d'une modification proposée de stratégie d'interdiction, sous la forme d'une liste de modifications d'accès. Pour les règles de refus, le seul type de modification d'accès que Policy Simulator signale est la modification d'accès Accès révoqué.

Policy Simulator signale que l'accès est révoqué si les conditions suivantes sont remplies:

La dernière tentative d'accès du compte principal à la ressource a réussi
Les stratégies de refus actuelles, ainsi que les modifications proposées, bloquent l'accès du compte principal à la ressource.

Pour chaque modification d'accès, Policy Simulator signale également les informations suivantes:

Compte principal, ressource et autorisation impliqués dans la tentative d'accès.
Nombre de jours pendant la période de relecture où le principal a tenté d'utiliser l'autorisation pour accéder à la ressource. Ce total n'inclut que les tentatives d'accès qui ont le même résultat que la tentative d'accès la plus récente.
Date de la dernière tentative d'accès.

Erreurs

Les erreurs suivantes peuvent entraîner l'échec d'une simulation:

Nombre maximal de simulations simultanées dépassé: l'utilisateur dispose déjà de 10 simulations en cours, ce qui est le nombre maximal de simulations en cours qu'un utilisateur peut avoir. Pour résoudre ce problème, attendez la fin de l'une des simulations en cours, puis réessayez d'exécuter la simulation.
Expiration du délai: l'exécution de la simulation a pris trop de temps et a expiré. Pour résoudre ce problème, essayez d'exécuter à nouveau la simulation.
Construction de simulation non valide: la stratégie de refus proposée n'est pas valide. Par exemple, la règle proposée contient une expression de condition non valide. Pour résoudre ce problème, corrigez la règle, puis réessayez.
Autorisation refusée: vous n'êtes pas autorisé à exécuter une simulation. Pour résoudre ce problème, assurez-vous de disposer des rôles requis, puis réessayez.

Types de comptes principaux compatibles

Policy Simulator pour les stratégies de refus n'examine que les journaux d'accès des types de comptes principaux suivants:

Comptes Google
Comptes de service

Lorsque vous simulez des stratégies de refus, Policy Simulator n'examine pas les journaux d'accès pour d'autres types de comptes principaux. Par conséquent, il ne signale pas si les modifications proposées apportées à vos règles ou liaisons auront une incidence sur l'accès de ces comptes principaux.

Étape suivante

Découvrez comment simuler une modification d'une stratégie de refus.
Découvrez d'autres outils Policy Intelligence.