Halaman ini diterjemahkan oleh Cloud Translation API.

Policy Simulator untuk kebijakan penolakan

Policy Simulator untuk kebijakan penolakan memungkinkan Anda melihat bagaimana perubahan pada kebijakan penolakan IAM dapat memengaruhi akses akun utama sebelum Anda berkomitmen untuk melakukan perubahan. Anda dapat menggunakan Policy Simulator untuk memastikan bahwa perubahan yang Anda buat tidak akan menyebabkan akun utama kehilangan akses yang diperlukan.

Fitur ini hanya mengevaluasi kebijakan tolak. Untuk mempelajari cara menyimulasikan jenis kebijakan lainnya, lihat hal berikut:

Cara kerja Policy Simulator untuk kebijakan tolak

Policy Simulator untuk kebijakan tolak membantu Anda menentukan apakah perubahan pada kebijakan tolak akan memblokir akses yang digunakan akun utama Anda.

Saat Anda menjalankan simulasi untuk kebijakan penolakan, Policy Simulator akan melakukan hal berikut:

Mengambil log akses untuk organisasi yang dibuat selama periode pemutaran ulang. Periode pemutaran ulang minimal 30 hari.

Jika organisasi belum ada selama lebih dari 30 hari, Simulator Kebijakan akan mengambil semua log akses sejak organisasi dibuat.
Menentukan log akses yang relevan dengan simulasi. Log akses yang relevan adalah semua log akses yang mewakili upaya terbaru akun utama untuk menggunakan izin guna mengakses resource.
Untuk setiap log akses yang relevan, menentukan apakah kebijakan tolak saat ini, beserta perubahan yang diusulkan, akan mengizinkan akses yang dicoba. Proses ini disebut memutar ulang upaya akses.
Untuk setiap log akses, bandingkan status akses dari pemutaran ulang dengan status akses dalam log akses. Kemudian, Simulator Kebijakan melaporkan upaya akses historis yang tidak diblokir di log akses, tetapi diblokir dalam pemutaran ulang. Perbedaan ini, yang disebut perubahan akses, menunjukkan upaya akses mana yang akan diblokir jika kebijakan tolak simulasi telah diterapkan pada saat upaya tersebut dilakukan.

Catatan: Status akses dalam log akses mungkin tidak mencerminkan status akses saat ini. Dalam kasus ini, Simulator Kebijakan selalu membandingkan hasil pemutaran ulang dengan hasil dari log akses, bukan dengan status akses saat ini.

Periode replay

Periode pemutaran ulang adalah jangka waktu yang digunakan Policy Simulator untuk mendapatkan log akses saat menjalankan simulasi. Log akses yang terjadi sebelum hari pertama periode pemutaran ulang atau setelah hari terakhir periode pemutaran ulang tidak disertakan dalam simulasi.

Biasanya, hari terakhir periode pemutaran ulang adalah 1 hari sebelum simulasi. Namun, dalam beberapa kasus, hari terakhir periode replay dapat berlangsung hingga beberapa hari sebelum simulasi. Log akses yang terjadi setelah hari terakhir periode replay tidak disertakan dalam simulasi.

Periode pemutaran ulang minimal 30 hari. Jika organisasi belum ada selama lebih dari 30 hari, Policy Simulator akan mengambil semua upaya akses sejak organisasi dibuat.

Hasil Policy Simulator

Policy Simulator melaporkan dampak perubahan yang diusulkan pada kebijakan tolak sebagai daftar perubahan akses. Untuk kebijakan tolak, satu-satunya jenis perubahan akses yang dilaporkan Policy Simulator adalah perubahan akses Akses dicabut.

Policy Simulator melaporkan bahwa akses dicabut jika hal berikut berlaku:

Percobaan terbaru akun utama untuk mengakses resource berhasil
Kebijakan tolak saat ini, beserta perubahan yang diusulkan, memblokir akses akun utama ke resource

Untuk setiap perubahan akses, Policy Simulator juga melaporkan informasi berikut:

Akun utama, resource, dan izin yang terlibat dalam upaya akses.
Jumlah hari selama periode pemutaran ulang saat akun utama mencoba menggunakan izin untuk mengakses resource. Total ini hanya mencakup upaya akses yang memiliki hasil yang sama dengan upaya akses terbaru.
Tanggal upaya akses terbaru.

Error

Error berikut dapat menyebabkan simulasi gagal:

Simulasi serentak maksimum terlampaui: Pengguna sudah memiliki 10 simulasi yang sedang berlangsung, yang merupakan jumlah maksimum simulasi yang sedang berlangsung yang dapat dimiliki pengguna. Untuk mengatasinya, tunggu salah satu simulasi yang sedang berlangsung selesai, lalu coba jalankan simulasi lagi.
Waktu tunggu habis: Simulasi membutuhkan waktu terlalu lama untuk dijalankan dan waktu tunggunya habis. Untuk mengatasinya, coba jalankan simulasi lagi.
Konstruksi simulasi tidak valid: Kebijakan penolakan yang diusulkan tidak valid. Misalnya, kebijakan yang diusulkan memiliki ekspresi kondisi yang tidak valid. Untuk mengatasinya, perbaiki kebijakan dan coba lagi.
Izin ditolak: Anda tidak memiliki izin untuk menjalankan simulasi. Untuk menyelesaikannya, pastikan Anda diberi peran yang diperlukan, lalu coba lagi.

Jenis akun utama yang didukung

Policy Simulator untuk kebijakan penolakan hanya meninjau log akses untuk jenis akun utama berikut:

Akun Google
Akun layanan

Saat menyimulasikan kebijakan penolakan, Policy Simulator tidak meninjau log akses untuk jenis akun utama lainnya. Akibatnya, laporan ini tidak melaporkan apakah perubahan yang diusulkan pada kebijakan atau binding Anda akan memengaruhi akses prinsipal tersebut.

Langkah selanjutnya

Pelajari cara menyimulasikan perubahan pada kebijakan tolak.
Jelajahi alat Policy Intelligence lainnya.