Questa pagina è stata tradotta dall'API Cloud Translation.

Policy Simulator per le policy di negazione

Policy Simulator per i criteri di rifiuto ti consente di vedere in che modo una modifica a un criterio di rifiuto IAM potrebbe influire sull'accesso di un'entità prima di eseguire il commit della modifica. Puoi utilizzare Policy Simulator per assicurarti che le modifiche apportate non causino la perdita di accesso da parte di un principale.

Questa funzionalità valuta solo le policy di rifiuto. Per scoprire come simulare altri tipi di criteri, consulta quanto segue:

Come funziona Policy Simulator per le policy di negazione

Policy Simulator per le policy di negazione ti aiuta a determinare se una modifica a una policy di negazione bloccherà l'accesso utilizzato dalle tue entità.

Quando esegui una simulazione per un criterio di negazione, Policy Simulator esegue quanto segue:

Recupera i log di accesso per l'organizzazione generati durante il periodo di riproduzione. Il periodo di ripetizione è di almeno 30 giorni.

Se l'organizzazione non esiste da più di 30 giorni, Policy Simulator recupera tutti i log di accesso dalla sua creazione.
Determina quali log di accesso sono pertinenti per la simulazione. I log di accesso pertinenti sono tutti i log di accesso che rappresentano il tentativo più recente di un'entità di utilizzare un'autorizzazione per accedere a una risorsa.
Per ogni log di accesso pertinente, determina se i criteri di rifiuto attuali, insieme alle modifiche proposte, consentirebbero il tentativo di accesso. Questa procedura è chiamata riproduzione dei tentativi di accesso.
Per ogni log di accesso, confronta lo stato di accesso dalla riproduzione con lo stato di accesso nei log di accesso. Dopodiché, Policy Simulator segnala tutti i tentativi di accesso storici che non sono stati bloccati nel log di accesso, ma sono stati bloccati nella riproduzione. Queste differenze, chiamate modifiche di accesso, mostrano quali tentativi di accesso sarebbero stati bloccati se il criterio di rifiuto simulato fosse stato in vigore al momento del tentativo.

Nota: lo stato di accesso in un log di accesso potrebbe non riflettere lo stato di accesso corrente. In questi casi, Policy Simulator confronta sempre i risultati della riproduzione con quelli del log di accesso, non con lo stato di accesso corrente.

Periodo di ripetizione

Il periodo di riproduzione è il periodo di tempo per cui Policy Simulator ottiene i log di accesso durante l'esecuzione di una simulazione. I log di accesso che si verificano prima del primo giorno del periodo di riproduzione o dopo l'ultimo giorno del periodo di riproduzione non sono inclusi nella simulazione.

In genere, l'ultimo giorno del periodo di riproduzione è 1 giorno prima della simulazione. Tuttavia, in alcuni casi, l'ultimo giorno del periodo di riproduzione può essere fino a qualche giorno prima della simulazione. I log di accesso che si verificano dopo l'ultimo giorno del periodo di riproduzione non sono inclusi nella simulazione.

Il periodo di ripetizione è di almeno 30 giorni. Se l'organizzazione non esiste da più di 30 giorni, Policy Simulator recupera tutti i tentativi di accesso dalla sua creazione.

Risultati di Policy Simulator

Policy Simulator riporta l'impatto di una modifica proposta a una policy di negazione sotto forma di elenco di modifiche di accesso. Per le policy di negazione, l'unico tipo di modifica dell'accesso registrato da Policy Simulator è la modifica dell'accesso Accesso revocato.

Policy Simulator segnala che l'accesso è revocato se le seguenti condizioni sono vere:

L'ultimo tentativo dell'entità di accedere alla risorsa è andato a buon fine
Le attuali policy di rifiuto, insieme alle modifiche proposte, bloccano l'accesso dell'entità alla risorsa

Per ogni modifica dell'accesso, Policy Simulator riporta anche le seguenti informazioni:

L'entità, la risorsa e l'autorizzazione coinvolte nel tentativo di accesso.
Il numero di giorni durante il periodo di riproduzione in cui l'entità ha tentato di utilizzare l'autorizzazione per accedere alla risorsa. Questo totale include solo i tentativi di accesso che hanno lo stesso risultato del tentativo di accesso più recente.
La data del tentativo di accesso più recente.

Errori

I seguenti errori possono causare il fallimento di una simulazione:

Numero massimo di simulazioni simultanee superato: l'utente ha già 10 simulazioni in corso, ovvero il numero massimo di simulazioni in corso che un utente può avere. Per risolvere il problema, attendi il completamento di una delle simulazioni in corso, quindi riprova a eseguirla.
Timeout: l'esecuzione della simulazione ha richiesto troppo tempo ed è scaduto il tempo di attesa. Per risolvere il problema, prova a eseguire di nuovo la simulazione.
Costruzione della simulazione non valida: la policy di negazione proposta non è valida. Ad esempio, il criterio proposto ha un'espressione della condizione non valida. Per risolvere il problema, correggi il criterio e riprova.
Autorizzazione negata: non disponi dell'autorizzazione per eseguire una simulazione. Per risolvere il problema, assicurati di disporre dei ruoli richiesti e riprova.

Tipi di entità principali supportati

Policy Simulator per le policy di negazione esamina solo i log di accesso per i seguenti tipi di entità:

Account Google
Account di servizio

Quando si simulano le policy di negazione, Policy Simulator non esamina i log di accesso per altri tipi di entità. Di conseguenza, non indica se le modifiche proposte ai criteri o alle associazioni influiranno sull'accesso di queste entità.

Passaggi successivi

Scopri come simulare una modifica a una policy di rifiuto.
Esplora altri strumenti di Policy Intelligence.