このページは Cloud Translation API によって翻訳されました。

拒否ポリシーの Policy Simulator

拒否ポリシーの Policy Simulator では、変更を commit する前に、IAM 拒否ポリシーの変更がプリンシパルのアクセス権にどのように影響するかを確認できます。Policy Simulator を使用して、変更を行うことによりプリンシパルが必要なアクセス権を失わないようにできます。

この機能は拒否ポリシーのみを評価します。他のポリシータイプのシミュレーション方法については、以下をご覧ください。

拒否ポリシーの Policy Simulator の仕組み

拒否ポリシーの Policy Simulator を使用すると、拒否ポリシーの変更によってプリンシパルが使用しているアクセスがブロックされるかどうかを判断できます。

拒否ポリシーのシミュレーションを実行すると、Policy Simulator は次の処理を行います。

再生期間中に生成された組織のアクセスログを取得します。リプレイ期間は 30 日以上です。

組織が 30 日間存在していない場合、Policy Simulator は組織の作成以降のすべてのアクセスログを取得します。
シミュレーションに関連するアクセスログを特定します。関連するアクセスログは、プリンシパルが権限を使用してリソースにアクセスしようとした最新の試行を表すすべてのアクセスログです。
関連するアクセスログごとに、現在の拒否ポリシーと提案された変更で、試行されたアクセスが許可されるかどうかを判断します。このプロセスはアクセス試行のリプレイと呼ばれます。
アクセスログごとに、リプレイのアクセス状態とアクセスログのアクセス状態を比較します。その後、Policy Simulator は、アクセスログではブロックされなかったが、リプレイではブロックされた過去のアクセス試行をレポートします。これらの違い（アクセス権の変更）は、シミュレートされた拒否ポリシーが試行時に適用されていた場合にブロックされたアクセス試行を示します。

注: アクセスログのアクセス状態は、現在のアクセス状態を反映していない場合があります。このような場合、Policy Simulator は常に、リプレイの結果をアクセスログの結果と比較します。現在のアクセス状態と比較することはありません。

再生期間

リプレイ期間は、Policy Simulator がシミュレーションの実行時にアクセスログを取得する期間です。再生期間の初日より前または再生期間の最終日より後に発生したアクセスログは、シミュレーションに含まれません。

通常、再生期間の最終日はシミュレーションの 1 日前です。ただし、シミュレーションの開始日より数日前まで、再生期間の最終日が設定される場合があります。再生期間の最終日以降に発生したアクセスログはシミュレーションに含まれません。

リプレイ期間は 30 日以上です。組織が 30 日間存在していない場合、Policy Simulator は、組織が作成されてからのすべてのアクセス試行を取得します。

Policy Simulator の結果

Policy Simulator は、拒否ポリシーに対して提案された変更の影響をアクセス変更のリストとしてレポートします。拒否ポリシーの場合、Policy Simulator がレポートするアクセス権の変更の種類は、アクセス権の取り消しのみです。

Policy Simulator は、次の条件が満たされた場合に、アクセス権が取り消されたことを報告します。

プリンシパルがリソースへのアクセスを最後に試したときに成功した
現在の拒否ポリシーと提案された変更により、プリンシパルがリソースにアクセスできなくなる

Policy Simulator は、アクセス権の変更ごとに次の情報を報告します。

アクセス試行に関係するプリンシパル、リソース、権限。
プリンシパルがリソースへのアクセス権限の使用を試みたリプレイ期間の日数。この合計には、直近のアクセス試行と同じ結果のアクセス試行のみが含まれます。
前回アクセス試行した日付。

エラー

次のエラーにより、シミュレーションが失敗する可能性があります。

同時実行可能なシミュレーションの最大数を超えている: ユーザーがすでに 10 件の進行中のシミュレーションを実行しています。これは、ユーザーが実行できる進行中のシミュレーションの最大数です。この問題を解決するには、進行中のいずれかのシミュレーションが完了するまで待ってから、シミュレーションをもう一度実行します。
タイムアウト: シミュレーションの実行に時間がかかりすぎてタイムアウトしました。この問題を解決するには、もう一度シミュレーションを実行します。
無効なシミュレーションの作成: 提案された拒否ポリシーが無効です。たとえば、提案されたポリシーには無効な条件式があります。この問題を解決するには、ポリシーを修正してからもう一度お試しください。
権限が拒否されました: シミュレーションを実行する権限がありません。解決するには、必要なロールが付与されていることを確認してから、もう一度お試しください。

サポートされているプリンシパルタイプ

拒否ポリシーの Policy Simulator は、次のタイプのプリンシパルのアクセスログのみを確認します。

Google アカウント
サービスアカウント

拒否ポリシーをシミュレートする場合、Policy Simulator は他のプリンシパルタイプのアクセスログを確認しません。そのため、ポリシーまたはバインディングに対する提案された変更がこれらのプリンシパルのアクセスに影響するかどうかは報告されません。

次のステップ

拒否ポリシーの変更をシミュレートする方法を確認する。
その他の Policy Intelligence ツールを調べる。