Esta página foi traduzida pela API Cloud Translation.

Simulador de política para políticas de negação

Simulador de política para políticas de negação permite que você veja como uma alteração em uma política de negação do IAM pode afetar o acesso de um principal antes de se comprometer a fazer a mudança. É possível usar o Simulador de política para verificar se as alterações feitas não causarão a perda do acesso necessário.

Esse recurso avalia apenas políticas de negação. Para saber como simular outros tipos de política, consulte:

Como o Simulador de políticas de negação funciona

Simulador de política para políticas de negação ajuda a determinar se uma mudança em uma política de negação vai bloquear o acesso que seus principais estão usando.

Quando você executa uma simulação para uma política de negação, Simulador de política faz o seguinte:

Recupera os registros de acesso da organização que foram gerados durante o período de repetição. O período de repetição é de pelo menos 30 dias.

Se a organização não existir há mais de 30 dias, o Simulador de política vai recuperar todos os registros de acesso desde a criação da organização.
Determina quais registros de acesso são relevantes para a simulação. Os registros de acesso relevantes são todos os registros de acesso que representam a tentativa mais recente de um principal de usar uma permissão para acessar um recurso.
Para cada registro de acesso relevante, determina se as políticas de negação atual, junto com as mudanças propostas, permitiriam a tentativa de acesso. Esse processo é chamado de repetição das tentativas de acesso.
Para cada registro de acesso, compara o estado de acesso da repetição com o estado de acesso nos registros de acesso. Em seguida, o Simulador de política informa todas as tentativas de acesso anteriores que não foram bloqueadas no registro de acesso, mas foram bloqueadas na reprodução. Essas diferenças, chamadas de alterações de acesso, mostram quais tentativas de acesso teriam sido bloqueadas se a política de negação simulada estivesse em vigor no momento da tentativa.

Observação: o estado de acesso em um registro de acesso pode não refletir o estado de acesso atual. Nesses casos, o Simulador de política sempre compara os resultados da reprodução com o resultado do registro de acesso, não com o estado de acesso atual.

Período de repetição

O período de repetição é o período em que o Simulador de política acessa registros de acesso ao executar uma simulação. Os registros de acesso que ocorrem antes do primeiro dia do período de repetição ou após o último dia do período de repetição não são incluídos na simulação.

Normalmente, o último dia do período de repetição é um dia antes da simulação. No entanto, em alguns casos, o último dia do período de repetição pode ser até alguns dias antes da simulação. Os registros de acesso que ocorrem após o último dia do período de repetição não são incluídos na simulação.

O período de repetição é de pelo menos 30 dias. Se a organização não existir há mais de 30 dias, o Simulador de política vai recuperar todas as tentativas de acesso desde que a organização foi criada.

Resultados do Simulador de política

O simulador de política informa o impacto de uma alteração proposta em uma política de negação como uma lista de alterações de acesso. Para políticas de negação, o único tipo de mudança de acesso que o Simulador de política informa é a mudança de acesso revogado.

O simulador de política informa que o acesso foi revogado se as seguintes condições forem verdadeiras:

A tentativa mais recente do principal de acessar o recurso foi bem-sucedida
As políticas de negação atuais, junto com as mudanças propostas, bloqueiam o acesso do participante ao recurso.

Para cada mudança de acesso, o simulador de política também informa as seguintes informações:

O participante, o recurso e a permissão envolvidos na tentativa de acesso.
O número de dias durante o período de repetição em que o principal tentou usar a permissão para acessar o recurso. Esse total inclui apenas as tentativas de acesso que têm o mesmo resultado que a mais recente.
A data da tentativa de acesso mais recente.

Erros

Os seguintes erros podem causar a falha de uma simulação:

Número máximo de simulações simultâneas excedido: o usuário já tem 10 simulações em andamento, que é o número máximo de simulações em andamento que um usuário pode ter. Para resolver, aguarde a conclusão de uma das simulações em andamento e tente executar a simulação novamente.
Tempo limite: a simulação demorou muito para ser executada e expirou. Para resolver, tente executar a simulação novamente.
Construção de simulação inválida: a política de negação proposta é inválida. Por exemplo, a política proposta tem uma expressão de condição inválida. Para resolver, corriga a política e tente novamente.
Permissão negada: você não tem permissão para executar uma simulação. Para resolver, verifique se você tem os papéis necessários e tente novamente.

Tipos de principais com suporte

Simulador de política para políticas de negação analisa apenas os registros de acesso dos seguintes tipos de principais:

Contas do Google
Contas de serviço

Ao simular políticas de negação, Simulador de política não analisa os registros de acesso de outros tipos de principais. Como resultado, ele não informa se as propostas de mudanças nas políticas ou vinculações vão afetar o acesso deles.

A seguir

Saiba como simular uma mudança em uma política de negação.
Explore outras ferramentas do Policy Intelligence.