通过拒绝政策的 Policy Simulator,您可以先了解对 IAM 拒绝政策所做的更改可能会对主账号的访问权限有何影响,然后再决定是否进行更改。您可以使用 Policy Simulator 来确保所做的更改不会导致主账号失去所需的访问权限。
此功能仅评估拒绝政策。如需了解如何模拟其他政策类型,请参阅以下内容:
用于拒绝政策的 Policy Simulator 的运作方式
适用于拒绝政策的 Policy Simulator 可帮助您确定对拒绝政策所做的更改是否会阻止主账号使用访问权限。
为拒绝政策运行模拟时,Policy Simulator 会执行以下操作:
检索组织在重放期间生成的访问日志。重放期至少为 30 天。
如果组织已不存在超过 30 天,则 Policy Simulator 会检索自该组织创建以来的所有访问日志。
确定哪些访问日志与模拟相关。相关访问日志是指所有表示主账号最近尝试使用某项权限访问资源的访问日志。
对于每个相关的访问日志,确定当前的拒绝政策以及建议的更改是否会允许尝试访问。此过程称为“重放”访问尝试。
对于每个访问日志,将重放的访问状态与访问日志中的访问状态进行比较。然后,Policy Simulator 会报告在访问日志中未被阻止,但在重放中被阻止的所有历史访问尝试。这些差异称为访问权限更改,显示了如果在尝试时已实施模拟拒绝政策,哪些访问尝试会被阻止。
重放期
重放期是指 Policy Simulator 在运行模拟时获取访问日志的时间段。模拟中不会包含重放期第一天之前或最后一天之后发生的访问日志。
通常,重放期间的最后一天是模拟前一天。不过,在某些情况下,重放期间的最后一天最早可在模拟前几天。模拟中不会包含在重放期最后一天之后发生的访问日志。
重放期至少为 30 天。如果组织已不存在超过 30 天,则 Policy Simulator 会检索自组织创建以来的所有访问尝试。
Policy Simulator 结果
Policy Simulator 会将建议的对拒绝政策的更改的影响报告为访问权限更改列表。对于拒绝政策,Policy Simulator 报告的唯一访问权限更改类型是访问权限被撤消访问权限更改。
如果满足以下条件,Policy Simulator 会报告访问权限已被撤消:
- 主账号最近一次尝试访问资源时成功
- 当前的拒绝政策以及建议的更改会阻止主账号访问资源
对于每项访问权限更改,Policy Simulator 还会报告以下信息:
- 访问尝试中涉及的主账号、资源和权限。
- 主账号在重放期间尝试使用相应权限访问资源的天数。此总数仅包含与最近一次访问尝试具有相同结果的访问尝试。
- 最近一次尝试访问的日期。
错误
以下错误可能会导致模拟失败:
- 超出并发模拟数量上限:用户已有 10 个正在进行的模拟,这是用户可以拥有的正在进行的模拟数量上限。如需解决此问题,请等待正在进行的模拟之一完成,然后尝试再次运行模拟。
- 超时:模拟运行时间过长并超时。如需解决此问题,请尝试再次运行模拟。
- 模拟构建无效:提议的拒绝政策无效。例如,提议的政策包含无效的条件表达式。如需解决此问题,请更正政策,然后重试。
- 权限被拒:您无权运行模拟。如需解决此问题,请确保您已被授予所需的角色,然后重试。
受支持的主账号类型
用于拒绝政策的 Policy Simulator 仅会查看以下类型的主账号的访问日志:
- Google 账号
- 服务账号
在模拟拒绝政策时,Policy Simulator 不会查看任何其他主账号类型的访问日志。因此,它不会报告对政策或绑定提出的更改是否会影响这些主账号的访问权限。
后续步骤
- 了解如何模拟拒绝政策的更改。
- 探索其他 Policy Intelligence 工具。