Kebijakan Simulator untuk Identity and Access Management memungkinkan Anda melihat dampak perubahan kebijakan izin terhadap akses akun utama sebelum berkomitmen untuk melakukan perubahan tersebut. Anda dapat menggunakan Policy Simulator untuk memastikan bahwa perubahan yang Anda buat tidak akan menyebabkan akun utama kehilangan akses yang diperlukan.
Cara kerja Simulator Kebijakan
Policy Simulator membantu Anda menentukan dampak perubahan terhadap kebijakan izin bagi pengguna. Untuk melakukannya, pengujian tidak hanya membandingkan izin dalam kebijakan izinkan saat ini dan yang diusulkan. Sebagai gantinya, sistem ini menggunakan log akses untuk berfokus pada perubahan izin yang benar-benar akan memengaruhi pengguna Anda.
Untuk mengetahui pengaruh perubahan pada kebijakan izinkan terhadap akses akun utama, Simulator Kebijakan menentukan percobaan akses mana dari 90 hari terakhir yang memiliki hasil yang berbeda berdasarkan kebijakan izin yang diusulkan dan kebijakan izin saat ini. Kemudian, laporan ini melaporkan hasil ini sebagai daftar perubahan akses.
Saat menyimulasikan perubahan pada kebijakan izinkan, Anda memberikan kebijakan izin yang diusulkan dengan perubahan yang ingin Anda uji. Kebijakan izin yang diusulkan ini dapat diterapkan untuk semua resource yang menerima kebijakan izinkan.
Saat Anda menjalankan simulasi, Policy Simulator akan melakukan hal berikut:
Mengambil log akses untuk jenis resource yang didukung dari 90 hari terakhir. Tempat log ini dikumpulkan bergantung pada resource yang kebijakan izinkannya Anda simulasikan:
- Jika Anda menyimulasikan kebijakan izinkan untuk project atau organisasi, Simulator Kebijakan akan mengambil log akses untuk project atau organisasi tersebut.
- Jika Anda menyimulasikan kebijakan izinkan untuk jenis resource yang berbeda, Simulator Kebijakan akan mengambil log akses untuk organisasi atau project induk resource tersebut.
- Jika Anda menyimulasikan beberapa kebijakan izin resource sekaligus, Simulator Kebijakan akan mengambil log akses untuk project atau organisasi umum terdekat dari resource.
Jika resource induk tidak ada selama 90 hari, Simulator Kebijakan akan mengambil semua upaya akses sejak resource dibuat.
Mengevaluasi ulang atau replays upaya akses yang dicatat dalam log akses menggunakan kebijakan izin saat ini, dengan mempertimbangkan semua kebijakan izin yang diwarisi dan kebijakan izin apa pun yang ditetapkan pada resource turunan.
Memutar ulang upaya akses dengan kebijakan izinkan saat ini memastikan bahwa Simulator Kebijakan hanya melaporkan perubahan akses yang merupakan hasil dari proposal kebijakan izin, dan tidak melaporkan perubahan yang merupakan hasil dari perubahan kebijakan izinkan lainnya yang telah Anda lakukan dalam 90 hari terakhir.
Memutar ulang upaya akses menggunakan kebijakan izinkan yang diusulkan, sekali lagi dengan mempertimbangkan semua kebijakan izin yang diwariskan dan setiap kebijakan izin yang ditetapkan pada resource turunan.
Membandingkan hasil dari kedua replay dan melaporkan perbedaannya, yang menunjukkan pengaruh perubahan yang diusulkan terhadap akses akun utama.
Contoh: Perubahan kebijakan pengujian
Misalnya Anda ingin menghapus peran Organization Viewer (roles/resourcemanager.organizationViewer) pengguna. Anda ingin menggunakan Policy Simulator untuk mengonfirmasi bahwa perubahan ini tidak akan memengaruhi akses pengguna.
Anda menggunakan Konsol Google Cloud, REST API, atau Google Cloud CLI untuk menyimulasikan perubahan pada kebijakan izinkan.
Saat Anda memulai simulasi, Policy Simulator akan melakukan hal berikut:
- Mengambil log akses untuk organisasi Anda dari 90 hari terakhir.
- Memutar ulang upaya akses menggunakan kebijakan izin organisasi saat ini, dengan pengguna memiliki peran Organization Viewer.
- Memutar ulang upaya akses lagi menggunakan kebijakan izinkan yang diusulkan, saat pengguna tidak memiliki peran Organization Viewer.
- Membandingkan hasil dari kedua replay dan melaporkan perbedaan di antara keduanya.
Kemudian, Anda dapat meninjau hasilnya untuk memahami pengaruh perubahan yang diusulkan terhadap akses pengguna.
Contoh: Pewarisan kebijakan
Bayangkan Anda ingin menyimulasikan perubahan pada kebijakan izinkan untuk folder,
Engineering, dalam organisasi dengan struktur berikut:
Perlu diketahui bahwa Engineering memiliki resource induk, yaitu organisasi example.com,
yang mewarisi kebijakan izin dari resource induk. Akun ini juga memiliki tiga project turunan yang dapat memiliki kebijakan izin sendiri: example-prod, example-dev, dan example-test.
Anda memberikan kebijakan izin yang diusulkan dan menjalankan simulasi. Saat Anda memulai simulasi, Policy Simulator akan melakukan hal berikut:
- Mengambil semua log yang relevan selama 90 hari terakhir. Karena
Engineeringadalah folder, Policy Simulator mengambil log dari organisasi induknya,example.com. - Memutar ulang upaya akses menggunakan kebijakan izin saat ini dari folder, kebijakan izin yang diwarisi dari
example.com, dan kebijakan izin project turunan. - Memutar ulang setiap upaya akses lagi menggunakan kebijakan izin yang diusulkan, kebijakan izinkan yang diwarisi dari
example.com, dan kebijakan izin project turunan. - Membandingkan hasil dari replay dan melaporkan perbedaan di antara keduanya.
Kemudian, Anda dapat meninjau hasilnya untuk memahami pengaruh perubahan yang diusulkan terhadap akses pengguna.
Meninjau hasil Simulator Kebijakan
Policy Simulator melaporkan dampak perubahan yang diusulkan terhadap kebijakan izin sebagai daftar perubahan akses. Perubahan akses menunjukkan upaya akses dari 90 hari terakhir yang akan memiliki hasil berbeda berdasarkan kebijakan izin yang diusulkan dibandingkan dengan kebijakan izin saat ini.
Policy Simulator juga mencantumkan semua error yang terjadi selama simulasi, yang membantu Anda mengidentifikasi potensi celah dalam simulasi.
Ada beberapa jenis perubahan akses:
| Perubahan akses | Detail |
|---|---|
| Akses dicabut | Akun utama memiliki akses berdasarkan kebijakan izin saat ini, tetapi tidak akan lagi memiliki akses setelah perubahan yang diusulkan. |
| Akses berpotensi dicabut |
Hasil ini dapat terjadi karena alasan berikut:
|
| Akses diperoleh | Akun utama tidak memiliki akses berdasarkan kebijakan izin saat ini, tetapi akan memiliki akses setelah perubahan yang diusulkan. |
| Akses yang berpotensi diperoleh |
Hasil ini dapat terjadi karena alasan berikut:
|
| Akses tidak diketahui | Akses akun utama berdasarkan kebijakan izin saat ini dan kebijakan izin yang diusulkan tidak diketahui, dan perubahan yang diusulkan dapat memengaruhi akses akun utama. |
| Error | Terjadi error saat simulasi berlangsung. |
Hasil tidak diketahui
Jika hasil akses tidak diketahui, artinya Simulator Kebijakan tidak memiliki cukup informasi untuk mengevaluasi upaya akses sepenuhnya.
Ada beberapa alasan mengapa hasilnya bisa tidak diketahui:
- Info peran ditolak: Akun utama yang menjalankan simulasi tidak memiliki izin untuk melihat detail peran satu atau beberapa peran yang disimulasikan.
- Tidak dapat mengakses kebijakan: Akun utama yang menjalankan simulasi tidak memiliki izin untuk mendapatkan kebijakan izinkan untuk satu atau beberapa resource yang terlibat dalam simulasi.
- Info keanggotaan ditolak: Akun utama yang menjalankan simulasi tidak memiliki izin untuk melihat anggota satu atau beberapa grup yang disertakan dalam kebijakan izin simulasi.
- Kondisi tidak didukung: Ada binding peran bersyarat dalam kebijakan izin yang sedang diuji. Policy Simulator tidak mendukung kondisi, sehingga binding tidak dapat dievaluasi.
Jika hasil akses tidak diketahui, hasil Simulator Kebijakan melaporkan alasan akses tidak diketahui, serta peran tertentu, kebijakan izinkan, info keanggotaan, dan kondisional yang tidak dapat diakses atau dievaluasi.
Error
Policy Simulator juga melaporkan error yang terjadi selama simulasi. Anda perlu meninjau error ini agar dapat memahami potensi celah dalam simulasi.
Ada beberapa jenis error yang mungkin dilaporkan Simulator Kebijakan:
Error operasi: Simulasi tidak dapat dijalankan.
Jika pesan error menyatakan bahwa simulasi tidak dapat dijalankan karena ada terlalu banyak log dalam project atau organisasi Anda, maka Anda tidak dapat menjalankan simulasi pada resource.
Jika Anda mendapatkan error ini karena alasan lain, coba jalankan simulasi lagi. Jika Anda tetap tidak dapat menjalankan simulasi, hubungi policy-simulator-feedback@google.com.
Error pengulangan: Pengulangan upaya akses tunggal tidak berhasil, sehingga Simulator Kebijakan tidak dapat menentukan apakah hasil upaya akses akan berubah berdasarkan kebijakan izin yang diusulkan.
Error jenis resource yang tidak didukung: Kebijakan izinkan yang diusulkan memengaruhi izin yang terkait dengan jenis resource yang tidak didukung, yang tidak dapat disimulasikan oleh Policy Simulator. Policy Simulator mencantumkan izin ini dalam hasil simulasi sehingga Anda mengetahui izin mana yang tidak dapat disimulasikan.
Ukuran replay log maksimum
Jumlah maksimum log akses yang dapat diputar ulang oleh simulasi adalah 5.000. Jika ada lebih dari 5.000 log akses untuk project atau organisasi Anda selama 90 hari terakhir, simulasi akan gagal.
Untuk mempelajari cara Policy Simulator memutuskan log akses yang akan diambil, lihat Cara kerja Simulator Kebijakan di halaman ini.
Tingkat dukungan untuk jenis resource
Policy Simulator tidak mendukung semua jenis resource dalam simulasi. Hal ini memengaruhi perubahan izin yang dapat disimulasikan.
Jenis resource yang didukung
Policy Simulator hanya mendukung jenis resource berikut:
| Layanan | Jenis resource yang didukung |
|---|---|
| Cloud Storage |
|
| Pub/Sub |
|
| Cloud SQL |
|
| Spanner |
|
| Resource Manager |
|
| Compute Engine |
|
Jenis resource yang tidak didukung
Jenis resource yang tidak didukung adalah jenis resource yang log aksesnya tidak dapat diambil oleh Simulator Kebijakan. Jika Policy Simulator tidak dapat mengambil log akses untuk resource, Simulator Kebijakan tidak dapat mengevaluasi bagaimana kebijakan izin yang diusulkan dapat memengaruhi upaya akses tersebut.
Jika perubahan yang diusulkan pada kebijakan izinkan melibatkan izin untuk jenis resource
yang tidak didukung, Simulator Kebijakan akan mencantumkan izin tersebut dalam
hasil simulasi sehingga Anda mengetahui izin mana yang tidak dapat disimulasikan.
Misalnya, Policy Simulator tidak mendukung model AI Platform. Jadi,
jika kebijakan izinkan yang diusulkan menghapus peran dengan izin aiplatform.models.list, hasil untuk simulasi tersebut akan menyatakan bahwa peran tersebut tidak dapat menyimulasikan
izin aiplatform.models.list.
Langkah selanjutnya
- Pelajari cara menyimulasikan perubahan pada kebijakan izinkan.
- Pelajari alat Policy Intelligence lainnya.