I criteri di autorizzazione di Policy Simulator per Identity and Access Management ti consentono di vedere in che modo una modifica a un criterio di autorizzazione potrebbe influire sull'accesso di un'entità prima di impegnarti ad apportare la modifica. Puoi utilizzare Policy Simulator per assicurarti che le modifiche apportate non causino la perdita dell'accesso necessario all'entità.
Come funziona Policy Simulator
Policy Simulator ti aiuta a determinare l'impatto che una modifica a un criterio di autorizzazione potrebbe avere per i tuoi utenti. A questo scopo, non si limita a confrontare le autorizzazioni nei criteri di autorizzazione attuali e proposti. Utilizza invece i log di accesso per concentrarti sulle modifiche delle autorizzazioni che potrebbero effettivamente interessare i tuoi utenti.
Per scoprire in che modo una modifica a un criterio di autorizzazione potrebbe influire sull'accesso di un'entità, Policy Simulator determina quali tentativi di accesso degli ultimi 90 giorni hanno risultati diversi in base al criterio di autorizzazione proposto e all'attuale criterio di autorizzazione. Quindi, registra questi risultati come elenco delle modifiche dell'accesso.
Quando simula una modifica a un criterio di autorizzazione, fornisci un criterio di autorizzazione proposto con le modifiche che vuoi testare. Il criterio di autorizzazione proposto può riguardare qualsiasi risorsa che accetta criteri di autorizzazione.
Quando esegui una simulazione, Policy Simulator svolge le seguenti operazioni:
Recupera i log degli accessi per i tipi di risorse supportati degli ultimi 90 giorni. L'origine di raccolta di questi log dipende dalla risorsa di cui stai simulando il criterio di autorizzazione:
- Se stai simulando un criterio di autorizzazione per un progetto o un'organizzazione, Policy Simulator recupera i log degli accessi per tale progetto o organizzazione.
- Se stai simulando un criterio di autorizzazione per un tipo diverso di risorsa, Policy Simulator recupera i log di accesso per l'organizzazione o il progetto padre di quella risorsa.
- Se stai simulando i criteri di autorizzazione di più risorse contemporaneamente, Policy Simulator recupera i log di accesso per l'organizzazione o il progetto comune più vicino alle risorse.
Se la risorsa padre non esiste da 90 giorni, Policy Simulator recupera tutti i tentativi di accesso dalla creazione della risorsa.
Rivaluta, o replays, i tentativi di accesso registrati nei log degli accessi utilizzando gli attuali criteri di autorizzazione, tenendo conto di eventuali criteri di autorizzazione ereditati e di eventuali criteri di autorizzazione impostati sulle risorse discendenti.
La ripetizione dei tentativi di accesso con il criterio di autorizzazione attuale garantisce che Policy Simulator segnali solo le modifiche di accesso che derivano dal criterio di autorizzazione proposto e non segnala modifiche che sono il risultato di altre modifiche al criterio di autorizzazione apportate negli ultimi 90 giorni.
Ripete i tentativi di accesso utilizzando il criterio di autorizzazione proposto, ancora una volta tenendo conto di eventuali criteri di autorizzazione ereditati e di eventuali criteri di autorizzazione impostati sulle risorse discendenti.
Confronta i risultati delle due riproduzioni e segnala le differenze, il che mostra in che modo le modifiche proposte potrebbero influire sull'accesso dell'entità.
Esempio: testare le modifiche ai criteri
Immagina di voler rimuovere il ruolo Visualizzatore organizzazione (roles/resourcemanager.organizationViewer) di un utente. Vuoi utilizzare Policy Simulator per confermare che questa modifica non influisca sull'accesso dell'utente.
Puoi utilizzare la console Google Cloud, l'API REST o Google Cloud CLI per simulare la modifica al criterio di autorizzazione.
Quando avvii la simulazione, Policy Simulator effettua le seguenti operazioni:
- Recupera i log degli accessi per la tua organizzazione degli ultimi 90 giorni.
- Riproduce i tentativi di accesso utilizzando l'attuale criterio di autorizzazione dell'organizzazione, in cui l'utente dispone del ruolo Visualizzatore organizzazione.
- Riproduce di nuovo i tentativi di accesso utilizzando il criterio di autorizzazione proposto, nel caso in cui l'utente non disponga del ruolo Visualizzatore organizzazione.
- Confronta i risultati delle due riproduzioni e segnala le differenze.
Puoi quindi esaminare i risultati per capire in che modo la modifica proposta influisce sull'accesso dell'utente.
Esempio: ereditarietà dei criteri
Immagina di voler simulare una modifica a un criterio di autorizzazione per una cartella, Engineering, in un'organizzazione con la seguente struttura:
Tieni presente che Engineering ha una risorsa padre, l'organizzazione example.com,
da cui eredita i criteri di autorizzazione. Include inoltre tre progetti secondari che possono
avere i propri criteri di autorizzazione: example-prod, example-dev e
example-test.
Fornisci un criterio di autorizzazione proposto ed esegui la simulazione. Quando avvii la simulazione, Policy Simulator effettua le seguenti operazioni:
- Recupera tutti i log pertinenti degli ultimi 90 giorni. Poiché
Engineeringè una cartella, Policy Simulator recupera i log dall'organizzazione principaleexample.com. - Ripete i tentativi di accesso utilizzando l'attuale criterio di autorizzazione della cartella, il criterio di autorizzazione ereditato da
example.come i criteri di autorizzazione dei progetti figlio. - Ripete ogni tentativo di accesso utilizzando il criterio di autorizzazione proposto, il criterio di autorizzazione ereditato da
example.come i criteri di autorizzazione dei progetti figlio. - Confronta i risultati delle riproduzioni e segnala le differenze.
Puoi quindi esaminare i risultati per capire in che modo la modifica proposta influisce sull'accesso dell'utente.
Revisione dei risultati di Policy Simulator
Policy Simulator segnala l'impatto di una modifica proposta a un criterio di autorizzazione sotto forma di elenco di modifiche di accesso. Una modifica dell'accesso rappresenta un tentativo di accesso degli ultimi 90 giorni che avrebbe un risultato diverso nel criterio di autorizzazione proposto rispetto all'attuale criterio di autorizzazione.
Policy Simulator elenca anche eventuali errori che si sono verificati durante la simulazione, il che consente di identificare potenziali lacune nella simulazione.
Esistono diversi tipi di modifiche all'accesso:
| Modifica accesso | Dettagli |
|---|---|
| Accesso revocato | L'entità aveva accesso in base all'attuale criterio di autorizzazione, ma non lo avrà più dopo la modifica proposta. |
| Accesso potenzialmente revocato |
Questo risultato può verificarsi per i seguenti motivi:
|
| Accesso ottenuto | L'entità non aveva accesso in base all'attuale criterio di autorizzazione, ma avrà accesso dopo la modifica proposta. |
| Accesso potenzialmente ottenuto |
Questo risultato può verificarsi per i seguenti motivi:
|
| Accesso sconosciuto | L'accesso dell'entità sia rispetto al criterio di autorizzazione attuale sia al criterio di autorizzazione proposto è sconosciuto e le modifiche proposte potrebbero influire sull'accesso dell'entità. |
| Errore | Si è verificato un errore durante la simulazione. |
Risultati sconosciuti
Se il risultato di un accesso è sconosciuto, significa che Policy Simulator non disponeva di informazioni sufficienti per valutare completamente il tentativo di accesso.
Un risultato può essere sconosciuto per diversi motivi:
- Informazioni sul ruolo rifiutate: l'entità che esegue la simulazione non aveva l'autorizzazione per visualizzare i dettagli dei ruoli per uno o più ruoli simulati.
- Impossibile accedere al criterio: l'entità che esegue la simulazione non aveva l'autorizzazione per ottenere il criterio di autorizzazione per una o più risorse coinvolte nella simulazione.
- Informazioni sull'appartenenza negate: l'entità che esegue la simulazione non aveva l'autorizzazione per visualizzare i membri di uno o più gruppi inclusi nel criterio di autorizzazione simulato.
- Condizione non supportata: il criterio di autorizzazione in fase di test prevede un'associazione di ruolo condizionale. Policy Simulator non supporta le condizioni, pertanto non è stato possibile valutare l'associazione.
Se un risultato dell'accesso è sconosciuto, i risultati di Policy Simulator segnalano il motivo sconosciuto, oltre ai ruoli specifici, ai criteri di autorizzazione, alle informazioni sull'iscrizione e alle condizioni condizionali a cui non è stato possibile accedere o valutare.
Errori
Policy Simulator segnala anche eventuali errori che si sono verificati durante la simulazione. È importante esaminare questi errori per comprendere le potenziali lacune nella simulazione.
Esistono diversi tipi di errori che Policy Simulator potrebbe segnalare:
Errori di operazione: non è stato possibile eseguire la simulazione.
Se il messaggio di errore indica che non è stato possibile eseguire la simulazione perché sono presenti troppi log nel progetto o nell'organizzazione, non puoi eseguire una simulazione sulla risorsa.
Se visualizzi questo errore per un altro motivo, prova a eseguire di nuovo la simulazione. Se non riesci ancora a eseguire la simulazione, contatta policy-simulator-feedback@google.com.
Errori di riproduzione: una ripetizione di un singolo tentativo di accesso non è andata a buon fine, quindi Policy Simulator non ha potuto determinare se il risultato del tentativo di accesso sarebbe cambiato in base al criterio di autorizzazione proposto.
Errori relativi ai tipi di risorse non supportati: il criterio di autorizzazione proposto influisce sulle autorizzazioni associate a un tipo di risorsa non supportata, che Policy Simulator non può simulare. Policy Simulator elenca queste autorizzazioni nei risultati della simulazione per farti sapere quali autorizzazioni non è stato possibile simulare.
Dimensioni massime di riproduzione log
Il numero massimo di log degli accessi che una simulazione può riprodurre è 5000. Se sono presenti più di 5000 log degli accessi per il progetto o l'organizzazione degli ultimi 90 giorni, la simulazione non andrà a buon fine.
Per scoprire come Policy Simulator decide quali log degli accessi recuperare, vedi Come funziona Policy Simulator in questa pagina.
Livelli di supporto per i tipi di risorse
Policy Simulator non supporta tutti i tipi di risorse nelle simulazioni. Questo influisce sulle modifiche alle autorizzazioni che è in grado di simulare.
Tipi di risorse supportati
Policy Simulator supporta solo i seguenti tipi di risorse:
| Servizio | Tipi di risorse supportati |
|---|---|
| Cloud Storage |
|
| Pub/Sub |
|
| Cloud SQL |
|
| Spanner |
|
| Resource Manager |
|
| Compute Engine |
|
Tipi di risorse non supportati
I tipi di risorse non supportati sono tipi di risorse per i quali Policy Simulator non può recuperare i log di accesso. Se Policy Simulator non riesce a recuperare i log di accesso per una risorsa, non può valutare in che modo il criterio di autorizzazione proposto potrebbe influire sui tentativi di accesso.
Se una modifica proposta a un criterio di autorizzazione riguarda autorizzazioni per un tipo di risorsa non supportato, Policy Simulator elenca queste autorizzazioni nei risultati della simulazione per farti sapere quali autorizzazioni non è stato possibile simulare.
Ad esempio, Policy Simulator non supporta i modelli di AI Platform. Pertanto,
se un criterio di autorizzazione proposto rimuove un ruolo con l'autorizzazione aiplatform.models.list, i risultati della simulazione indicano che non è stato possibile simulare
l'autorizzazione aiplatform.models.list.
Passaggi successivi
- Scopri come simulare una modifica a un criterio di autorizzazione.
- Esplora altri strumenti di Policy Intelligence.