借助主账号访问边界 (PAB) 政策的 Policy Simulator,您可以先了解对主账号访问边界政策或绑定所做的更改可能会对主账号的访问权限有何影响,然后再决定是否进行更改。您可以使用 Policy Simulator 来了解更改主账号访问边界政策或绑定后可能产生的影响,然后再决定是否进行更改。
此功能仅根据主账号访问边界政策和政策绑定评估访问权限。
如需了解如何模拟对其他政策类型的更改,请参阅以下内容:
适用于主账号访问边界政策的政策模拟器的运作方式
主账号访问边界政策的 Policy Simulator 可帮助您确定对主账号访问边界政策或政策绑定所做的更改对贵组织中主账号的访问权限有何影响。
为主账号访问边界政策或政策绑定运行模拟时,Policy Simulator 会执行以下操作:
在当前主账号访问边界政策和绑定以及模拟的主账号访问边界政策或绑定的背景下,查看组织在重放期间生成的访问日志。
返回一系列访问权限变更。这些访问权限变更会显示,如果您应用了模拟的政策或绑定,日志中的哪些访问尝试可能会产生不同的结果。
如需详细了解 Policy Simulator 返回的访问权限更改,请参阅 Policy Simulator 结果。
重放期
重放期是指 Policy Simulator 在运行模拟时获取访问日志的时间段。模拟中不会包含重放期第一天之前或最后一天之后发生的访问日志。
通常,重放期间的最后一天是模拟前一天。不过,在某些情况下,重放期间的最后一天可能会在模拟前几天。模拟中不会包含在重放期最后一天之后发生的访问日志。
重放期至少为 30 天。如果组织已不存在超过 30 天,则 Policy Simulator 会检索自组织创建以来的所有访问尝试。
Policy Simulator 结果
主账号访问边界 Policy Simulator 会将建议的对主账号访问边界政策或绑定的更改的影响报告为访问权限更改列表。访问权限更改表示重放期间的一次访问尝试,如果应用模拟的政策,其结果可能会有所不同。
对于每项访问权限更改,Policy Simulator 还会报告以下信息:
- 访问尝试所涉及的主账号、权限以及(如果有)资源。
- 主账号在重放期间尝试使用相应权限访问资源的天数。此总数仅包含与最近一次访问尝试具有相同结果的访问尝试。
- 最近一次尝试访问的日期。
访问权限更改
访问权限变更表示,根据相关的主账号访问边界政策,如果您应用模拟的政策或绑定,用户的访问权限可能会发生变化。访问权限变更可以是获得访问权限或撤消访问权限。
在计算访问权限变更时,Principal Access Boundary 的 Policy Simulator 仅会评估 Principal Access Boundary 政策和绑定。而不会评估其他类型的政策。
Policy Simulator 会使用以下信息计算访问权限更改:
- 最近一次尝试访问的结果
- 当前主账号访问边界政策和绑定的效用
- 建议的主账号访问边界政策和绑定的效果
如需获得访问权限,必须满足以下所有条件:
- 最近一次尝试访问时遭到屏蔽
- 当前的主账号访问边界政策和绑定阻止了访问
- 访问权限不会被建议的主账号访问边界政策和绑定所阻止
如需撤消访问权限,必须满足以下所有条件:
- 最近一次尝试访问未被屏蔽
- 当前的主账号访问边界政策和绑定不会阻止访问
- 建议的主账号访问边界政策和绑定会阻止访问
如果所有以下条件均成立,则一组主账号访问边界政策和绑定会阻止主账号的访问:
- 主账号访问边界政策会影响主账号的访问权限。换句话说,主账号受至少一项主账号访问边界政策约束,并且该政策的强制执行版本支持请求中的权限。
- 主账号受约束的所有主账号访问边界政策都不包含相应资源。
如果满足以下任一条件,一组主账号访问边界政策和绑定不会阻止主账号的访问:
- 主账号访问边界政策不会影响主账号的访问权限。换句话说,主账号不受任何主账号访问边界政策的约束,这些政策的强制执行版本支持请求中的权限。
- 主账号受约束的主账号访问边界政策中至少有一项包含相应资源。
错误
以下错误可能会导致模拟失败:
- 超时:模拟运行时间过长并超时。如需解决此问题,请尝试再次运行模拟。
- 模拟构建无效:提议的主账号访问边界政策或主账号访问边界政策绑定无效。例如,提议的政策包含无效的条件表达式,或者提议的绑定适用于已绑定到政策数量上限的正文集。如需解决此问题,请更正政策或绑定,然后重试。
- 权限被拒:您无权运行模拟。如需解决此问题,请确保您已被授予所需的角色,然后重试。
受支持的主账号类型
适用于主账号访问边界政策的 Policy Simulator 仅会查看以下类型的主账号的访问日志:
- Google 账号
- 服务账号
在模拟主账号访问边界政策和绑定时,Policy Simulator 不会查看任何其他主账号类型的访问日志。因此,它不会报告对政策或绑定的建议更改是否会影响这些主账号的访问权限。
后续步骤
- 了解如何模拟对主账号访问边界政策或绑定的更改。
- 探索其他 Policy Intelligence 工具。