プリンシパル アクセス境界ポリシーのポリシー シミュレーター

プリンシパル アクセス境界（PAB）ポリシーの Policy Simulator では、変更を commit する前に、プリンシパル アクセス境界ポリシーまたはバインディングの変更がプリンシパルのアクセス権にどのように影響するかを確認できます。Policy Simulator を使用すると、プリンシパル アクセス境界ポリシーまたはバインディングに変更を適用する前に、変更がもたらす可能性のある影響を把握できます。

この機能は、プリンシパル アクセス境界ポリシーとポリシー バインディングに基づいてのみアクセスを評価します。

他のポリシータイプの変更をシミュレートする方法については、以下をご覧ください。

• 許可ポリシーの Policy Simulator
• 拒否ポリシーの Policy Simulator
• 組織のポリシーの Policy Simulator

プリンシパル アクセス境界ポリシーの Policy Simulator の仕組み

プリンシパル アクセス境界ポリシー用の Policy Simulator を使用すると、プリンシパル アクセス境界ポリシーまたはポリシー バインディングの変更が組織内のプリンシパルのアクセスにどのように影響するかを判断できます。

プリンシパル アクセス境界ポリシーまたはポリシー バインディングのシミュレーションを実行すると、Policy Simulator は次の処理を行います。

• 現在のプリンシパル アクセス境界ポリシーとバインディング、およびシミュレートされたプリンシパル アクセス境界ポリシーまたはバインディングのコンテキストで、再生期間中に生成された組織のアクセスログを確認します。

• 一連のアクセス権の変更を返します。これらのアクセス権の変更は、シミュレートされたポリシーまたはバインディングを適用した場合に結果が異なる可能性が高いログ内のアクセス試行を示します。

Policy Simulator が返すアクセス権の変更の詳細については、Policy Simulator の結果をご覧ください。

再生期間

リプレイ期間は、Policy Simulator がシミュレーションの実行時にアクセスログを取得する期間です。再生期間の初日より前または再生期間の最終日より後に発生したアクセスログは、シミュレーションに含まれません。

通常、再生期間の最終日はシミュレーションの 1 日前です。ただし、シミュレーションの開始日より数日前に、再生期間の最終日が設定される場合があります。再生期間の最終日以降に発生したアクセスログはシミュレーションに含まれません。

リプレイ期間は 30 日以上です。組織が 30 日間存在していない場合、Policy Simulator は、組織が作成されてからのすべてのアクセス試行を取得します。

Policy Simulator の結果

プリンシパル アクセス境界用の Policy Simulator は、プリンシパル アクセス境界ポリシーまたはバインディングに対する提案された変更の影響を、アクセス変更のリストとしてレポートします。アクセス権の変更とは、シミュレートされたポリシーが適用された場合に結果が異なる可能性が高い、リプレイ期間のアクセス試行を表します。

Policy Simulator は、アクセス権の変更ごとに次の情報を報告します。

• アクセス試行に関係するプリンシパル、権限、リソース（利用可能な場合）。
• プリンシパルがリソースへのアクセス権限の使用を試みたリプレイ期間の日数。この合計には、直近のアクセス試行と同じ結果のアクセス試行のみが含まれます。
• 前回アクセス試行した日付。

アクセス権の変更

アクセスの変更は、関連するプリンシパル アクセス境界ポリシーに基づいて、シミュレートされたポリシーまたはバインディングを適用すると、ユーザーのアクセス権が変更される可能性があることを示します。アクセス権の変更は、アクセス権の付与またはアクセス権の取り消しのいずれかです。

プリンシパル アクセス境界に対する Policy Simulator は、アクセスの変更を計算するときに、プリンシパル アクセス境界ポリシーとバインディングのみを評価します。他のポリシータイプは評価されません。

Policy Simulator は、次の情報を使用することでアクセス権の変更を計算します。

• 前回アクセス試行の結果
• 現在のプリンシパル アクセス境界ポリシーとバインディングの影響
• 提案されたプリンシパル アクセス境界ポリシーとバインディングの影響

アクセス権を取得するには、次の条件をすべて満たす必要があります。

• 前回のアクセス試行がブロックされた
• 現在のプリンシパル アクセス境界ポリシーとバインディングによってアクセスがブロックされている
• 提案されたプリンシパル アクセス境界ポリシーとバインディングによってアクセスがブロックされていない

アクセス権が取り消されるには、次の条件をすべて満たしている必要があります。

• 前回アクセス試行はブロックされなかった
• 現在のプリンシパル アクセス境界ポリシーとバインディングによってアクセスがブロックされていない
• 提案されたプリンシパル アクセス境界ポリシーとバインディングによってアクセスがブロックされている

プリンシパル アクセス境界ポリシーとバインディングのセットは、次の条件がすべて満たされている場合に、プリンシパルのアクセスをブロックします。

• プリンシパル アクセス境界ポリシーはプリンシパルのアクセスに影響します。つまり、プリンシパルは、リクエストの権限をサポートする適用バージョンを持つプリンシパル アクセス境界ポリシーの対象となります。
• プリンシパルが適用されるプリンシパル アクセス境界ポリシーにリソースが含まれていません。

プリンシパル アクセス境界ポリシーとバインディングのセットは、次のいずれかが true の場合、プリンシパルのアクセスをブロックしません。

• プリンシパル アクセス境界ポリシーは、プリンシパルのアクセスには影響しません。つまり、リクエストの権限をサポートする適用バージョンを持つプリンシパル アクセス境界ポリシーがプリンシパルに適用されません。
• プリンシパルが適用されるプリンシパル アクセス境界ポリシーの少なくとも 1 つにリソースが含まれています。

エラー

次のエラーにより、シミュレーションが失敗する可能性があります。

• タイムアウト: シミュレーションの実行に時間がかかりすぎてタイムアウトしました。この問題を解決するには、もう一度シミュレーションを実行します。
• 無効なシミュレーションの作成: 提案されたプリンシパル アクセス境界ポリシーまたはプリンシパル アクセス境界ポリシー バインディングが無効です。たとえば、提案されたポリシーに無効な条件式が含まれている場合や、提案されたバインディングが、すでにポリシーの最大数にバインドされているプリンシパル セットに関連付けられている場合です。解決するには、ポリシーまたはバインディングを修正して、もう一度お試しください。
• 権限が拒否されました: シミュレーションを実行する権限がありません。解決するには、必要なロールが付与されていることを確認してから、もう一度お試しください。

サポートされているプリンシパル タイプ

プリンシパル アクセス境界ポリシーの Policy Simulator は、次のタイプのプリンシパルのアクセスログのみを確認します。

• Google アカウント
• サービス アカウント

プリンシパル アクセス境界ポリシーとバインディングをシミュレートする場合、Policy Simulator は他のプリンシパル タイプのアクセスログを確認しません。そのため、ポリシーまたはバインディングに対する提案された変更がこれらのプリンシパルのアクセスに影響するかどうかはレポートされません。

次のステップ

• プリンシパル アクセス境界ポリシーまたはバインディングの変更をシミュレートする方法を確認する。
• その他の Policy Intelligence ツールを調べる。