Policy Simulator für Principal Access Boundary-Richtlinien

Mit dem Richtliniensimulator für Principal Access Boundary-Richtlinien (PAB) können Sie sehen, wie sich eine Änderung an einer Principal Access Boundary-Richtlinie oder Bindung auf den Zugriff Ihrer Hauptkonten auswirken kann, bevor Sie die Änderung vornehmen. Mit dem Policy Simulator können Sie die potenziellen Auswirkungen einer Änderung an einer Principal Access Boundary-Richtlinie oder -Bindung nachvollziehen, bevor Sie sie anwenden.

Mit dieser Funktion wird der Zugriff nur anhand von Richtlinien zur Begrenzung des Hauptkontozugriffs und Richtlinienbindungen ausgewertet.

Informationen zum Simulieren von Änderungen an anderen Richtlinientypen finden Sie hier:

• Policy Simulator für Zulassungsrichtlinien
• Policy Simulator für Ablehnungsrichtlinien
• Richtliniensimulator für Organisationsrichtlinien

Funktionsweise des Richtliniensimulators für Principal Access Boundary-Richtlinien

Mit dem Policy Simulator für Principal Access Boundary-Richtlinien können Sie ermitteln, wie sich eine Änderung an einer Principal Access Boundary-Richtlinie oder einer Richtlinienbindung auf den Zugriff von Hauptkonten in Ihrer Organisation auswirkt.

Wenn Sie eine Simulation für eine Principal Access Boundary-Richtlinie oder eine Richtlinienbindung ausführen, ergreift der Richtliniensimulator folgende Maßnahmen:

• Zugriffsprotokolle der Organisation, die während des Wiedergabezeitraums generiert wurden, werden im Kontext der aktuellen Principal Access Boundary-Richtlinien und ‑Bindungen sowie der simulierten Principal Access Boundary-Richtlinie oder ‑Bindung geprüft.

• Gibt eine Reihe von Zugriffsänderungen zurück. Diese Zugriffsänderungen zeigen, welche Zugriffsversuche aus den Protokollen wahrscheinlich andere Ergebnisse hätten, wenn Sie die simulierte Richtlinie oder Bindung angewendet hätten.

Weitere Informationen zu den Zugriffsänderungen, die der Richtliniensimulator zurückgibt, finden Sie unter Ergebnisse des Richtliniensimulators.

Wiedergabezeitraum

Der Wiedergabezeitraum ist der Zeitraum, für den der Richtliniensimulator Zugriffslogs abrufen kann, wenn eine Simulation ausgeführt wird. Zugriffsprotokolle, die vor dem ersten Tag oder nach dem letzten Tag des Wiedergabezeitraums auftreten, werden nicht in die Simulation einbezogen.

Der letzte Tag des Wiedergabezeitraums ist in der Regel ein Tag vor der Simulation. In einigen Fällen kann der letzte Tag des Wiedergabezeitraums jedoch einige Tage vor der Simulation liegen. Zugriffsprotokolle, die nach dem letzten Tag des Wiedergabezeitraums auftreten, werden nicht in die Simulation einbezogen.

Die Wiedergabezeit beträgt 90 Tage. Wenn die Organisation länger als 90 Tage nicht vorhanden war, ruft der Richtliniensimulator alle Zugriffsversuche seit der Erstellung der Organisation ab.

Ergebnisse des Richtliniensimulators

Der Policy Simulator für Principal Access Boundary meldet die Auswirkungen einer vorgeschlagenen Änderung an einer Principal Access Boundary-Richtlinie oder -Bindung als Liste von Zugriffsänderungen. Eine Zugriffsänderung stellt einen Zugriffsversuch aus dem Zeitraum der Wiederholung dar, der wahrscheinlich ein anderes Ergebnis hätte, wenn die simulierte Richtlinie angewendet würde.

Für jede Zugriffsänderung meldet der Richtliniensimulator außerdem die folgenden Informationen:

• Das Hauptkonto, die Berechtigung und, falls verfügbar, die Ressource, die am Zugriffsversuch beteiligt waren.
• Die Anzahl der Tage während des Wiedergabezeitraums, an denen das Hauptkonto versucht hat, die Berechtigung zum Zugriff auf die Ressource zu verwenden. Diese Gesamtzahl umfasst nur die Zugriffsversuche, die dasselbe Ergebnis wie der letzte Zugriffsversuch haben.
• Das Datum des letzten Zugriffsversuchs.

Zugriffsänderungen

Eine Zugriffsänderung gibt an, dass sich der Zugriff eines Nutzers auf Grundlage der relevanten Principal Access Boundary-Richtlinien wahrscheinlich ändert, wenn Sie die simulierte Richtlinie oder Bindung anwenden. Zugriffsänderungen können entweder Zugriff erhalten oder Zugriff widerrufen sein.

Beim Berechnen von Zugriffsänderungen bewertet Policy Simulator für die Begrenzung des Hauptkontozugriffs nur Richtlinien und Bindungen für die Begrenzung des Hauptkontozugriffs. Andere Richtlinientypen werden nicht bewertet.

Der Richtliniensimulator berechnet Zugriffsänderungen anhand der folgenden Informationen:

• Das Ergebnis des letzten Zugriffsversuchs
• Auswirkungen der aktuellen Principal Access Boundary-Richtlinien und ‑Bindungen
• Auswirkungen der vorgeschlagenen Principal Access Boundary-Richtlinien und ‑Bindungen

Damit Zugriff gewährt werden kann, müssen alle folgenden Bedingungen erfüllt sein:

• Der letzte Zugriffsversuch wurde blockiert
• Der Zugriff wird durch die aktuellen Principal Access Boundary-Richtlinien und -Bindungen blockiert
• Der Zugriff wird nicht durch die vorgeschlagenen Principal Access Boundary-Richtlinien und ‑Bindungen blockiert.

Damit der Zugriff entzogen werden kann, müssen alle folgenden Bedingungen erfüllt sein:

• Der letzte Zugriffsversuch wurde nicht blockiert
• Der Zugriff wird nicht durch die aktuellen Principal Access Boundary-Richtlinien und ‑Bindungen blockiert.
• Der Zugriff wird durch die vorgeschlagenen Principal Access Boundary-Richtlinien und -Bindungen blockiert

Mit einer Reihe von Principal Access Boundary-Richtlinien und ‑Bindungen wird der Zugriff eines Hauptkontos blockiert, wenn alle der folgenden Bedingungen erfüllt sind:

• Principal Access Boundary-Richtlinien wirken sich auf den Zugriff des Hauptkontos aus. Mit anderen Worten: Das Hauptkonto unterliegt mindestens einer Principal Access Boundary-Richtlinie mit einer Durchsetzungsversion, die die Berechtigung in der Anfrage unterstützt.
• Keine der Principal Access Boundary-Richtlinien, denen das Hauptkonto unterliegt, enthält die Ressource.

Eine Reihe von Principal Access Boundary-Richtlinien und ‑bindungen blockiert den Zugriff des Hauptkontos nicht, wenn eine der folgenden Bedingungen zutrifft:

• Principal Access Boundary-Richtlinien wirken sich nicht auf den Zugriff des Hauptkontos aus. Mit anderen Worten: Für das Hauptkonto gelten keine Principal Access Boundary-Richtlinien mit einer Durchsetzungsversion, die die Berechtigung in der Anfrage unterstützt.
• Mindestens eine der Principal Access Boundary-Richtlinien, die für das Hauptkonto gelten, enthält die Ressource.

Fehler

Die folgenden Fehler können zu einem Simulationsfehler führen:

• Zeitüberschreitung: Die Ausführung der Simulation hat zu lange gedauert und es ist eine Zeitüberschreitung aufgetreten. Um das Problem zu beheben, führen Sie die Simulation noch einmal aus.
• Ungültige Simulationskonstruktion: Die vorgeschlagene Principal Access Boundary-Richtlinie oder die Bindung der Principal Access Boundary-Richtlinie ist ungültig. Beispielsweise enthält die vorgeschlagene Richtlinie einen ungültigen Bedingungsausdruck oder die vorgeschlagene Bindung bezieht sich auf einen Principal-Set, der bereits an die maximale Anzahl von Richtlinien gebunden ist. Korrigieren Sie die Richtlinie oder Bindung und versuchen Sie es noch einmal.
• Zugriff verweigert: Sie sind nicht berechtigt, eine Simulation auszuführen. Prüfen Sie, ob Sie die erforderlichen Rollen haben, und versuchen Sie es noch einmal.

Unterstützte Hauptkontotypen

Im Policy Simulator für Richtlinien zur Begrenzung des Hauptkontozugriffs werden nur Zugriffsprotokolle für die folgenden Hauptkontotypen geprüft:

• Google-Konten
• Dienstkonten

Beim Simulieren von Principal Access Boundary-Richtlinien und ‑Bindungen werden im Richtliniensimulator keine Zugriffsprotokolle für andere Hauptkontotypen geprüft. Daher wird nicht gemeldet, ob sich die vorgeschlagenen Änderungen an Ihren Richtlinien oder Bindungen auf den Zugriff dieser Hauptkonten auswirken.

Nächste Schritte

• Änderungen an einer Principal Access Boundary-Richtlinie oder -Bindung simulieren
• Weitere Informationen zu Policy Intelligence-Tools.