Simulateur de stratégie pour les stratégies de limite d'accès des comptes principaux

Policy Simulator pour les stratégies de limite d'accès des comptes principaux (PAB, Principal Access Boundary) vous permet de voir comment une modification d'une stratégie de limite d'accès des comptes principaux ou d'une liaison peut affecter l'accès de vos comptes principaux avant de procéder à la modification. Vous pouvez utiliser Policy Simulator pour comprendre l'impact potentiel d'une modification d'une stratégie ou d'une liaison de limite d'accès des comptes principaux avant de l'appliquer.

Cette fonctionnalité n'évalue l'accès qu'en fonction des stratégies de limite d'accès des comptes principaux et des liaisons de stratégie.

Pour savoir comment simuler des modifications apportées à d'autres types de règles, consultez les pages suivantes:

Fonctionnement de Policy Simulator pour les stratégies de limite d'accès des comptes principaux

Policy Simulator pour les stratégies de limite d'accès des comptes principaux vous aide à déterminer l'impact d'une modification d'une stratégie de limite d'accès des comptes principaux ou d'une liaison de stratégie sur l'accès des comptes principaux de votre organisation.

Lorsque vous exécutez une simulation pour une stratégie de limite d'accès des comptes principaux ou une liaison de stratégie, Policy Simulator effectue les opérations suivantes:

  • Examine les journaux d'accès de l'organisation générés pendant la période de relecture dans le contexte des stratégies et liaisons de limite d'accès des comptes principaux actuelles, ainsi que de la stratégie ou de la liaison de limite d'accès des comptes principaux simulée.

  • Renvoie une série de modifications d'accès. Ces modifications d'accès indiquent quelles tentatives d'accès des journaux sont susceptibles de produire des résultats différents si vous avez appliqué la stratégie ou la liaison simulées.

Pour en savoir plus sur les modifications d'accès renvoyées par Policy Simulator, consultez la section Résultats de Policy Simulator.

Période de relecture

La période de relecture correspond à la période pour laquelle Policy Simulator obtient les journaux d'accès lors de l'exécution d'une simulation. Les journaux d'accès qui se produisent avant le premier jour de la période de relecture ou après le dernier jour de la période de relecture ne sont pas inclus dans la simulation.

En règle générale, le dernier jour de la période de relecture est un jour avant la simulation. Toutefois, dans certains cas, le dernier jour de la période de relecture peut être quelques jours avant la simulation. Les journaux d'accès qui se produisent après le dernier jour de la période de relecture ne sont pas inclus dans la simulation.

La période de relecture est de 90 jours. Si l'organisation n'existe pas depuis plus de 90 jours, Policy Simulator récupère toutes les tentatives d'accès depuis la création de l'organisation.

Résultats de Policy Simulator

Policy Simulator pour la limite d'accès des comptes principaux indique l'impact d'une modification proposée d'une stratégie ou d'une liaison de limite d'accès des comptes principaux sous la forme d'une liste de modifications d'accès. Une modification d'accès représente une tentative d'accès de la période de relecture dont le résultat serait probablement différent si la stratégie simulée était appliquée.

Pour chaque modification d'accès, Policy Simulator signale également les informations suivantes:

  • Le compte principal, l'autorisation et, le cas échéant, la ressource impliqués dans la tentative d'accès.
  • Nombre de jours pendant lesquels le principal a tenté d'utiliser l'autorisation pour accéder à la ressource au cours de la période de relecture. Ce total n'inclut que les tentatives d'accès qui ont le même résultat que la tentative d'accès la plus récente.
  • Date de la dernière tentative d'accès.

Modifications des accès

Un changement d'accès indique que, selon les stratégies de limite d'accès des comptes principaux pertinentes, l'accès d'un utilisateur est susceptible de changer si vous appliquez la stratégie ou la liaison simulée. Les modifications d'accès peuvent être de deux types : accès obtenu ou accès révoqué.

Lors du calcul des modifications d'accès, Policy Simulator pour la limite d'accès des comptes principaux n'évalue que les stratégies et les liaisons de limite d'accès des comptes principaux. Il n'évalue pas les autres types de règles.

Policy Simulator calcule les modifications d'accès à l'aide des informations suivantes:

  • Résultat de la dernière tentative d'accès
  • l'impact des stratégies et des liaisons de limite d'accès des comptes principaux actuelles ;
  • Impact des stratégies et liaisons de limite d'accès des comptes principaux proposées

Pour que l'accès soit obtenu, toutes les conditions suivantes doivent être remplies:

  • La dernière tentative d'accès a été bloquée
  • L'accès est bloqué par les stratégies et les liaisons de limite d'accès des comptes principaux actuelles
  • L'accès n'est pas bloqué par les stratégies et liaisons de limite d'accès des comptes principaux proposées

Pour que l'accès soit révoqué, toutes les conditions suivantes doivent être remplies:

  • La dernière tentative d'accès n'a pas été bloquée
  • L'accès n'est pas bloqué par les stratégies et liaisons de limite d'accès des comptes principaux actuelles
  • L'accès est bloqué par les stratégies et les liaisons de limite d'accès des comptes principaux proposées

Un ensemble de stratégies et de liaisons de limite d'accès des comptes principaux bloque l'accès d'un compte principal si toutes les conditions suivantes sont remplies:

  • les stratégies de limite d'accès des comptes principaux affectent l'accès du principal. En d'autres termes, le compte principal est soumis à au moins une stratégie de limite d'accès des comptes principaux dont la version d'application est compatible avec l'autorisation de la requête.
  • Aucune des stratégies de limite d'accès des comptes principaux auxquelles le compte principal est soumis n'inclut la ressource.

Un ensemble de stratégies et de liaisons de limite d'accès des comptes principaux ne bloque pas l'accès du compte principal si l'une des conditions suivantes est remplie:

  • les stratégies de limite d'accès des comptes principaux n'affectent pas l'accès du principal. En d'autres termes, le compte principal n'est soumis à aucune stratégie de limite d'accès des comptes principaux dont la version d'application est compatible avec l'autorisation de la requête.
  • Au moins l'une des stratégies de limite d'accès des comptes principaux auxquelles le compte principal est soumis inclut la ressource.

Erreurs

Les erreurs suivantes peuvent entraîner l'échec d'une simulation:

  • Expiration du délai: l'exécution de la simulation a pris trop de temps et a expiré. Pour résoudre ce problème, essayez d'exécuter à nouveau la simulation.
  • Construction de simulation non valide: la stratégie de limite d'accès des comptes principaux ou la liaison de stratégie de limite d'accès des comptes principaux proposées ne sont pas valides. Par exemple, la règle proposée comporte une expression de condition non valide ou la liaison proposée concerne un ensemble principal déjà lié au nombre maximal de règles. Pour résoudre le problème, corrigez la stratégie ou la liaison, puis réessayez.
  • Autorisation refusée: vous n'êtes pas autorisé à exécuter une simulation. Pour résoudre ce problème, assurez-vous de disposer des rôles requis, puis réessayez.

Types de comptes principaux compatibles

Policy Simulator pour les stratégies de limite d'accès des comptes principaux n'examine que les journaux d'accès des types de comptes principaux suivants:

  • Comptes Google
  • Comptes de service

Lorsque vous simulez des stratégies et des liaisons de limite d'accès des comptes principaux, Policy Simulator n'examine pas les journaux d'accès pour d'autres types de comptes principaux. Par conséquent, il ne signale pas si les modifications proposées apportées à vos règles ou liaisons auront une incidence sur l'accès de ces principaux.

Étape suivante