Policy Simulator per i criteri di Principal Access Boundary

Policy Simulator per i criteri di confine di accesso delle entità (PAB) ti consente di vedere in che modo una modifica a un criterio di confine di accesso delle entità o a un'associazione potrebbe influire sull'accesso delle entità prima di impegnarti a apportare la modifica. Puoi utilizzare Policy Simulator per comprendere il potenziale impatto di una modifica a un criterio o a un'associazione di Principal Access Boundary prima di applicarla.

Questa funzionalità valuta l'accesso solo in base ai criteri di confine dell'accesso dell'entità e alle associazioni delle policy.

Per scoprire come simulare le modifiche ad altri tipi di norme, consulta quanto segue:

• Simulatore di criteri per i criteri di autorizzazione
• Simulatore di criteri per le policy di negazione
• Simulatore di criteri per i criteri dell'organizzazione

Come funziona Policy Simulator per i criteri di Principal Access Boundary

Policy Simulator per i criteri di confine dell'accesso dell'entità ti aiuta a determinare in che modo una modifica a un criterio o a un'associazione di criteri di confine dell'accesso dell'entità influisce sull'accesso delle entità della tua organizzazione.

Quando esegui una simulazione per un'associazione o un criterio di confine dell'accesso dell'entità, Policy Simulator esegue le seguenti operazioni:

• Esamina i log di accesso dell'organizzazione generati durante il periodo di riproduzione nel contesto delle attuali associazioni e delle policy di confine dell'accesso dell'entità e della policy o dell'associazione di confine dell'accesso dell'entità simulata.

• Restituisce una serie di modifiche dell'accesso. Queste modifiche di accesso mostrano quali tentativi di accesso provenienti dai log hanno maggiori probabilità di avere risultati diversi se si applica la regola o il vincolo simulato.

Per scoprire di più sulle modifiche di accesso restituite da Policy Simulator, consulta Risultati di Policy Simulator.

Periodo di ripetizione

Il periodo di riproduzione è il periodo di tempo per cui Policy Simulator ottiene i log di accesso durante l'esecuzione di una simulazione. I log di accesso che si verificano prima del primo giorno del periodo di riproduzione o dopo l'ultimo giorno del periodo di riproduzione non sono inclusi nella simulazione.

In genere, l'ultimo giorno del periodo di riproduzione è 1 giorno prima della simulazione. Tuttavia, in alcuni casi, l'ultimo giorno del periodo di riproduzione può essere qualche giorno prima della simulazione. I log di accesso che si verificano dopo l'ultimo giorno del periodo di riproduzione non sono inclusi nella simulazione.

Il periodo di ripetizione è di almeno 30 giorni. Se l'organizzazione non esiste da più di 30 giorni, Policy Simulator recupera tutti i tentativi di accesso dalla sua creazione.

Risultati di Policy Simulator

Policy Simulator per il confine dell'accesso dell'entità segnala l'impatto di una modifica proposta a un criterio o a un'associazione del confine dell'accesso dell'entità sotto forma di un elenco di modifiche di accesso. Una modifica dell'accesso rappresenta un tentativo di accesso dal periodo di riproduzione che probabilmente avrebbe un risultato diverso se venisse applicata la policy simulata.

Per ogni modifica dell'accesso, Policy Simulator riporta anche le seguenti informazioni:

• L'entità, l'autorizzazione e, se disponibile, la risorsa coinvolte nel tentativo di accesso.
• Il numero di giorni durante il periodo di riproduzione in cui l'entità ha tentato di utilizzare l'autorizzazione per accedere alla risorsa. Questo totale include solo i tentativi di accesso che hanno lo stesso risultato del tentativo di accesso più recente.
• La data del tentativo di accesso più recente.

Modifiche di accesso

Una modifica dell'accesso indica che, in base ai criteri di confine di accesso principale pertinenti, è probabile che l'accesso di un utente venga modificato se applichi il criterio o il vincolo simulato. Le modifiche dell'accesso possono essere di ottenimento o di revoca dell'accesso.

Quando calcola le modifiche di accesso, Policy Simulator per i limiti di accesso all'entità valuta solo le associazioni e i criteri di questo tipo di limiti. Non valuta altri tipi di criteri.

Policy Simulator calcola le modifiche di accesso utilizzando le seguenti informazioni:

• Il risultato dell'ultimo tentativo di accesso
• L'impatto delle associazioni e dei criteri di confine dell'accesso dell'entità attuali
• L'impatto delle associazioni e delle policy di confine dell'accesso dell'entità proposte

Affinché l'accesso venga ottenuto, devono essere soddisfatte tutte le seguenti condizioni:

• L'ultimo tentativo di accesso è stato bloccato
• L'accesso è bloccato dalle associazioni e dai criteri di confine dell'accesso dell'entità attuali
• L'accesso non è bloccato dalle associazioni e dai criteri di confine dell'accesso dell'entità proposti

Affinché l'accesso venga revocato, devono essere soddisfatte tutte le seguenti condizioni:

• L'ultimo tentativo di accesso non è stato bloccato
• L'accesso non è bloccato dalle associazioni e dai criteri di confine dell'accesso dell'entità attuali
• L'accesso è bloccato dalle associazioni e dai criteri di confine dell'accesso dell'entità proposti

Un insieme di criteri e associazioni di confine dell'accesso dell'entità blocca l'accesso di un'entità se tutte le seguenti condizioni sono vere:

• le policy di Principal Access Boundary influiscono sull'accesso dell'entità. In altre parole, l'entità è soggetta ad almeno un criterio di confine di accesso dell'entità che ha una versione di applicazione che supporta l'autorizzazione nella richiesta.
• Nessuno dei criteri di Principal Access Boundary a cui è soggetta l'entità include la risorsa.

Un insieme di associazioni e criteri di confine dell'accesso dell'entità non bloccano l'accesso dell'entità se una delle seguenti condizioni è vera:

• i criteri di Principal Access Boundary non influiscono sull'accesso dell'entità. In altre parole, l'entità non è soggetta a criteri di confine di accesso dell'entità che hanno una versione di applicazione che supporta l'autorizzazione nella richiesta.
• Almeno una delle policy di Principal Access Boundary a cui è soggetta l'entità include la risorsa.

Errori

I seguenti errori possono causare il fallimento di una simulazione:

• Timeout: l'esecuzione della simulazione ha richiesto troppo tempo ed è scaduto il tempo di attesa. Per risolvere il problema, prova a eseguire di nuovo la simulazione.
• Costruzione della simulazione non valida: il criterio di confine dell'accesso dell'entità o l'associazione del criterio di confine dell'accesso dell'entità proposti non è valido. Ad esempio, il criterio proposto ha un'espressione di condizione non valida o la associazione proposta è per un insieme principale già associato al numero massimo di criteri. Per risolvere il problema, correggi il criterio o il vincolo e riprova.
• Autorizzazione negata: non disponi dell'autorizzazione per eseguire una simulazione. Per risolvere il problema, assicurati di disporre dei ruoli richiesti e riprova.

Tipi di entità principali supportati

Policy Simulator per le policy di Principal Access Boundary esamina solo i log di accesso per i seguenti tipi di entità:

• Account Google
• Account di servizio

Quando simula le associazioni e i criteri di Principal Access Boundary, Policy Simulator non esamina i log di accesso per altri tipi di entità. Di conseguenza, non indica se le modifiche proposte alle tue norme o associazioni influiranno sull'accesso di questi principali.

Passaggi successivi

• Scopri come simulare una modifica a un criterio o a un'associazione di Principal Access Boundary.
• Esplora altri strumenti di Policy Intelligence.