本頁面由 Cloud Translation API 翻譯而成。

使用 Policy Simulator 測試拒絕政策變更

本頁說明如何使用 Policy Simulator 模擬 IAM 拒絕政策的變更。此外，本文也會說明如何解讀模擬結果，以及如何套用模擬的拒絕政策 (如果選擇這麼做)。

這項功能只會根據拒絕政策評估存取權。

如要瞭解如何模擬其他類型的政策，請參閱下列文章：

事前準備

Enable the Policy Simulator and Identity and Access Management APIs.
Enable the APIs
選用：瞭解如何使用拒絕政策模擬工具。

如要取得測試拒絕政策變更所需的權限，請要求管理員授予您機構的拒絕管理員 (roles/iam.denyAdmin) IAM 角色。如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

模擬拒絕政策的步驟如下：

您可以透過下列方式啟動模擬：

模擬新的拒絕政策：
1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面，然後點選「拒絕」分頁標籤。
前往 IAM
1. 選取專案、資料夾或機構。
2. 請按照步驟建立拒絕政策，但輸入拒絕政策詳細資料後，請勿點選「建立」。請改為點選「測試政策」。
模擬編輯拒絕政策：
1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面，然後點選「拒絕」分頁標籤。
  
  前往「IAM」頁面
2. 選取專案、資料夾或機構。
3. 在「政策 ID」欄中，按一下要編輯的政策 ID。
4. 按一下「Edit」(編輯)。
5. 更新拒絕政策：
  - 如要變更政策顯示名稱，請編輯「顯示名稱」欄位。
  - 如要編輯現有的拒絕規則，請按一下該規則，然後修改規則的主體、例外主體、遭拒權限、例外權限或拒絕條件。
  - 如要移除拒絕規則，請找到要刪除的拒絕規則，然後按一下該列中的「刪除」。
  - 如要新增拒絕規則，請按一下「新增拒絕規則」，然後建立拒絕規則，就像建立拒絕政策時一樣。
6. 更新拒絕政策後，請按一下「測試變更」。

按一下「測試政策」或「測試變更」後，Policy Simulator 會開始模擬，並將您重新導向「拒絕模擬報表」頁面。即使離開這個頁面，進度也不會遺失。

開始模擬後， Google Cloud 控制台會產生模擬正在執行的通知。

模擬完成後， Google Cloud 控制台會產生另一則通知，告知模擬作業已完成。收到這則通知後，您可以查看模擬報表。

每位使用者最多可同時進行 10 項模擬。

模擬報表包含下列資訊：

查看模擬報告後，您可以採取下列動作：

匯出模擬結果：如要將模擬結果匯出為 CSV 檔案，請按一下「匯出結果」。

按一下這個按鈕後，系統會將含有模擬報表的 CSV 檔案下載至您的電腦。
套用模擬政策變更：如要套用模擬政策或政策變更，請按一下「設定政策」。

按一下這個按鈕後，控制台會設定模擬政策。 Google Cloud
編輯模擬政策變更：如要進一步變更模擬政策或政策異動，請按一下「修改政策」。

按一下這個按鈕後，控制台會將您重新導向至拒絕政策編輯器。 Google Cloud

或者，您也可以按一下「取消」離開模擬報表，而不採取任何行動。

「拒絕模擬報表」頁面中的表格會列出過去 14 天內執行的所有模擬作業。這份清單是每位使用者專屬的，無法共用。

如要查看「拒絕模擬報表」頁面，請按照下列步驟操作：

頁面會列出每項模擬作業的政策、模擬作業的開始日期，以及模擬作業的狀態。

模擬作業可能處於下列狀態：