Tester les modifications de stratégie de refus avec Policy Simulator

Cette page explique comment simuler une modification de stratégie de refus IAM à l'aide de Policy Simulator. Elle explique également comment interpréter les résultats de la simulation et comment appliquer la simulation de stratégie de refus si vous le souhaitez.

Cette fonctionnalité n'évalue l'accès qu'en fonction des stratégies de refus.

Pour savoir comment simuler d'autres types de règles, consultez les ressources suivantes :

• Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator
• Tester les modifications apportées aux stratégies de limite d'accès des comptes principaux avec Policy Simulator
• Tester les modifications de rôle avec Policy Simulator

Avant de commencer

• Enable the Policy Simulator and Identity and Access Management APIs.

  Enable the APIs

• (Facultatif) Découvrez le fonctionnement de Policy Simulator pour les stratégies de refus.

Rôles requis

Pour obtenir les autorisations nécessaires pour tester les modifications apportées aux stratégies de refus, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des refus (roles/iam.denyAdmin) dans l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Simuler une modification d'une stratégie de refus

La simulation d'une stratégie de refus implique les étapes suivantes :

1. Démarrer la simulation
2. En attente de la fin de la simulation
3. Afficher le rapport de simulation
4. Prendre des mesures en fonction de la simulation

Lancer une simulation

Vous pouvez lancer une simulation de différentes manières :

• Simulez une nouvelle stratégie de refus :

  1. Dans la console Google Cloud , accédez à l'onglet Refuser de la page IAM.

  Accéder à IAM

  1. Sélectionnez un projet, un dossier ou une organisation.
  2. Suivez la procédure permettant de créer une stratégie de refus, mais ne cliquez pas sur Créer après avoir saisi les détails de la stratégie de refus. Cliquez plutôt sur Tester la règle.

• Simulez la modification d'une stratégie de refus :

  1. Dans la console Google Cloud , accédez à l'onglet Refuser de la page IAM.

     Accéder à IAM

  2. Sélectionnez un projet, un dossier ou une organisation.

  3. Dans la colonne ID de la stratégie, cliquez sur l'ID de la stratégie que vous souhaitez modifier.

  4. Cliquez sur edit Modifier.

  5. Mettez à jour la stratégie de refus :

     • Pour modifier le nom à afficher de la règle, modifiez le champ Nom à afficher.
     • Pour modifier une règle de refus existante, cliquez sur la règle de refus, puis modifiez les comptes principaux de la règle, les comptes principaux soumis à des exceptions, les autorisations refusées, les autorisations d'exception ou la condition de refus.
     • Pour supprimer une règle de refus, recherchez la règle de refus que vous souhaitez supprimer, puis cliquez sur delete Supprimer dans la ligne correspondante.
     • Pour ajouter une règle de refus, cliquez sur Ajouter une règle de refus, puis créez une règle de refus comme vous le feriez pour créer une stratégie de refus.

  6. Lorsque vous avez terminé de mettre à jour la stratégie de refus, cliquez sur Tester les modifications.

Lorsque vous cliquez sur Tester la règle ou Tester les modifications, Policy Simulator lance la simulation et vous redirige vers la page Rapports de simulation de refus. Vous pouvez quitter cette page sans perdre votre progression.

Attendre la fin d'une simulation

Une fois la simulation lancée, la console Google Cloud génère une notification indiquant que la simulation est en cours d'exécution.

Une fois la simulation terminée, la console Google Cloud génère une autre notification indiquant que la simulation est terminée. Lorsque vous recevez cette notification, vous pouvez afficher le rapport de simulation.

Chaque utilisateur peut avoir jusqu'à 10 simulations en cours.

Afficher un rapport de simulation

1. Dans la console Google Cloud , accédez à la page Rapports de simulation de refus.

   Accéder aux rapports de simulation de refus

2. Recherchez la simulation dont vous souhaitez consulter le rapport, puis cliquez sur Afficher le rapport sur la ligne correspondante.

Le rapport de simulation contient les éléments suivants :

• Aperçu des détails de la simulation, y compris la stratégie simulée, l'action simulée et l'heure de la simulation.
• Un bouton Afficher la règle ou Afficher les modifications de la règle, qui affiche la règle simulée au format JSON lorsque vous cliquez dessus. Si vous simulez la modification de la règle, la différence entre la règle actuelle et la règle simulée peut également s'afficher.
• Une section Résultats de la simulation, qui affiche les résultats de la simulation. Pour savoir comment interpréter ces résultats, consultez Résultats de Policy Simulator.

Agir en fonction d'une simulation

Après avoir examiné un rapport de simulation, vous pouvez effectuer les actions suivantes :

• Exporter les résultats de la simulation : pour exporter les résultats d'une simulation au format CSV, cliquez sur Exporter les résultats.

  Lorsque vous cliquez sur ce bouton, un fichier CSV contenant les rapports de simulation est téléchargé sur votre ordinateur.

• Appliquer la simulation de modification de stratégie : pour appliquer la stratégie ou la modification de stratégie simulée, cliquez sur Définir la stratégie.

  Lorsque vous cliquez sur ce bouton, la console Google Cloud définit la règle simulée.

• Modifiez la modification simulée de la stratégie : pour apporter d'autres modifications à la stratégie ou à la modification de stratégie simulée, cliquez sur Modifier la stratégie.

  Lorsque vous cliquez sur ce bouton, la console Google Cloud vous redirige vers l'éditeur de règles de refus.

Vous pouvez également cliquer sur Annuler pour quitter le rapport de simulation sans effectuer d'action.

Afficher l'historique des simulations

La page Rapports de simulation de refus contient un tableau listant toutes les simulations que vous avez effectuées au cours des 14 derniers jours. Cette liste est propre à chaque utilisateur et ne peut pas être partagée.

Pour afficher la page Rapports de simulation de refus :

1. Dans la console Google Cloud , accédez à l'onglet Refuser de la page IAM.

   Accéder à IAM

2. Sélectionnez le projet, le dossier ou l'organisation pour lesquels vous souhaitez afficher les simulations.

3. Cliquez sur schedule Historique des simulations.

Pour chaque simulation, la page indique la stratégie concernée, la date à laquelle vous avez lancé la simulation et son état.

Les simulations peuvent avoir les états suivants :

• En cours : la simulation est en cours d'exécution, mais n'est pas encore terminée. Vous pouvez avoir jusqu'à 10 simulations en cours.
• Terminée : la simulation est terminée.
• Erreur : la simulation n'a pas pu être effectuée en raison d'une erreur.

Étapes suivantes

• Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator
• Tester les modifications de rôle avec Policy Simulator