Testa le modifiche alle policy di negazione con Policy Simulator
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questa pagina descrive come simulare una modifica a una policy di negazione IAM utilizzando Policy Simulator. Spiega inoltre come
interpretare i risultati della simulazione e come applicare la policy di negazione
simulata, se lo desideri.
Questa funzionalità valuta l'accesso solo in base ai criteri di negazione.
Per scoprire come simulare altri tipi di criteri, consulta quanto segue:
Per ottenere le autorizzazioni necessarie per testare le modifiche alle policy di negazione, chiedi all'amministratore di concederti il ruolo IAM Deny Admin (roles/iam.denyAdmin) nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Seleziona un progetto, una cartella o un'organizzazione.
Segui i passaggi per creare un criterio di negazione, ma non
fare clic su Crea dopo aver inserito i dettagli del criterio di negazione. Fai invece clic su
Testa norma.
Simula una modifica a una policy di negazione:
Nella console Google Cloud , vai alla scheda Nega nella pagina IAM.
Seleziona un progetto, una cartella o un'organizzazione.
Nella colonna ID criterio, fai clic sull'ID del criterio che vuoi
modificare.
Fai clic su editModifica.
Aggiorna la policy di negazione:
Per modificare il nome visualizzato della policy, modifica il campo Nome visualizzato.
Per modificare una regola di negazione esistente, fai clic sulla regola di negazione e poi modifica le entità della regola, le entità di eccezione, le autorizzazioni negate, le autorizzazioni di eccezione o la condizione di negazione.
Per rimuovere una regola di negazione, trova la regola di negazione che vuoi eliminare e
fai clic su deleteElimina nella riga.
Per aggiungere una regola di negazione, fai clic su Aggiungi regola di negazione e poi crea una regola di negazione
come quando crei un criterio di negazione.
Una volta aggiornata la policy di negazione, fai clic su Testa modifiche.
Quando fai clic su Testa policy o Testa modifiche, Policy Simulator
avvia la simulazione e ti reindirizza alla pagina Report di simulazione di negazione.
Puoi uscire da questa pagina senza perdere i progressi.
Attendi il completamento di una simulazione
Dopo aver avviato una simulazione, la console Google Cloud genera una notifica
che indica che la simulazione è in esecuzione.
Al termine della simulazione, la console Google Cloud genera un'altra
notifica che indica che la simulazione è stata completata. Quando ricevi questa notifica,
puoi visualizzare il report di simulazione.
Ogni utente può avere fino a 10 simulazioni in corso.
Visualizzare un report sulla simulazione
Nella console Google Cloud , vai alla pagina Report di simulazione di negazione.
Trova la simulazione di cui vuoi visualizzare il report, poi fai clic su Visualizza report nella riga.
Il report sulla simulazione contiene quanto segue:
Una panoramica dei dettagli della simulazione, tra cui la policy simulata, l'azione simulata e l'ora della simulazione.
Un pulsante Visualizza policy o Visualizza modifiche alle policy che, se selezionato,
mostra la policy simulata in formato JSON. Se stai simulando la modifica
della policy, potrebbe anche essere visualizzata la differenza tra la policy attuale
e quella simulata.
Una sezione Risultati della riproduzione, che mostra i risultati della simulazione. Per
scoprire come interpretare questi risultati, consulta Risultati di Policy Simulator.
Intervenire in base a una simulazione
Dopo aver esaminato un report di simulazione, puoi svolgere le seguenti azioni:
Esporta i risultati della simulazione: per esportare i risultati di una simulazione come file CSV, fai clic su Esporta risultati.
Quando fai clic su questo pulsante, un file CSV con i report di simulazione viene scaricato sul computer.
Applica la modifica della policy simulata: per applicare la policy o la modifica della policy simulata, fai clic su Imposta policy.
Quando fai clic su questo pulsante, la Google Cloud console imposta il criterio simulato.
Modifica la modifica simulata alla policy: per apportare ulteriori modifiche alla policy o alla modifica della policy simulata, fai clic su Modifica policy.
Quando fai clic su questo pulsante, la console Google Cloud ti reindirizza all'editor dei criteri di negazione.
In alternativa, puoi fare clic su Annulla per uscire dal report di simulazione senza
intraprendere alcuna azione.
Visualizzare la cronologia delle simulazioni
La pagina Nega report delle simulazioni contiene una tabella in cui sono elencate tutte le simulazioni
che hai eseguito negli ultimi 14 giorni. Questo elenco è univoco per ogni utente e
non può essere condiviso.
Per visualizzare la pagina Nega report delle simulazioni:
Nella console Google Cloud , vai alla scheda Nega nella pagina IAM.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[],[],null,["# Test deny policy changes with Policy Simulator\n\n| **Preview**\n|\n|\n| This feature is subject to the \"Pre-GA Offerings Terms\" in the General Service Terms section\n| of the [Service Specific Terms](/terms/service-terms#1).\n|\n| Pre-GA features are available \"as is\" and might have limited support.\n|\n| For more information, see the\n| [launch stage descriptions](/products#product-launch-stages).\n\n\u003cbr /\u003e\n\nThis page describes how to simulate a change to an IAM [deny\npolicy](/iam/docs/deny-overview) using Policy Simulator. It also explains how to\ninterpret the results of the simulation, and how to apply the simulated deny\npolicy if you choose to.\n\nThis feature only evaluates access based on deny policies.\n\nTo learn how to simulate other types of policies, see the following:\n\n- [Test organization policy changes with\n Policy Simulator](/policy-intelligence/docs/test-organization-policies)\n- [Test principal access boundary policy changes with\n Policy Simulator](/policy-intelligence/docs/simulate-pab-policies)\n- [Test role changes with Policy Simulator](/policy-intelligence/docs/simulate-iam-policies)\n\nBefore you begin\n----------------\n\n-\n\n\n Enable the Policy Simulator and Identity and Access Management APIs.\n\n\n [Enable the APIs](https://console.cloud.google.com/flows/enableapi?apiid=policysimulator.googleapis.com,iam.googleapis.com)\n- Optional: Learn [how\n Policy Simulator for deny policies works](/policy-intelligence/docs/deny-simulator-overview).\n\n### Required roles\n\n\nTo get the permissions that\nyou need to test changes to deny policies,\n\nask your administrator to grant you the\n\n\n[Deny Admin](/iam/docs/roles-permissions/iam#iam.denyAdmin) (`roles/iam.denyAdmin`)\nIAM role on the organization.\n\n\nFor more information about granting roles, see [Manage access to projects, folders, and organizations](/iam/docs/granting-changing-revoking-access).\n\n\nYou might also be able to get\nthe required permissions through [custom\nroles](/iam/docs/creating-custom-roles) or other [predefined\nroles](/iam/docs/roles-overview#predefined).\n\nSimulate a change to a deny policy\n----------------------------------\n\nSimulating a deny policy involves the following steps:\n\n1. [Starting the simulation](#start-simulation)\n2. [Waiting for the simulation to finish](#wait)\n3. [Viewing the simulation report](#view-report)\n4. [Taking action based on the simulation](#take-action)\n\n### Start a simulation\n\nYou can start a simulation in the following ways:\n\n- Simulate a new deny policy:\n\n 1. In the Google Cloud console, go to the **Deny** tab on the **IAM** page.\n\n [Go\n to IAM](https://console.cloud.google.com/projectselector/iam-admin/iam/deny?supportedpurview=project,folder,organizationId)\n 1. Select a project, folder, or organization.\n 2. Follow the steps to [create a deny policy](/iam/docs/deny-access#create-deny-policy), but don't click **Create** after entering the deny policy details. Instead, click **Test policy**.\n- Simulate an edit to a deny policy:\n\n 1. In the Google Cloud console, go to the **Deny** tab on the **IAM** page.\n\n [Go to IAM](https://console.cloud.google.com/projectselector/iam-admin/iam/deny?supportedpurview=project,folder,organizationId)\n 2. Select a project, folder, or organization.\n\n 3. In the **Policy ID** column, click the ID of the policy that you want to\n edit.\n\n 4. Click edit **Edit**.\n\n 5. Update the deny policy:\n\n - To change the policy display name, edit the **Display name** field.\n - To edit an existing deny rule, click the deny rule, and then modify the rule's principals, exception principals, denied permissions, exception permissions, or denial condition.\n - To remove a deny rule, find the deny rule that you want to delete, and then click delete **Delete** in that row.\n - To add a deny rule, click **Add deny rule** , and then create a deny rule like you do when you [create a deny policy](/iam/docs/deny-access#create-deny-policy).\n 6. When you're done updating the deny policy, click **Test changes**.\n\nWhen you click **Test policy** or **Test changes** , Policy Simulator\nstarts the simulation and redirects you to the **Deny simulation reports** page.\nYou can navigate away from this page without losing progress.\n\n### Wait for a simulation to complete\n\nAfter you start a simulation, the Google Cloud console generates a notification\nthat the simulation is running.\n\nAfter the simulation finishes, the Google Cloud console generates another\nnotification that the simulation is complete. When you receive this notification,\nyou can [view the simulation report](#view-report).\n\nEach user can have up to 10 in-progress simulations.\n\n### View a simulation report\n\n1. In the Google Cloud console, go to the **Deny simulation reports** page.\n\n [Go to Deny simulation reports](https://console.cloud.google.com/iam-admin/iam/deny/simulation-reports/)\n2. Find the simulation whose report you want to view, then click **View report** in\n that row.\n\nThe simulation report contains the following:\n\n- An overview of the simulation details, including the simulated policy, the simulated action, and the simulation time.\n- A **View policy** or **View policy changes** button, which, when clicked, displays the simulated policy in JSON format. If you're simulating the policy change, then it might also display the difference between the current policy and the simulated policy.\n- A **Replay results** section, which displays the results of the simulation. To learn how to interpret these results, see [Policy Simulator\n results](/policy-intelligence/docs/deny-simulator-overview#review-results).\n\nTake action based on a simulation\n---------------------------------\n\nAfter reviewing a simulation report, you can take the following actions:\n\n- **Export the simulation results** : To export the results of a simulation as a\n CSV file, click **Export results**.\n\n When you click this button, a CSV file with the simulation reports is\n downloaded to your computer.\n- **Apply the simulated policy change** : To apply the simulated policy or policy\n change, click **Set policy**.\n\n When you click this button, the Google Cloud console sets the simulated\n policy.\n- **Edit the simulated change to the policy** : To make further changes to the\n simulated policy or policy change, click **Modify policy**.\n\n When you click this button, the Google Cloud console redirects you to the\n deny policy editor.\n\nAlternatively, you can click **Cancel** to leave the simulation report without\ntaking any action.\n\nView simulation history\n-----------------------\n\nThe **Deny simulation reports** page contains a table listing all of the simulations\nthat you've run over the past 14 days. This list is unique to each user and\ncan't be shared.\n\nTo view the **Deny simulation reports** page, do the following:\n\n1. In the Google Cloud console, go to the **Deny** tab on the **IAM** page.\n\n [Go to IAM](https://console.cloud.google.com/projectselector/iam-admin/iam/deny?supportedpurview=project,folder,organizationId)\n2. Select the project, folder, or organization that you want to view simulations\n for.\n\n3. Click schedule **Simulation history**.\n\nFor each simulation, the page lists the policy that the simulation is for, the\ndate that you started the simulation, and the status of the simulation.\n\nSimulations can have the following statuses:\n\n- **In progress**: The simulation is running, but hasn't completed yet. You can have up to 10 in-progress simulations.\n- **Completed**: The simulation is complete.\n- **Error**: The simulation couldn't be completed due to an error.\n\nWhat's next\n-----------\n\n- [Test organization policy changes with\n Policy Simulator](/policy-intelligence/docs/test-organization-policies)\n- [Test role changes with Policy Simulator](/policy-intelligence/docs/simulate-iam-policies)"]]
