En esta página se describe cómo simular un cambio en una política de denegación de IAM mediante el simulador de políticas. También se explica cómo interpretar los resultados de la simulación y cómo aplicar la política de denegación simulada si lo desea.
Esta función solo evalúa el acceso en función de las políticas de denegación.
Para saber cómo simular otros tipos de políticas, consulta lo siguiente:
- Probar los cambios en las políticas de organización con el simulador de políticas
- Probar los cambios en la política Límites de Acceso de Principales con el simulador de política
- Probar los cambios de rol con el simulador de política
Antes de empezar
-
Enable the Policy Simulator and Identity and Access Management APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. - Opcional: Consulta cómo funciona el simulador de políticas de rechazo.
Roles obligatorios
Para obtener los permisos que necesitas para probar los cambios en las políticas de denegación, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Deny Admin (roles/iam.denyAdmin) en la organización.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Simular un cambio en una política de denegación
Para simular una política de denegación, sigue estos pasos:
- Iniciar la simulación
- Esperar a que finalice la simulación
- Consultar el informe de simulación
- Tomar medidas en función de la simulación
Iniciar una simulación
Puedes iniciar una simulación de las siguientes formas:
Simula una nueva política de denegación:
- En la Google Cloud consola, ve a la pestaña Deny (Denegar) de la página IAM (Gestión de identidades y accesos).
Ir a Gestión de identidades y accesos
- Selecciona un proyecto, una carpeta o una organización.
- Sigue los pasos para crear una política de denegación, pero no hagas clic en Crear después de introducir los detalles de la política de denegación. En su lugar, haga clic en Probar política.
Simula la edición de una política de denegación:
En la Google Cloud consola, ve a la pestaña Deny (Denegar) de la página IAM (Gestión de identidades y accesos).
Selecciona un proyecto, una carpeta o una organización.
En la columna ID de política, haga clic en el ID de la política que quiera editar.
Haz clic en Editar.
Actualiza la política de denegación:
- Para cambiar el nombre visible de la política, edite el campo Nombre visible.
- Para editar una regla de denegación, haga clic en ella y modifique los principales de la regla, los principales de la excepción, los permisos denegados, los permisos de la excepción o la condición de denegación.
- Para eliminar una regla de denegación, busca la regla que quieras eliminar y haz clic en Eliminar en esa fila.
- Para añadir una regla de denegación, haz clic en Añadir regla de denegación y, a continuación, crea una regla de denegación como lo harías al crear una política de denegación.
Cuando haya terminado de actualizar la política de denegación, haga clic en Probar cambios.
Cuando haces clic en Probar política o Probar cambios, el simulador de políticas inicia la simulación y te redirige a la página Denegar informes de simulación. Puedes salir de esta página sin perder el progreso.
Esperar a que se complete una simulación
Después de iniciar una simulación, la consola de Google Cloud genera una notificación que indica que la simulación está en curso.
Una vez finalizada la simulación, la Google Cloud consola genera otra notificación para indicar que se ha completado. Cuando recibas esta notificación, podrás ver el informe de simulación.
Cada usuario puede tener hasta 10 simulaciones en curso.
Ver un informe de simulación
En la Google Cloud consola, ve a la página Informes de simulación de denegación.
Busca la simulación cuyo informe quieras ver y, a continuación, haz clic en Ver informe en esa fila.
El informe de simulación contiene lo siguiente:
- Un resumen de los detalles de la simulación, como la política simulada, la acción simulada y el tiempo de simulación.
- Un botón Ver política o Ver cambios en la política que, al hacer clic en él, muestra la política simulada en formato JSON. Si simulas el cambio de política, también puede mostrar la diferencia entre la política actual y la simulada.
- Una sección Repetir resultados, que muestra los resultados de la simulación. Para saber cómo interpretar estos resultados, consulta la sección Resultados del simulador de políticas.
Tomar medidas en función de una simulación
Después de revisar un informe de simulación, puedes hacer lo siguiente:
Exportar los resultados de la simulación: para exportar los resultados de una simulación como archivo CSV, haz clic en Exportar resultados.
Al hacer clic en este botón, se descargará en tu ordenador un archivo CSV con los informes de simulación.
Aplicar el cambio de política simulado: para aplicar la política o el cambio de política simulado, haz clic en Definir política.
Cuando haces clic en este botón, la consola define la política simulada. Google Cloud
Editar el cambio simulado en la política: para hacer más cambios en la política o en el cambio de política simulados, haz clic en Modificar política.
Cuando haces clic en este botón, la consola Google Cloud te redirige al editor de políticas de denegación.
También puede hacer clic en Cancelar para salir del informe de simulación sin tomar ninguna medida.
Ver el historial de simulaciones
La página Informes de simulaciones rechazadas contiene una tabla con todas las simulaciones que ha realizado en los últimos 14 días. Esta lista es exclusiva de cada usuario y no se puede compartir.
Para ver la página Informes de simulación de denegación, siga estos pasos:
En la Google Cloud consola, ve a la pestaña Deny (Denegar) de la página IAM (Gestión de identidades y accesos).
Selecciona el proyecto, la carpeta o la organización de los que quieras ver las simulaciones.
Haz clic en Historial de simulaciones.
En cada simulación, la página muestra la política a la que corresponde, la fecha en la que la iniciaste y su estado.
Las simulaciones pueden tener los siguientes estados:
- En curso: la simulación se está ejecutando, pero aún no se ha completado. Puedes tener hasta 10 simulaciones en curso.
- Completada: la simulación se ha completado.
- Error: no se ha podido completar la simulación debido a un error.
Siguientes pasos
- Probar los cambios en las políticas de organización con el simulador de políticas
- Probar los cambios de rol con el simulador de política