Änderungen an Ablehnungsrichtlinien mit dem Policy Simulator testen

Auf dieser Seite wird beschrieben, wie Sie eine Änderung an einer Ablehnungsrichtlinie von IAM mit dem Policy Simulator simulieren. Außerdem werden die Ergebnisse der Simulation und die Anwendung der simulierten Richtlinie auf Anfrage erläutert.

Mit dieser Funktion wird der Zugriff nur anhand von Ablehnungsrichtlinien ausgewertet.

Informationen zum Simulieren anderer Richtlinientypen finden Sie hier:

Hinweise

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Deny Admin (roles/iam.denyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Testen von Änderungen an Ablehnungsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Änderung an einer Ablehnungsrichtlinie simulieren

So simulieren Sie eine Ablehnungsrichtlinie:

  1. Simulation starten
  2. Warten auf Abschluss der Simulation
  3. Simulationsbericht aufrufen
  4. Auf Grundlage der Simulation Maßnahmen ergreifen

Simulation starten

Sie haben folgende Möglichkeiten, eine Simulation zu starten:

  • Neue Ablehnungsrichtlinie simulieren:

    1. Öffnen Sie in der Google Cloud Console auf der Seite IAM den Tab Ablehnen.

    IAM aufrufen

    1. Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
    2. Folgen Sie der Anleitung zum Erstellen einer Ablehnungsrichtlinie, klicken Sie aber nicht auf Erstellen, nachdem Sie die Details zur Ablehnungsrichtlinie eingegeben haben. Klicken Sie stattdessen auf Richtlinie testen.
  • So simulieren Sie eine Änderung an einer Ablehnungsrichtlinie:

    1. Öffnen Sie in der Google Cloud Console auf der Seite IAM den Tab Ablehnen.

      IAM aufrufen

    2. Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.

    3. Klicken Sie in der Spalte Richtlinien-ID auf die ID der Richtlinie, die Sie bearbeiten möchten.

    4. Klicken Sie auf  Bearbeiten.

    5. Aktualisieren Sie die Ablehnungsrichtlinie:

      • Wenn Sie den Anzeigenamen der Richtlinie ändern möchten, bearbeiten Sie das Feld Anzeigename.
      • Wenn Sie eine vorhandene Ablehnungsregel bearbeiten möchten, klicken Sie auf die Regel und ändern Sie dann die Hauptkonten, Ausnahmehauptkonten, abgelehnten Berechtigungen, Ausnahmeberechtigungen oder Ablehnungsbedingungen der Regel.
      • Wenn Sie eine Anlehnungsregel entfernen möchten, suchen Sie die entsprechende Regel und klicken Sie in der Zeile auf Löschen.
      • Wenn Sie eine Ablehnungsregel hinzufügen möchten, klicken Sie auf Ablehnungsregel hinzufügen und erstellen Sie dann eine Ablehnungsregel, wie Sie es beim Erstellen einer Ablehnungsrichtlinie tun würden.
    6. Wenn Sie mit der Aktualisierung der Deaktivierungsrichtlinie fertig sind, klicken Sie auf Änderungen testen.

Wenn Sie auf Richtlinie testen oder Änderungen testen klicken, startet der Policy Simulator die Simulation und leitet Sie zur Seite Deny Simulation Reports (Berichte zur Simulation von Ablehnungen) weiter. Sie können diese Seite verlassen, ohne dass der Fortschritt verloren geht.

Warten, bis eine Simulation abgeschlossen ist

Nachdem Sie eine Simulation gestartet haben, wird in der Google Cloud Console eine Benachrichtigung angezeigt, dass die Simulation ausgeführt wird.

Nach Abschluss der Simulation wird in der Google Cloud Console eine weitere Benachrichtigung angezeigt, dass die Simulation abgeschlossen ist. Wenn Sie diese Benachrichtigung erhalten, können Sie sich den Simulationsbericht ansehen.

Jeder Nutzer kann bis zu 10 laufende Simulationen haben.

Simulationsbericht ansehen

  1. Rufen Sie in der Google Cloud Console die Seite Deny-Simulationsberichte auf.

    Simulationsberichte zu Ablehnungen aufrufen

  2. Suchen Sie die Simulation, deren Bericht Sie aufrufen möchten, und klicken Sie in dieser Zeile auf Bericht ansehen.

Der Simulationsbericht enthält Folgendes:

  • Eine Übersicht über die Simulationsdetails, einschließlich der simulierten Richtlinie, der simulierten Aktion und der Simulationszeit.
  • Eine Schaltfläche Richtlinie ansehen oder Änderungen an der Richtlinie ansehen, über die die simulierte Richtlinie im JSON-Format angezeigt wird. Wenn Sie die Richtlinienänderung simulieren, wird möglicherweise auch der Unterschied zwischen der aktuellen Richtlinie und der simulierten Richtlinie angezeigt.
  • Im Abschnitt Wiedergabeergebnisse werden die Ergebnisse der Simulation angezeigt. Informationen zur Interpretation dieser Ergebnisse finden Sie unter Ergebnisse des Richtliniensimulators.

Auf Grundlage einer Simulation Maßnahmen ergreifen

Nachdem Sie einen Simulationsbericht geprüft haben, können Sie die folgenden Aktionen ausführen:

  • Simulationsergebnisse exportieren: Wenn Sie die Ergebnisse einer Simulation als CSV-Datei exportieren möchten, klicken Sie auf Ergebnisse exportieren.

    Wenn Sie auf diese Schaltfläche klicken, wird eine CSV-Datei mit den Simulationsberichten auf Ihren Computer heruntergeladen.

  • Simulierte Richtlinienänderung anwenden: Klicken Sie auf Richtlinie festlegen, um die simulierte Richtlinie oder Richtlinienänderung anzuwenden.

    Wenn Sie auf diese Schaltfläche klicken, wird in der Google Cloud Console die simulierte Richtlinie festgelegt.

  • Simulierte Änderung an der Richtlinie bearbeiten: Wenn Sie weitere Änderungen an der simulierten Richtlinie oder Richtlinienänderung vornehmen möchten, klicken Sie auf Richtlinie ändern.

    Wenn Sie auf diese Schaltfläche klicken, werden Sie in der Google Cloud Console zum Editor für die Deaktivierungsrichtlinie weitergeleitet.

Alternativ können Sie auf Abbrechen klicken, um den Simulationsbericht zu schließen, ohne Änderungen vorzunehmen.

Simulationsverlauf ansehen

Die Seite Simulationsberichte zu Ablehnungen enthält eine Tabelle mit allen Simulationen, die Sie in den letzten 14 Tagen ausgeführt haben. Diese Liste ist für jeden Nutzer individuell und kann nicht geteilt werden.

So rufen Sie die Seite Simulationsberichte zu Ablehnungen auf:

  1. Öffnen Sie in der Google Cloud Console auf der Seite IAM den Tab Ablehnen.

    IAM aufrufen

  2. Wählen Sie das Projekt, den Ordner oder die Organisation aus, für die Sie Simulationen aufrufen möchten.

  3. Klicken Sie auf Simulationsverlauf.

Auf der Seite werden für jede Simulation die Richtlinie, das Datum, an dem Sie die Simulation gestartet haben, und der Status der Simulation aufgeführt.

Simulationen können folgende Status haben:

  • In Bearbeitung: Die Simulation wird ausgeführt, ist aber noch nicht abgeschlossen. Sie können bis zu zehn Simulationen gleichzeitig ausführen.
  • Abgeschlossen: Die Simulation ist abgeschlossen.
  • Fehler: Die Simulation konnte aufgrund eines Fehlers nicht abgeschlossen werden.

Nächste Schritte