En esta página, se describe cómo simular un cambio en una política de denegación de IAM con Policy Simulator. También se explica cómo interpretar los resultados de la simulación y cómo aplicar la política de denegación simulada si así lo deseas.
Esta función solo evalúa el acceso según las políticas de denegación.
Para obtener información sobre cómo simular otros tipos de políticas, consulta lo siguiente:
- Prueba los cambios en las políticas de la organización con Policy Simulator
- Cómo probar los cambios en las políticas de límite de acceso de las principales con Policy Simulator
- Prueba los cambios de roles con Policy Simulator
Antes de comenzar
-
Enable the Policy Simulator and Identity and Access Management APIs.
- Opcional: Consulta cómo funciona Policy Simulator para las políticas de denegación.
Roles obligatorios
Para obtener los permisos que necesitas para probar los cambios en las políticas de denegación,
pídele a tu administrador que te otorgue el rol de IAM de Administrador de denegación (roles/iam.denyAdmin) en la organización.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Simula un cambio en una política de denegación
Para simular una política de denegación, sigue estos pasos:
- Cómo iniciar la simulación
- Esperando a que finalice la simulación
- Cómo ver el informe de simulación
- Cómo tomar medidas en función de la simulación
Cómo iniciar una simulación
Puedes iniciar una simulación de las siguientes maneras:
Simula una nueva política de denegación:
- En la consola de Google Cloud, ve a la pestaña Denegar en la página IAM.
- Selecciona un proyecto, una carpeta o una organización.
- Sigue los pasos para crear una política de denegación, pero no hagas clic en Crear después de ingresar los detalles de la política de denegación. En su lugar, haz clic en Probar política.
Simula una edición de una política de denegación:
En la consola de Google Cloud, ve a la pestaña Denegar en la página IAM.
Selecciona un proyecto, una carpeta o una organización.
En la columna ID de política, haz clic en el ID de la política que deseas editar.
Haz clic en Editar.
Actualiza la política de denegación:
- Para cambiar el nombre visible de la política, edita el campo Nombre visible.
- Para editar una regla de denegación existente, haz clic en ella y, luego, modifica las principales, las principales de excepción, los permisos de denegación, los permisos de excepción o la condición de denegación de la regla.
- Para quitar una regla de denegación, busca la regla que deseas borrar y, luego, haz clic en Borrar en esa fila.
- Para agregar una regla de denegación, haz clic en Agregar regla de denegación y, luego, crea una regla de denegación como lo haces cuando creas una política de denegación.
Cuando termines de actualizar la política de denegación, haz clic en Probar cambios.
Cuando haces clic en Probar política o Probar cambios, Policy Simulator empieza la simulación y te redirecciona a la página Deny simulation reports. Puedes salir de esta página sin perder el progreso.
Espera a que se complete una simulación
Después de iniciar una simulación, la consola de Google Cloud genera una notificación de que se está ejecutando.
Cuando finaliza la simulación, la consola de Google Cloud genera otra notificación que indica que se completó. Cuando recibas esta notificación, podrás ver el informe de simulación.
Cada usuario puede tener hasta 10 simulaciones en curso.
Cómo ver un informe de simulación
En la consola de Google Cloud, ve a la página Deny simulation reports.
Busca la simulación cuyo informe deseas ver y, luego, haz clic en Ver informe en esa fila.
El informe de simulación contiene lo siguiente:
- Una descripción general de los detalles de la simulación, incluida la política simulada, la acción simulada y el tiempo de simulación.
- Un botón Ver política o Ver cambios en la política, que, cuando se hace clic en él, muestra la política simulada en formato JSON. Si simulas el cambio de política, es posible que también se muestre la diferencia entre la política actual y la simulada.
- Una sección Replay results, que muestra los resultados de la simulación. Para obtener información sobre cómo interpretar estos resultados, consulta Resultados de Policy Simulator.
Toma medidas en función de una simulación
Después de revisar un informe de simulación, puedes realizar las siguientes acciones:
Exporta los resultados de la simulación: Para exportar los resultados de una simulación como un archivo CSV, haz clic en Exportar resultados.
Cuando haces clic en este botón, se descarga un archivo CSV con los informes de simulación en tu computadora.
Aplica el cambio de política simulado: Para aplicar la política simulada o el cambio de política, haz clic en Establecer política.
Cuando haces clic en este botón, la consola de Google Cloud configura la política simulated.
Editar el cambio simulado en la política: Para realizar más cambios en la política simulada o en el cambio de política, haz clic en Modificar política.
Cuando haces clic en este botón, la consola de Google Cloud te redirecciona al editor de políticas de denegación.
Como alternativa, puedes hacer clic en Cancelar para salir del informe de simulación sin realizar ninguna acción.
Cómo ver el historial de simulaciones
La página Informe de simulación de denegación contiene una tabla con todas las simulaciones que ejecutaste en los últimos 14 días. Esta lista es única para cada usuario y no se puede compartir.
Para ver la página Informes de simulación de denegación, haz lo siguiente:
En la consola de Google Cloud, ve a la pestaña Denegar en la página IAM.
Selecciona el proyecto, la carpeta o la organización para la que deseas ver las simulaciones.
Haz clic en Historial de simulación.
Para cada simulación, la página muestra la política para la que se realizó, la fecha en la que la iniciaste y el estado de la simulación.
Las simulaciones pueden tener los siguientes estados:
- En curso: La simulación se está ejecutando, pero aún no se completó. Puedes tener hasta 10 simulaciones en curso.
- Completada: La simulación está completa.
- Error: La simulación no se pudo completar debido a un error.
¿Qué sigue?
- Prueba los cambios en las políticas de la organización con Policy Simulator
- Prueba los cambios de roles con Policy Simulator