Tester les modifications de stratégie de refus avec Policy Simulator

Cette page explique comment simuler une modification d'une stratégie de refus IAM à l'aide de Policy Simulator. Elle explique également comment interpréter les résultats de la simulation et comment appliquer la simulation de stratégie de refus si vous le souhaitez.

Cette fonctionnalité n'évalue l'accès qu'en fonction des stratégies de refus.

Pour savoir comment simuler d'autres types de règles, consultez les ressources suivantes:

• Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator
• Tester les modifications apportées aux stratégies de limite d'accès des comptes principaux avec Policy Simulator
• Tester les modifications de rôle avec Policy Simulator

Avant de commencer

• Enable the Policy Simulator and Identity and Access Management APIs.

  Enable the APIs

• (Facultatif) Découvrez le fonctionnement de Policy Simulator pour les règles de refus.

Rôles requis

Pour obtenir les autorisations nécessaires pour tester les modifications apportées aux stratégies de refus, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de refus (roles/iam.denyAdmin) dans l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Simuler une modification d'une stratégie de refus

Pour simuler une stratégie de refus, procédez comme suit:

1. Démarrer la simulation
2. Attente de la fin de la simulation
3. Afficher le rapport de simulation
4. Prendre des mesures en fonction de la simulation

Lancer une simulation

Vous pouvez lancer une simulation de différentes manières:

• Simulez une nouvelle stratégie de refus:

  1. Dans la console Google Cloud, accédez à l'onglet Refuser de la page IAM.

  Accéder à IAM

  1. Sélectionnez un projet, un dossier ou une organisation.
  2. Suivez la procédure de création d'une règle de refus, mais ne cliquez pas sur Create (Créer) après avoir saisi les détails de la règle de refus. Cliquez plutôt sur Tester la règle.

• Simulez la modification d'une stratégie de refus:

  1. Dans la console Google Cloud, accédez à l'onglet Refuser de la page IAM.

     Accéder à IAM

  2. Sélectionnez un projet, un dossier ou une organisation.

  3. Dans la colonne ID de la stratégie, cliquez sur l'ID de la stratégie que vous souhaitez modifier.

  4. Cliquez sur edit Modifier.

  5. Mettez à jour la stratégie de refus :

     • Pour modifier le nom à afficher de la règle, modifiez le champ Nom à afficher.
     • Pour modifier une règle de refus existante, cliquez sur la règle de refus, puis modifiez les comptes principaux de la règle, les comptes principaux soumis à des exceptions, les autorisations refusées, les autorisations d'exception ou la condition de refus.
     • Pour supprimer une règle de refus, recherchez la règle de refus que vous souhaitez supprimer, puis cliquez sur delete Supprimer dans la ligne correspondante.
     • Pour ajouter une règle de refus, cliquez sur Ajouter une règle de refus, puis créez une règle de refus comme vous le feriez pour créer une stratégie de refus.

  6. Lorsque vous avez terminé de mettre à jour la stratégie de refus, cliquez sur Tester les modifications.

Lorsque vous cliquez sur Tester la stratégie ou Tester les modifications, Policy Simulator lance la simulation et vous redirige vers la page Rapports de simulation de refus. Vous pouvez quitter cette page sans perdre votre progression.

Attendre la fin d'une simulation

Une fois la simulation lancée, la console Google Cloud génère une notification indiquant que la simulation est en cours d'exécution.

Une fois la simulation terminée, la console Google Cloud génère une autre notification indiquant que la simulation est terminée. Lorsque vous recevez cette notification, vous pouvez afficher le rapport de simulation.

Chaque utilisateur peut avoir jusqu'à 10 simulations en cours.

Afficher un rapport de simulation

1. Dans la console Google Cloud, accédez à la page Deny simulation reports (Rapports de simulation de refus).

   Accéder aux rapports de simulation de refus

2. Recherchez la simulation dont vous souhaitez consulter le rapport, puis cliquez sur Afficher le rapport dans cette ligne.

Le rapport de simulation contient les éléments suivants:

• Présentation des détails de la simulation, y compris la stratégie simulée, l'action simulée et l'heure de la simulation.
• Un bouton Afficher la stratégie ou Afficher les modifications de la stratégie, qui, lorsqu'il est cliqué, affiche la stratégie simulée au format JSON. Si vous simulez le changement de règle, il peut également afficher la différence entre la règle actuelle et la règle simulée.
• Une section Résultats de la simulation, qui affiche les résultats de la simulation. Pour savoir comment interpréter ces résultats, consultez la section Résultats de Policy Simulator.

Intervenir en fonction d'une simulation

Après avoir examiné un rapport de simulation, vous pouvez effectuer les actions suivantes:

• Exporter les résultats de la simulation: pour exporter les résultats d'une simulation au format CSV, cliquez sur Exporter les résultats.

  Lorsque vous cliquez sur ce bouton, un fichier CSV contenant les rapports de simulation est téléchargé sur votre ordinateur.

• Appliquer la modification de stratégie simulée: pour appliquer la stratégie ou la modification de stratégie simulée, cliquez sur Définir la règle.

  Lorsque vous cliquez sur ce bouton, la console Google Cloud définit la stratégie simulée.

• Modifier la modification simulée de la stratégie: pour apporter d'autres modifications à la stratégie simulée ou à la modification de la stratégie, cliquez sur Modifier la stratégie.

  Lorsque vous cliquez sur ce bouton, la console Google Cloud vous redirige vers l'éditeur de règles de refus.

Vous pouvez également cliquer sur Annuler pour quitter le rapport de simulation sans effectuer d'action.

Afficher l'historique des simulations

La page Rapports de simulation de refus contient un tableau qui liste toutes les simulations que vous avez exécutées au cours des 14 derniers jours. Cette liste est propre à chaque utilisateur et ne peut pas être partagée.

Pour afficher la page Rapports de simulation de refus, procédez comme suit:

1. Dans la console Google Cloud, accédez à l'onglet Refuser de la page IAM.

   Accéder à IAM

2. Sélectionnez le projet, le dossier ou l'organisation pour lesquels vous souhaitez afficher les simulations.

3. Cliquez sur schedule Historique des simulations.

Pour chaque simulation, la page liste la stratégie concernée, la date de début de la simulation et son état.

Les simulations peuvent avoir les états suivants:

• En cours: la simulation est en cours d'exécution, mais n'est pas encore terminée. Vous pouvez avoir jusqu'à 10 simulations en cours.
• Terminé: la simulation est terminée.
• Erreur: la simulation n'a pas pu être terminée en raison d'une erreur.

Étape suivante

• Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator
• Tester les modifications de rôle avec Policy Simulator