Questa pagina descrive come simulare una modifica a una policy di negazione IAM utilizzando Policy Simulator. Inoltre, spiega come interpretare i risultati della simulazione e come applicare il criterio di rifiuto simulato, se vuoi.
Questa funzionalità valuta l'accesso solo in base ai criteri di rifiuto.
Per scoprire come simulare altri tipi di criteri, consulta quanto segue:
- Testare le modifiche ai criteri dell'organizzazione con Policy Simulator
- Testa le modifiche ai criteri di Principal Access Boundary con Policy Simulator
- Testare le modifiche dei ruoli con Policy Simulator
Prima di iniziare
-
Enable the Policy Simulator and Identity and Access Management APIs.
- (Facoltativo) Scopri come funziona Policy Simulator per i criteri di negazione.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per testare le modifiche ai criteri di rifiuto,
chiedi all'amministratore di concederti il ruolo IAM Amministratore di rifiuto (roles/iam.denyAdmin) nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Simula una modifica a una policy di negazione
La simulazione di una policy di negazione prevede i seguenti passaggi:
- Avvio della simulazione
- In attesa del completamento della simulazione
- Visualizzazione del report sulla simulazione
- Interventi in base alla simulazione
Avvia una simulazione
Puoi avviare una simulazione nei seguenti modi:
Simula una nuova policy di negazione:
- Nella console Google Cloud, vai alla scheda Rifiuta nella pagina IAM.
- Seleziona un progetto, una cartella o un'organizzazione.
- Segui i passaggi per creare un criterio di rifiuto, ma non fare clic su Crea dopo aver inserito i dettagli del criterio di rifiuto. Fai clic su Testa norma.
Simula una modifica a un criterio di negazione:
Nella console Google Cloud, vai alla scheda Rifiuta nella pagina IAM.
Seleziona un progetto, una cartella o un'organizzazione.
Nella colonna ID norma, fai clic sull'ID della norma da modificare.
Fai clic su Modifica.
Aggiorna il criterio di rifiuto:
- Per modificare il nome visualizzato della norma, modifica il campo Nome visualizzato.
- Per modificare una regola di rifiuto esistente, fai clic sulla regola di rifiuto e poi modifica le entità, le entità di eccezione, le autorizzazioni negate, le autorizzazioni di eccezione o la condizione di rifiuto della regola.
- Per rimuovere una regola di rifiuto, individua la regola di rifiuto che vuoi eliminare e fai clic su Elimina nella riga corrispondente.
- Per aggiungere una regola di rifiuto, fai clic su Aggiungi regola di rifiuto e poi crea una regola di rifiuto come faresti quando crei un criterio di rifiuto.
Al termine dell'aggiornamento del criterio di rifiuto, fai clic su Testa modifiche.
Quando fai clic su Testa criteri o Testa modifiche, Policy Simulator avvia la simulazione e ti reindirizza alla pagina Report sulla simulazione di rifiuto. Puoi uscire da questa pagina senza perdere i progressi.
Attendi il completamento di una simulazione
Dopo aver avviato una simulazione, la console Google Cloud genera una notifica che indica che la simulazione è in esecuzione.
Al termine della simulazione, la console Google Cloud genera un'altra notifica che indica che la simulazione è completata. Quando ricevi questa notifica, puoi visualizzare il report sulla simulazione.
Ogni utente può avere fino a 10 simulazioni in corso.
Visualizzare un report sulla simulazione
Nella console Google Cloud, vai alla pagina Report di simulazione di rifiuto.
Individua la simulazione di cui vuoi visualizzare il report, poi fai clic su Visualizza report in quella riga.
Il report sulla simulazione contiene quanto segue:
- Una panoramica dei dettagli della simulazione, inclusi i criteri simulati, l'azione simulata e il momento della simulazione.
- Un pulsante Visualizza criteri o Visualizza modifiche ai criteri, che, se fatto clic, visualizza il criterio simulato in formato JSON. Se stai simulando la modifica delle norme, potrebbe essere visualizzata anche la differenza tra le norme attuali e quelle simulate.
- Una sezione Risultati della riproduzione, che mostra i risultati della simulazione. Per scoprire come interpretare questi risultati, consulta la sezione Risultati di Policy Simulator.
Intervenire in base a una simulazione
Dopo aver esaminato un report di simulazione, puoi eseguire le seguenti azioni:
Esporta i risultati della simulazione: per esportare i risultati di una simulazione come file CSV, fai clic su Esporta risultati.
Quando fai clic su questo pulsante, sul computer viene scaricato un file CSV con i report di simulazione.
Applica la modifica della policy simulata: per applicare la policy o la modifica della policy simulata, fai clic su Imposta criterio.
Quando fai clic su questo pulsante, la console Google Cloud imposta il criterio simulato.
Modifica la modifica simulata alla norma: per apportare ulteriori modifiche alla norma o alla modifica della norma simulata, fai clic su Modifica norma.
Quando fai clic su questo pulsante, la console Google Cloud ti reindirizza all'editor dei criteri di rifiuto.
In alternativa, puoi fare clic su Annulla per uscire dal report di simulazione senza eseguire alcuna azione.
Visualizzare la cronologia delle simulazioni
La pagina Report sulla simulazione di negazione contiene una tabella che elenca tutte le simulazioni eseguite negli ultimi 14 giorni. Questo elenco è univoco per ogni utente e non può essere condiviso.
Per visualizzare la pagina Report sulla simulazione di negazione:
Nella console Google Cloud, vai alla scheda Rifiuta nella pagina IAM.
Seleziona il progetto, la cartella o l'organizzazione per cui vuoi visualizzare le simulazioni.
Fai clic su Cronologia delle simulazioni.
Per ogni simulazione, la pagina elenca il criterio a cui si riferisce, la data di avvio e lo stato della simulazione.
Le simulazioni possono avere i seguenti stati:
- In corso: la simulazione è in esecuzione, ma non è ancora stata completata. Puoi avere fino a 10 simulazioni in corso.
- Completata: la simulazione è stata completata.
- Errore: la simulazione non è stata completata a causa di un errore.
Passaggi successivi
- Testare le modifiche ai criteri dell'organizzazione con Policy Simulator
- Testare le modifiche dei ruoli con Policy Simulator