このページでは、Policy Simulator を使用して IAM 拒否ポリシーの変更をシミュレートする方法について説明します。また、シミュレーションの結果を解釈する方法と、シミュレートした拒否ポリシーを適用する方法(そのように選択した場合)についても説明します。
この機能は、拒否ポリシーに基づいてアクセスのみを評価します。
他のタイプのポリシーをシミュレートする方法については、以下をご覧ください。
始める前に
-
Enable the Policy Simulator and Identity and Access Management APIs.
- 省略可: 拒否ポリシーの Policy Simulator の仕組みをご覧ください。
必要なロール
拒否ポリシーの変更をテストするために必要な権限を取得するには、組織に対する拒否管理者 (roles/iam.denyAdmin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
拒否ポリシーの変更をシミュレートする
拒否ポリシーをシミュレートする手順は次のとおりです。
シミュレーションを開始する
シミュレーションを開始する方法は次のとおりです。
新しい拒否ポリシーをシミュレートします。
- Google Cloud コンソールの [IAM] ページで、[拒否] タブに移動します。
- プロジェクト、フォルダ、または組織を選択します。
- 手順に沿って拒否ポリシーを作成しますが、拒否ポリシーの詳細を入力した後で [作成] をクリックしないでください。代わりに、[ポリシーをテスト] をクリックします。
拒否ポリシーの編集をシミュレートします。
Google Cloud コンソールの [IAM] ページで、[拒否] タブに移動します。
プロジェクト、フォルダ、または組織を選択します。
[ポリシー ID] 列で、編集するポリシーの ID をクリックします。
[ 編集] をクリックします。
拒否ポリシーを更新します。
- ポリシーの表示名を変更するには、[表示名] フィールドを編集します。
- 既存の拒否ルールを編集するには、拒否ルールをクリックし、ルールのプリンシパル、例外プリンシパル、拒否された権限、例外権限、拒否条件を変更します。
- 拒否ルールを削除するには、削除する拒否ルールを見つけて、その行の [削除] をクリックします。
- 拒否ルールを追加するには、[拒否ルールを追加] をクリックし、拒否ポリシーを作成するときと同じように拒否ルールを作成します。
拒否ポリシーの更新が完了したら、[変更をテスト] をクリックします。
[ポリシーをテスト] または [変更をテスト] をクリックすると、Policy Simulator がシミュレーションを開始し、[拒否シミュレーション レポート] ページにリダイレクトされます。進行状況を失うことなく、このページから移動できます。
シミュレーションが完了するまで待機する
シミュレーションを開始すると、Google Cloud コンソールにシミュレーションの実行に関する通知が生成されます。
シミュレーションが完了すると、Google Cloud コンソールにシミュレーションが完了したことを示す別の通知が生成されます。この通知を受け取ったら、シミュレーション レポートを表示できます。
各ユーザーは、最大 10 件の進行中のシミュレーションを作成できます。
シミュレーション レポートを表示する
Google Cloud コンソールで、[シミュレーション レポートを拒否する] ページに移動します。
レポートを表示するシミュレーションを見つけて、その行の [レポートを表示] をクリックします。
シミュレーション レポートには次のものが含まれます。
- シミュレーションの詳細の概要(シミュレートされたポリシー、シミュレートされたアクション、シミュレーション時間など)。
- [ポリシーを表示] または [ポリシーの変更を表示] ボタン: クリックすると、シミュレートされたポリシーが JSON 形式で表示されます。ポリシー変更をシミュレートしている場合は、現在のポリシーとシミュレートされたポリシーの違いも表示されます。
- [Replay results] セクション: シミュレーションの結果が表示されます。これらの結果の解釈方法については、Policy Simulator の結果をご覧ください。
シミュレーションに基づいて対応する
シミュレーション レポートを確認したら、次の操作を行うことができます。
シミュレーション結果をエクスポートする: シミュレーションの結果を CSV ファイルとしてエクスポートするには、[結果をエクスポート] をクリックします。
このボタンをクリックすると、シミュレーション レポートを含む CSV ファイルがパソコンにダウンロードされます。
シミュレートされたポリシーの変更を適用する: シミュレートされたポリシーまたはポリシーの変更を適用するには、[ポリシーを設定] をクリックします。
このボタンをクリックすると、Google Cloud コンソールでシミュレートされたポリシーが設定されます。
ポリシーに対するシミュレートされた変更を編集する: シミュレートされたポリシーまたはポリシーの変更をさらに変更するには、[ポリシーを変更] をクリックします。
このボタンをクリックすると、Google Cloud コンソールで拒否ポリシー エディタにリダイレクトされます。
または、[キャンセル] をクリックして、何も行わずにシミュレーション レポートを終了することもできます。
シミュレーションの履歴を表示する
[拒否シミュレーション レポート] ページには、過去 14 日間に実行したすべてのシミュレーションが一覧表示されます。このリストはユーザーごとに一意であり、共有できません。
[拒否シミュレーション レポート] ページを表示するには、次の操作を行います。
Google Cloud コンソールの [IAM] ページで、[拒否] タブに移動します。
シミュレーションを表示するプロジェクト、フォルダ、または組織を選択します。
[シミュレーションの履歴] をクリックします。
シミュレーションごとに、シミュレーションの対象となるポリシー、シミュレーションを開始した日付、シミュレーションのステータスが表示されます。
シミュレーションのステータスは次のとおりです。
- 進行中: シミュレーションは実行されていますが、まだ完了していません。進行中のシミュレーションは最大 10 個まで作成できます。
- 完了: シミュレーションが完了しました。
- エラー: エラーが発生したため、シミュレーションを完了できませんでした。