本页介绍了如何使用 Policy Simulator 模拟对 IAM 拒绝政策的更改。此外,本页面还介绍了如何解读模拟结果以及如何应用模拟的拒绝政策(如果您选择这样做)。
此功能仅根据拒绝政策评估访问权限。
如需了解如何模拟其他类型的政策,请参阅以下内容:
准备工作
-
Enable the Policy Simulator and Identity and Access Management APIs.
- 可选:了解用于拒绝政策的 Policy Simulator 的运作方式。
所需的角色
如需获得测试拒绝政策更改所需的权限,请让您的管理员为您授予组织的 Deny Admin (roles/iam.denyAdmin) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
模拟对拒绝政策的更改
模拟拒绝政策涉及以下步骤:
开始模拟
您可以通过以下方式启动模拟:
模拟新的拒绝政策:
- 在 Google Cloud 控制台中,转到 IAM 页面上的拒绝标签页。
- 选择一个项目、文件夹或组织。
- 按照创建拒绝政策的步骤操作,但在输入拒绝政策详细信息后,请勿点击创建。请改为点击测试政策。
模拟对拒绝政策的修改:
当您点击测试政策或测试更改时,Policy Simulator 会启动模拟,并将您重定向到拒绝模拟报告页面。您可以离开此页面,且不会丢失进度。
等待模拟完成
启动模拟后,Google Cloud 控制台会生成模拟正在运行的通知。
模拟完成后,Google Cloud 控制台会再生成一条通知,告知模拟已完成。收到此通知后,您可以查看模拟报告。
每位用户最多可以有 10 个正在进行的模拟。
查看模拟报告
在 Google Cloud 控制台中,前往拒绝模拟报告页面。
找到要查看报告的模拟,然后点击该行中的查看报告。
模拟报告包含以下内容:
- 模拟详细信息的概览,包括模拟的政策、模拟的操作和模拟时间。
- 查看政策或查看政策更改按钮,点击该按钮后,系统会以 JSON 格式显示模拟政策。如果您正在模拟政策更改,则该页面可能还会显示当前政策与模拟政策之间的差异。
- 重放结果部分,用于显示模拟结果。如需了解如何解读这些结果,请参阅Policy Simulator 结果。
根据模拟结果采取行动
查看模拟报告后,您可以执行以下操作:
导出模拟结果:如需将模拟结果导出为 CSV 文件,请点击导出结果。
点击此按钮后,系统会将包含模拟报告的 CSV 文件下载到您的计算机。
应用模拟政策更改:如需应用模拟政策或政策更改,请点击设置政策。
点击此按钮后,Google Cloud 控制台会设置模拟政策。
修改对政策的模拟更改:如需对模拟的政策或政策更改进行进一步更改,请点击修改政策。
点击此按钮后,Google Cloud 控制台会将您重定向至拒绝政策编辑器。
或者,您也可以点击取消,退出模拟报告而不执行任何操作。
查看模拟运行的历史记录
拒绝模拟报告页面包含一个表格,其中列出了您在过去 14 天内运行的所有模拟。此列表因用户而异,无法共享。
如需查看拒绝模拟报告页面,请执行以下操作:
在 Google Cloud 控制台中,转到 IAM 页面上的拒绝标签页。
选择要查看其模拟的项目、文件夹或组织。
点击 Simulation history(模拟历史记录)。
对于每项模拟,该页面都会列出模拟所针对的政策、您开始模拟的日期以及模拟的状态。
模拟可能具有以下状态:
- 正在进行:模拟正在运行,但尚未完成。您最多可以同时进行 10 项模拟。
- 已完成:模拟已完成。
- 错误:由于出错,无法完成模拟。