Probar los cambios en la política de límites de acceso de principales con el simulador de políticas

En esta página se describe cómo simular un cambio en una política de límite de acceso principal (PAB) o en un enlace mediante el simulador de políticas. También se explica cómo interpretar los resultados de la simulación y cómo aplicar la política o la vinculación de límite de acceso de la entidad de seguridad simulada, si lo desea.

Esta función solo evalúa el acceso en función de las políticas de límites de acceso de principales.

Para saber cómo simular cambios en otros tipos de políticas, consulta lo siguiente:

• Probar los cambios en las políticas de denegación con el simulador de políticas
• Probar los cambios en las políticas de organización con el simulador de políticas
• Probar los cambios de rol con el simulador de política

Antes de empezar

• Enable the Cloud Asset Inventory, Identity and Access Management, Policy Analyzer, and Policy Simulator APIs.

  Roles required to enable APIs

  To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

  Enable the APIs

• Opcional: Consulta cómo funciona el simulador de políticas de límites de acceso de principales.

Roles obligatorios

Para obtener los permisos que necesitas para probar los cambios en las políticas y las vinculaciones de límites de acceso de principales, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en la organización:

• Lector de operaciones de gestión de identidades y accesos (roles/iam.operationViewer)
• Administrador de grupos de personal de IAM (roles/iam.workforcePoolAdmin)
• Administrador de grupos de Workload Identity de IAM (roles/iam.workloadIdentityPoolAdmin)
• Administrador de la organización (roles/resourcemanager.organizationAdmin)
• Administrador de la política Límites de Acceso de Principales (roles/iam.principalAccessBoundaryAdmin)
• Administrador de IAM de grupo de Workspace (roles/iam.workspacePoolAdmin)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Iniciar una simulación

En las siguientes secciones se describen las formas en las que puedes iniciar una simulación de un cambio en una política o una vinculación de límites de acceso de principales.

Simular una nueva vinculación para una política de límites de acceso de principales

Sigue los pasos para crear un enlace de política, pero no hagas clic en Añadir después de introducir los detalles del enlace. En su lugar, haga clic en Probar cambios.

Simular la edición de una política de límites de acceso de principales

Sigue los pasos para editar una política de límites de acceso de principales, pero no hagas clic en Guardar después de editar la política. En su lugar, haga clic en Probar cambios.

Simular la edición de un enlace de una política de límites de acceso de principales

Sigue los pasos para editar una vinculación de política, pero no hagas clic en Guardar después de editar la vinculación. En su lugar, haga clic en Probar cambios.

Simular la eliminación de reglas de límites de acceso de principales

1. En la Google Cloud consola, ve a la página Políticas de límite de acceso de principales.

   Ir a las políticas de límites de acceso de principales

2. Selecciona la organización propietaria de la política de límite de acceso principal cuyas reglas quieras eliminar.

3. Haga clic en el ID de la política de límites de acceso de principales cuya regla quiera eliminar.

4. En la tabla Reglas de límite, selecciona las reglas que quieras eliminar y, a continuación, haz clic en auto_delete Eliminar reglas de prueba.

Simular la eliminación de una política de límites de acceso de principales

1. En la Google Cloud consola, ve a la página Políticas de límite de acceso de principales.

   Ir a las políticas de límites de acceso de principales

2. Selecciona la organización propietaria de la política de límite de acceso principal cuya vinculación quieras eliminar.

3. Busca el ID de la política que quieras eliminar. En la fila de esa política, haz clic en more_vert Acciones y, a continuación, en Probar eliminación de política.

Simular la eliminación de una vinculación de una política de límites de acceso de principales

1. En la Google Cloud consola, ve a la página Políticas de límite de acceso de principales.

   Ir a las políticas de límites de acceso de principales

2. Selecciona la organización propietaria de la política de límite de acceso principal cuya vinculación quieras eliminar.

3. Haga clic en el ID de la política de límites de acceso de principales cuyas vinculaciones quiera eliminar.

4. Haz clic en la pestaña Enlaces.

5. Busca el ID del enlace que quieras eliminar. En la fila de esa vinculación, haz clic en more_vert Acciones y, a continuación, en Probar eliminación de vinculación.

Interpretar los resultados de la simulación

La página de resultados de una simulación de política o de enlace de límite de acceso principal contiene la siguiente información:

• Una sección Acceso revocado, que contiene la siguiente información:

  • Número de principales que perderían el acceso si aplicaras la política o la vinculación de límites de acceso de principales simulada
  • El número de recursos conocidos a los que las entidades principales perderían el acceso si aplicaras la política o la vinculación de límites de acceso de principales simulada

• Una sección Acceso concedido, que contiene la siguiente información:

  • Número de principales que obtendrían acceso si aplicara la política o la vinculación de límites de acceso de principales simulada
  • Número de recursos conocidos a los que las entidades principales obtendrían acceso si aplicaras la política o la vinculación de límites de acceso de la entidad principal simulada.

• Una tabla de los cambios de acceso, que muestra el impacto de la política o la vinculación simuladas. Para saber cómo interpretar estos cambios en el acceso, consulta los resultados del simulador de políticas.

Tomar medidas en función de una simulación

Después de revisar un informe de simulación, puedes hacer lo siguiente:

• Exportar los resultados de la simulación: para exportar los resultados de una simulación como archivo CSV, haz clic en Exportar resultados sin procesar.

  Al hacer clic en este botón, se descargará en tu ordenador un archivo CSV con los informes de simulación.

• Aplicar el cambio de política simulado: el botón en el que hagas clic para aplicar un cambio de política simulado dependerá del tipo de cambio que estés simulando.

  • Para simular una política o una regla de límite de acceso de un principal editada, o una regla eliminada, haz clic en Definir política.
  • Simular una vinculación nueva o editada para una política de límites de acceso de principales: haz clic en Definir vinculación.
  • Simular una política de límites de acceso de principales eliminada: haz clic en Eliminar política.
  • Simular la eliminación de un enlace de una política de límites de acceso de principales: haz clic en Eliminar enlace.

  Cuando haces clic en este botón, la consola Google Cloud define la política o la vinculación simuladas.

• Editar el cambio simulado en la política o el enlace: para hacer más cambios en la política o el enlace de la política simulados, haz clic en Atrás o en Volver a editar.

  Cuando haces clic en este botón, la consola Google Cloud te redirige al editor de políticas o de enlaces de políticas.

Siguientes pasos

• Probar los cambios en las políticas de organización con el simulador de políticas
• Probar los cambios de rol con el simulador de política