Auf dieser Seite wird beschrieben, wie Sie eine Änderung an einer Richtlinie für Principal Access Boundary (PAB) oder Bindung mit dem Policy Simulator simulieren. Außerdem werden die Ergebnisse der Simulation und die Anwendung der simulierten Principal Access Boundary-Richtlinie oder -Bindung auf Anfrage erläutert.
Mit dieser Funktion wird der Zugriff nur anhand von Principal Access Boundary-Richtlinien ausgewertet.
Informationen zum Simulieren von Änderungen an anderen Richtlinientypen finden Sie hier:
- Änderungen an Ablehnungsrichtlinien mit dem Richtliniensimulator testen
- Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen
- Rollenänderungen mit Policy Simulator testen
Hinweise
-
Enable the Cloud Asset Inventory, Identity and Access Management, Policy Analyzer, and Policy Simulator APIs.
- Optional: Weitere Informationen zur Funktionsweise des Policy Simulator für Principal Access Boundary-Richtlinien
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Testen von Änderungen an Principal Access Boundary-Richtlinien und ‑Bindungen benötigen:
-
IAM-Vorgang-Betrachter (
roles/iam.operationViewer) -
IAM-Personalpool-Administrator (
roles/iam.workforcePoolAdmin) -
IAM Workload Identity-Pooladministrator (
roles/iam.workloadIdentityPoolAdmin) -
Administrator der Organisation (
roles/resourcemanager.organizationAdmin) -
Administrator der Richtlinie für Berechtigungsgrenzen (
roles/iam.principalAccessBoundaryAdmin) -
Workspace-Pool-IAM-Administrator (
roles/iam.workspacePoolAdmin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Simulation starten
In den folgenden Abschnitten wird beschrieben, wie Sie eine Simulation für eine Änderung an einer Principal Access Boundary-Richtlinie oder -Bindung starten können.
Neue Bindung für eine Principal Access Boundary-Richtlinie simulieren
Folgen Sie der Anleitung zum Erstellen einer Richtlinienbindung, klicken Sie aber nicht auf Hinzufügen, nachdem Sie die Details zur Bindung eingegeben haben. Klicken Sie stattdessen auf Änderungen testen.
Eine Änderung an einer vorhandenen Principal Access Boundary-Richtlinie simulieren
Folgen Sie der Anleitung zum Bearbeiten einer Principal Access Boundary-Richtlinie, klicken Sie aber nach dem Bearbeiten der Richtlinie nicht auf Speichern. Klicken Sie stattdessen auf Änderungen testen.
Eine Änderung an einer vorhandenen Bindung für eine Principal Access Boundary-Richtlinie simulieren
Folgen Sie der Anleitung zum Bearbeiten einer Richtlinienbindung, klicken Sie aber nach dem Bearbeiten der Bindung nicht auf Speichern. Klicken Sie stattdessen auf Änderungen testen.
Löschen von Principal Access Boundary-Regeln simulieren
Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.
Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, deren Regeln Sie löschen möchten.
Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, deren Regel Sie löschen möchten.
Wählen Sie in der Tabelle Grenzregeln die Regeln aus, die Sie löschen möchten, und klicken Sie dann auf Löschregeln testen.
Löschen einer Principal Access Boundary-Richtlinie simulieren
Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.
Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, deren Bindung Sie löschen möchten.
Suchen Sie die ID der Richtlinie, die Sie löschen möchten. Klicken Sie in der Zeile dieser Richtlinie auf Aktionen und dann auf Löschrichtlinie testen.
Löschen einer Bindung für eine Principal Access Boundary-Richtlinie simulieren
Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.
Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, deren Bindung Sie löschen möchten.
Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, deren Bindungen Sie löschen möchten.
Klicken Sie auf den Tab Bindungen.
Suchen Sie die ID der Bindung, die Sie löschen möchten. Klicken Sie in der Zeile dieser Bindung auf Aktionen und dann auf Bindung zum Löschen testen.
Simulationsergebnisse analysieren
Die Ergebnisseite für eine Simulation einer Principal Access Boundary-Richtlinie oder -Bindung enthält die folgenden Informationen:
Einen Abschnitt Zugriff widerrufen mit den folgenden Informationen:
- Die Anzahl der Hauptkonten, die keinen Zugriff mehr hätten, wenn Sie die simulierte Principal Access Boundary-Richtlinie oder ‑Bindung anwenden
- Die Anzahl der bekannten Ressourcen, auf die Hauptkonten keinen Zugriff mehr hätten, wenn Sie die simulierte Principal Access Boundary-Richtlinie oder -Bindung anwenden würden
Einen Abschnitt Erworbener Zugriff mit den folgenden Informationen:
- Die Anzahl der Hauptkonten, die Zugriff erhalten würden, wenn Sie die simulierte Principal Access Boundary-Richtlinie oder ‑Bindung anwenden
- Die Anzahl der bekannten Ressourcen, auf die Hauptkonten zugreifen könnten, wenn Sie die simulierte Principal Access Boundary-Richtlinie oder ‑Bindung anwenden
Eine Tabelle mit den Zugriffsänderungen, die die Auswirkungen der simulierten Richtlinie oder Bindung zeigt. Informationen zur Interpretation dieser Zugriffsänderungen finden Sie unter Ergebnisse des Richtliniensimulators.
Auf Grundlage einer Simulation Maßnahmen ergreifen
Nachdem Sie einen Simulationsbericht geprüft haben, können Sie die folgenden Aktionen ausführen:
Simulationsergebnisse exportieren: Wenn Sie die Ergebnisse einer Simulation als CSV-Datei exportieren möchten, klicken Sie auf Exportieren von Rohergebnissen.
Wenn Sie auf diese Schaltfläche klicken, wird eine CSV-Datei mit den Simulationsberichten auf Ihren Computer heruntergeladen.
Simulierte Richtlinienänderung anwenden: Die Schaltfläche, auf die Sie klicken, um eine simulierte Richtlinienänderung anzuwenden, hängt von der Art der Änderung ab, die Sie simulieren.
- Bearbeiten einer Principal Access Boundary-Richtlinie oder -Regel oder Löschen einer Regel simulieren: Klicken Sie auf Richtlinie festlegen.
- Neue oder bearbeitete Bindung für eine Principal Access Boundary-Richtlinie simulieren: Klicken Sie auf Bindung festlegen.
- Löschen einer Principal Access Boundary-Richtlinie simulieren: Klicken Sie auf Richtlinie löschen.
- Simulieren einer gelöschten Bindung für eine Principal Access Boundary-Richtlinie: Klicken Sie auf Bindung löschen.
Wenn Sie auf diese Schaltfläche klicken, wird in der Google Cloud Console die simulierte Richtlinie oder Bindung festgelegt.
Simulierte Änderung an der Richtlinie oder Bindung bearbeiten: Wenn Sie weitere Änderungen an der simulierten Richtlinie oder Richtlinienbindung vornehmen möchten, klicken Sie auf Zurück oder Zur Bearbeitung zurückkehren.
Wenn Sie auf diese Schaltfläche klicken, werden Sie in der Google Cloud Console zum Editor für Richtlinien oder Richtlinienbindungen weitergeleitet.
Nächste Schritte
- Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen
- Rollenänderungen mit Policy Simulator testen