Questa pagina descrive come simulare una modifica a un criterio di confine di accesso principale (PAB) o a una associazione utilizzando Policy Simulator. Inoltre, viene spiegato come interpretare i risultati della simulazione e come applicare la policy o l'associazione di Principal Access Boundary simulata, se vuoi.
Questa funzionalità valuta l'accesso solo in base ai criteri di Principal Access Boundary.
Per scoprire come simulare le modifiche ad altri tipi di norme, consulta quanto segue:
- Testare le modifiche alle policy di negazione con Policy Simulator
- Testare le modifiche ai criteri dell'organizzazione con Policy Simulator
- Testare le modifiche dei ruoli con Policy Simulator
Prima di iniziare
-
Enable the Cloud Asset Inventory, Identity and Access Management, Policy Analyzer, and Policy Simulator APIs.
- (Facoltativo) Scopri come funziona Policy Simulator per i criteri di Principal Access Boundary.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per testare le modifiche ai criteri e alle associazioni dei limiti di accesso all'entità, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:
-
Visualizzatore operazioni IAM (
roles/iam.operationViewer) -
IAM Workforce Pool Admin (
roles/iam.workforcePoolAdmin) -
Amministratore pool Workload Identity IAM (
roles/iam.workloadIdentityPoolAdmin) -
Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin) -
Amministratore delle norme di Principal Access Boundary (
roles/iam.principalAccessBoundaryAdmin) -
Amministratore IAM del pool di Workspace (
roles/iam.workspacePoolAdmin)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Avviare una simulazione
Le sezioni seguenti descrivono i modi in cui puoi avviare una simulazione per una modifica a un criterio o a un'associazione di Principal Access Boundary.
Simulare una nuova associazione per un criterio di confine dell'accesso dell'entità
Segui i passaggi per creare una associazione ai criteri, ma non fare clic su Aggiungi dopo aver inserito i dettagli dell'associazione. Fai clic su Testa modifiche.
Simulare una modifica a un criterio di Principal Access Boundary esistente
Segui la procedura per modificare un criterio di Principal Access Boundary, ma non fare clic su Salva dopo aver modificato il criterio. Fai clic su Testa modifiche.
Simula una modifica a un'associazione esistente per un criterio di confine dell'accesso dell'entità
Segui i passaggi per modificare un'associazione di criteri, ma non fare clic su Salva dopo aver modificato l'associazione. Fai clic su Testa modifiche.
Simulare l'eliminazione delle regole di Principal Access Boundary
Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.
Seleziona l'organizzazione proprietaria del criterio di confine dell'accesso dell'entità di cui vuoi eliminare le regole.
Fai clic sull'ID del criterio di Principal Access Boundary di cui vuoi eliminare la regola.
Nella tabella Regole di confine, seleziona le regole da eliminare e poi fai clic su Testa l'eliminazione delle regole.
Simulare l'eliminazione di un criterio di confine dell'accesso dell'entità
Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.
Seleziona l'organizzazione proprietaria del criterio di confine dell'accesso dell'entità di cui vuoi eliminare l'associazione.
Trova l'ID del criterio che vuoi eliminare. Nella riga del criterio, fai clic su Azioni e poi su Testa eliminazione criterio.
Simulare l'eliminazione di un'associazione per un criterio di confine dell'accesso dell'entità
Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.
Seleziona l'organizzazione proprietaria del criterio di confine dell'accesso dell'entità di cui vuoi eliminare l'associazione.
Fai clic sull'ID del criterio di Principal Access Boundary di cui vuoi eliminare le associazioni.
Fai clic sulla scheda Vincoli.
Trova l'ID della associazione che vuoi eliminare. Nella riga della associazione, fai clic su Azioni e poi su Test eliminazione associazione.
Comprendere i risultati della simulazione
La pagina dei risultati di una simulazione di associazione o di criterio di confine dell'accesso dell'entità contiene le seguenti informazioni:
Una sezione Accesso revocato, che contiene le seguenti informazioni:
- Il numero di entità che perderebbero l'accesso se applichi la simulazione della policy o dell'associazione di Principal Access Boundary
- Il numero di risorse note a cui le entità perderebbero l'accesso se si applicasse la policy o l'associazione di Principal Access Boundary simulata
Una sezione Accesso ottenuto, che contiene le seguenti informazioni:
- Il numero di entità che acquisirebbero l'accesso se applichi la associazione o il criterio di confine dell'accesso dell'entità simulato
- Il numero di risorse note a cui le entità acquisirebbero l'accesso se si applicasse la policy o l'associazione di Principal Access Boundary simulata
Una tabella delle modifiche di accesso che mostra l'impatto della policy o dell'associazione simulata. Per scoprire come interpretare queste modifiche di accesso, consulta Risultati di Policy Simulator.
Intervenire in base a una simulazione
Dopo aver esaminato un report di simulazione, puoi eseguire le seguenti azioni:
Esporta i risultati della simulazione: per esportare i risultati di una simulazione come file CSV, fai clic su Esporta i risultati non elaborati.
Quando fai clic su questo pulsante, sul computer viene scaricato un file CSV con i report di simulazione.
Applica la modifica simulata delle norme: il pulsante su cui fai clic per applicare una modifica simulata delle norme dipende dal tipo di modifica che stai simulando.
- Simulazione di una regola o di un criterio di confine dell'accesso dell'entità modificato o di una regola eliminata: fai clic su Imposta criterio.
- Simulazione di un'associazione nuova o modificata per un criterio di confine dell'accesso dell'entità: fai clic su Imposta associazione.
- Simulazione di un criterio di confine dell'accesso dell'entità eliminato: fai clic su Elimina criterio.
- Simulazione di un'associazione eliminata per un criterio di confine dell'accesso dell'entità: fai clic su Elimina associazione.
Quando fai clic su questo pulsante, la console Google Cloud imposta il criterio o il vincolo simulato.
Modifica la modifica simulata al criterio o all'associazione: per apportare altre modifiche al criterio o all'associazione di criteri simulati, fai clic su Indietro o Torna alla modifica.
Quando fai clic su questo pulsante, la console Google Cloud ti reindirizza all'editor dei criteri o dei vincoli dei criteri.
Passaggi successivi
- Testare le modifiche ai criteri dell'organizzazione con Policy Simulator
- Testare le modifiche dei ruoli con Policy Simulator