このページでは、Policy Simulator を使用してプリンシパル アクセス境界(PAB)ポリシーまたはバインディングの変更をシミュレートする方法について説明します。また、シミュレーションの結果を解釈する方法と、シミュレートしたプリンシパル アクセス境界ポリシーまたはバインディングを適用する方法(そのように選択した場合)についても説明します。
この機能は、プリンシパル アクセス境界ポリシーに基づいてアクセスのみを評価します。
他のポリシータイプの変更をシミュレートする方法については、以下をご覧ください。
始める前に
-
Enable the Cloud Asset Inventory, Identity and Access Management, Policy Analyzer, and Policy Simulator APIs.
- 省略可: プリンシパル アクセス境界ポリシーの Policy Simulator の仕組みをご覧ください。
必要なロール
プリンシパル アクセス境界ポリシーとバインディングの変更をテストするために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。
-
IAM オペレーション閲覧者 (
roles/iam.operationViewer) -
IAM Workforce プール管理者 (
roles/iam.workforcePoolAdmin) -
IAM Workload Identity プール管理者 (
roles/iam.workloadIdentityPoolAdmin) -
組織管理者 (
roles/resourcemanager.organizationAdmin) -
プリンシパル アクセス境界ポリシー管理者 (
roles/iam.principalAccessBoundaryAdmin) -
Workspace プール IAM 管理者 (
roles/iam.workspacePoolAdmin)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
シミュレーションを開始する
以降のセクションでは、プリンシパル アクセス境界ポリシーまたはバインディングの変更のシミュレーションを開始する方法について説明します。
プリンシパル アクセス境界ポリシーの新しいバインディングをシミュレートする
手順に沿ってポリシー バインディングを作成しますが、バインディングの詳細を入力した後で [追加] をクリックしないでください。代わりに、[変更をテスト] をクリックします。
既存のプリンシパル アクセス境界ポリシーの編集をシミュレートする
プリンシパル アクセス境界ポリシーを編集する手順に沿って操作します。ただし、ポリシーを編集した後、[保存] はクリックしないでください。代わりに、[変更をテスト] をクリックします。
プリンシパル アクセス境界ポリシーの既存のバインディングの編集をシミュレートする
手順に沿ってポリシー バインディングを編集しますが、バインディングの編集後に [保存] をクリックしないでください。代わりに、[変更をテスト] をクリックします。
プリンシパル アクセス境界ルールの削除をシミュレートする
Google Cloud コンソールで、[プリンシパル アクセス境界ポリシー] ページに移動します。
ルールを削除するプリンシパル アクセス境界ポリシーを所有する組織を選択します。
ルールを削除するプリンシパル アクセス境界ポリシーのポリシー ID をクリックします。
[境界ルール] テーブルで、削除するルールを選択し、 [ルールの削除をテスト] をクリックします。
プリンシパル アクセス境界ポリシーの削除をシミュレートする
Google Cloud コンソールで、[プリンシパル アクセス境界ポリシー] ページに移動します。
バインディングを削除するプリンシパル アクセス境界ポリシーの組織を選択します。
削除するポリシーの ID を見つけます。そのポリシーの行で、(アクション)をクリックし、[ポリシーの削除をテスト] をクリックします。
プリンシパル アクセス境界ポリシーのバインディングの削除をシミュレートする
Google Cloud コンソールで、[プリンシパル アクセス境界ポリシー] ページに移動します。
バインディングを削除するプリンシパル アクセス境界ポリシーの組織を選択します。
バインディングを削除するプリンシパル アクセス境界ポリシーのポリシー ID をクリックします。
[バインディング] タブをクリックします。
削除するバインディングの ID を見つけます。そのバインディングの行で、(アクション)をクリックし、[バインディングの削除をテスト] をクリックします。
シミュレーション結果を理解する
プリンシパル アクセス境界ポリシーまたはバインディングのシミュレーションの結果ページには、次の情報が表示されます。
[アクセス権が取り消されました] セクション。次の情報が含まれます。
- シミュレートされたプリンシパル アクセス境界ポリシーまたはバインディングを適用した場合にアクセス権を失うプリンシパルの数
- シミュレートされたプリンシパル アクセス境界ポリシーまたはバインディングを適用した場合に、プリンシパルがアクセスできなくなる既知のリソースの数
[アクセス権の取得] セクション。次の情報が含まれます。
- シミュレートされたプリンシパル アクセス境界ポリシーまたはバインディングを適用した場合にアクセス権を取得するプリンシパルの数
- シミュレートされたプリンシパル アクセス境界ポリシーまたはバインディングを適用した場合にプリンシパルがアクセスできる既知のリソースの数
アクセス権の変更の表。シミュレートされたポリシーまたはバインディングの影響を示します。これらのアクセス権の変更を解釈する方法については、Policy Simulator の結果をご覧ください。
シミュレーションに基づいて対応する
シミュレーション レポートを確認したら、次の操作を行うことができます。
シミュレーション結果をエクスポートする: シミュレーションの結果を CSV ファイルとしてエクスポートするには、[未加工の結果をエクスポート] をクリックします。
このボタンをクリックすると、シミュレーション レポートを含む CSV ファイルがパソコンにダウンロードされます。
シミュレートされたポリシー変更を適用する: シミュレートされたポリシー変更を適用するためにクリックするボタンは、シミュレートする変更の種類によって異なります。
- 編集したプリンシパル アクセス境界ポリシーまたはルール、または削除したルールをシミュレートする: [ポリシーを設定] をクリックします。
- プリンシパル アクセス境界ポリシーの新しいバインディングまたは編集済みバインディングをシミュレートする: [バインディングを設定] をクリックします。
- 削除されたプリンシパル アクセス境界ポリシーをシミュレートする: [ポリシーを削除] をクリックします。
- プリンシパル アクセス境界ポリシーの削除済みバインディングをシミュレートする: [バインディングを削除] をクリックします。
このボタンをクリックすると、 Google Cloud コンソールで、シミュレートされたポリシーまたはバインディングが設定されます。
ポリシーまたはバインディングに対するシミュレートされた変更を編集する: シミュレートされたポリシーまたはポリシー バインディングにさらに変更を加える場合は、[戻る] または [編集に戻る] をクリックします。
このボタンをクリックすると、 Google Cloud コンソールから、ポリシーまたはポリシー バインディング エディタにリダイレクトされます。