此页面由 Cloud Translation API 翻译。

使用 Policy Simulator 测试主账号访问边界政策更改

本页介绍了如何使用 Policy Simulator 模拟对主账号访问边界 (PAB) 政策或绑定的更改。此外，本页面还介绍了如何解读模拟结果，以及如何应用模拟的主账号访问边界政策或绑定（如果您选择这样做）。

此功能仅根据主账号访问边界政策评估访问权限。

如需了解如何模拟对其他政策类型的更改，请参阅以下内容：

准备工作

Enable the Cloud Asset Inventory, Identity and Access Management, Policy Analyzer, and Policy Simulator APIs.
Enable the APIs
可选：了解适用于主账号访问边界政策的 Policy Simulator 的工作原理。

如需获得测试对主账号访问边界政策和绑定的更改所需的权限，请让您的管理员为您授予组织的以下 IAM 角色：

IAM 操作查看器 (roles/iam.operationViewer)
IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin)
IAM Workload Identity Pool Admin (roles/iam.workloadIdentityPoolAdmin)
Organization Administrator (roles/resourcemanager.organizationAdmin)
Principal Access Boundary Policy Admin (roles/iam.principalAccessBoundaryAdmin)
Workspace 池 IAM 管理员 (roles/iam.workspacePoolAdmin)

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

以下部分介绍了针对主账号访问边界政策或绑定的更改启动模拟的方式。

按照创建政策绑定的步骤操作，但在输入绑定详细信息后，请勿点击添加。请改为点击测试更改。

按照修改主账号访问边界政策的步骤操作，但在修改政策后，请勿点击保存。请改为点击测试更改。

按照相应步骤修改政策绑定，但在修改绑定后，请勿点击保存。请改为点击测试更改。

主账号访问边界政策或绑定模拟的结果页面包含以下信息：

访问权限被撤消部分，其中包含以下信息：
- 如果您应用模拟的主账号访问边界政策或绑定，将会导致主账号失去访问权限的数量
- 如果您应用模拟的主账号访问边界政策或绑定，主账号将失去对已知资源的访问权限的数量
获得的访问权限部分，其中包含以下信息：
- 如果您应用模拟的主账号访问边界政策或绑定，将获得访问权限的主账号数量
- 如果您应用模拟的主账号访问边界政策或绑定，主账号将获得对已知资源的访问权限的数量
访问权限更改表，其中显示了模拟的政策或绑定的效果。如需了解如何解读这些访问权限更改，请参阅Policy Simulator 结果。

查看模拟报告后，您可以执行以下操作：

导出模拟结果：如需将模拟结果导出为 CSV 文件，请点击导出原始结果。

点击此按钮后，系统会将包含模拟报告的 CSV 文件下载到您的计算机。
应用模拟政策更改：您用于应用模拟政策更改的按钮取决于您要模拟的更改类型。
- 模拟修改的主账号访问边界政策或规则，或已删除的规则：点击设置政策。
- 模拟为主账号访问边界政策创建新的绑定或修改现有绑定：点击设置绑定。
- 模拟已删除的主账号访问边界政策：点击删除政策。
- 模拟删除主账号访问边界政策的绑定：点击删除绑定。
点击此按钮后，Google Cloud 控制台会设置模拟的政策或绑定。
修改对政策或绑定的模拟更改：如需对模拟的政策或政策绑定进行进一步更改，请点击返回或返回修改。

点击此按钮后，Google Cloud 控制台会将您重定向到政策或政策绑定编辑器。