Questa pagina descrive come simulare una modifica a una policy di negazione IAM utilizzando Policy Simulator. Spiega anche come interpretare i risultati della simulazione e come applicare la policy di negazione simulata, se lo preferisci.
Questa funzionalità valuta l'accesso solo in base alle policy di negazione.
Per scoprire come simulare altri tipi di policy, consulta:
- Testa le modifiche alla policy dell'organizzazione con Policy Simulator
- Testa le modifiche alla policy di Principal Access Boundary con Policy Simulator
- Testa le modifiche dei ruoli con Policy Simulator
Prima di iniziare
-
Abilita le API Policy Simulator e Identity and Access Management.
Ruoli richiesti per abilitare le API
Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo servizi (
roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazioneserviceusage.services.enable. Scopri come concedere i ruoli. - (Facoltativo) Scopri come funziona Policy Simulator per le policy di negazione.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per testare le modifiche alle policy di negazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore di negazione (roles/iam.denyAdmin) nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Simula una modifica a una policy di negazione
La simulazione di una policy di negazione prevede i seguenti passaggi:
- Avvio della simulazione
- Attesa del completamento della simulazione
- Visualizzazione del report sulla simulazione
- Intervento in base alla simulazione
Avvia una simulazione
Puoi avviare una simulazione nei seguenti modi:
Simula una nuova policy di negazione:
- Nellaconsole, vai alla scheda Nega nella pagina IAM. Google Cloud
- Seleziona un progetto, una cartella o un'organizzazione.
- Segui i passaggi per creare una policy di negazione, ma non fare clic su Crea dopo aver inserito i dettagli della policy di negazione. Fai invece clic su Testa policy.
Simula una modifica a una policy di negazione:
Nellaconsole, vai alla scheda Nega nella pagina IAM. Google Cloud
Seleziona un progetto, una cartella o un'organizzazione.
Nella colonna ID policy, fai clic sull'ID della policy che vuoi modificare.
Fai clic su Modifica.
Aggiorna la policy di negazione:
- Per modificare il nome visualizzato della policy, modifica il campo Nome visualizzato.
- Per modificare una regola di negazione esistente, fai clic sulla regola di negazione e poi modifica i principali della regola, i principali di eccezione, le autorizzazioni negate, le autorizzazioni di eccezione o la condizione di negazione.
- Per rimuovere una regola di negazione, individua la regola di negazione che vuoi eliminare e poi fai clic su Elimina nella riga corrispondente.
- Per aggiungere una regola di negazione, fai clic su Aggiungi regola di negazione e poi crea una regola di negazione come quando crei una policy di negazione.
Al termine dell'aggiornamento della policy di negazione, fai clic su Testa modifiche.
Quando fai clic su Testa policy o Testa modifiche, Policy Simulator avvia la simulazione e ti reindirizza alla pagina Report sulla simulazione di negazione. Puoi uscire da questa pagina senza perdere i progressi.
Attendi il completamento di una simulazione
Dopo aver avviato una simulazione, la Google Cloud console genera una notifica che indica che la simulazione è in corso.
Al termine della simulazione, la Google Cloud console genera un'altra notifica che indica che la simulazione è stata completata. Quando ricevi questa notifica, puoi visualizzare il report sulla simulazione.
Ogni utente può avere fino a 50 simulazioni in corso.
Visualizza un report sulla simulazione
Nella Google Cloud console, vai alla pagina Report sulla simulazione di negazione.
Individua la simulazione di cui vuoi visualizzare il report e poi fai clic su Visualizza report nella riga corrispondente.
Il report sulla simulazione contiene quanto segue:
- Una panoramica dei dettagli della simulazione, tra cui la policy simulata, l'azione simulata e l'ora della simulazione.
- Un pulsante Visualizza policy o Visualizza modifiche alla policy che, quando viene selezionato, mostra la policy simulata in formato JSON. Se stai simulando la modifica della policy, potrebbe anche mostrare la differenza tra la policy attuale e la policy simulata.
- Una sezione Riproduci risultati, che mostra i risultati della simulazione. Per scoprire come interpretare questi risultati, consulta Risultati di Policy Simulator results.
Passa all'azione in base a una simulazione
Dopo aver esaminato un report sulla simulazione, puoi svolgere le seguenti azioni:
Esporta i risultati della simulazione: per esportare i risultati di una simulazione come file CSV, fai clic su Esporta risultati.
Quando fai clic su questo pulsante, sul computer viene scaricato un file CSV con i report sulla simulazione.
Applica la modifica della policy simulata: per applicare la policy simulata o la modifica della policy, fai clic su Imposta policy.
Quando fai clic su questo pulsante, la Google Cloud console imposta la policy simulata.
Modifica la modifica simulata della policy: per apportare ulteriori modifiche alla policy simulata o alla modifica della policy, fai clic su Modifica policy.
Quando fai clic su questo pulsante, la Google Cloud console ti reindirizza all' editor della policy di negazione.
In alternativa, puoi fare clic su Annulla per uscire dal report sulla simulazione senza intraprendere alcuna azione.
Visualizza la cronologia delle simulazioni
La pagina Report sulla simulazione di negazione contiene una tabella che elenca tutte le simulazioni eseguite negli ultimi 14 giorni. Questo elenco è univoco per ogni utente e non può essere condiviso.
Per visualizzare la pagina Report sulla simulazione di negazione:
Nella Google Cloud console, vai alla scheda Nega nella pagina IAM.
Seleziona il progetto, la cartella o l'organizzazione di cui vuoi visualizzare le simulazioni.
Fai clic su Cronologia simulazioni.
Per ogni simulazione, la pagina elenca la policy a cui si riferisce la simulazione, la data di avvio della simulazione e lo stato della simulazione.
Le simulazioni possono avere i seguenti stati:
- In corso: la simulazione è in esecuzione, ma non è ancora stata completata. Puoi avere fino a 50 simulazioni in corso.
- Completata: la simulazione è stata completata.
- Errore: non è stato possibile completare la simulazione a causa di un errore.
Passaggi successivi
- Testa le modifiche alla policy dell'organizzazione con Policy Simulator
- Testa le modifiche dei ruoli con Policy Simulator