使用 Policy Simulator 测试拒绝政策更改

本页面介绍了如何使用 Policy Simulator 模拟对 IAM 拒绝政策的更改。此外,本页面还介绍了如何解读模拟结果以及如何应用模拟的拒绝政策(如果您选择这样做)。

此功能仅根据拒绝政策评估访问权限。

如需了解如何模拟其他类型的政策,请参阅以下内容:

准备工作

所需的角色

如需获得测试拒绝政策更改所需的权限,请让您的管理员为您授予组织的 Deny Admin (roles/iam.denyAdmin) IAM 角色。 如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

模拟拒绝政策的更改

模拟拒绝政策涉及以下步骤:

  1. 开始模拟
  2. 等待模拟完成
  3. 查看模拟报告
  4. 根据模拟结果采取行动

开始模拟

您可以通过以下方式开始模拟:

  • 模拟新的拒绝政策:

    1. 在 Google Cloud 控制台中,前往 IAM 页面上的拒绝标签页。

    转到 IAM

    1. 选择一个项目、文件夹或组织。
    2. 按照创建拒绝政策的步骤操作,但在输入拒绝政策详细信息后,不要点击创建。请改为点击测试政策

  • 模拟对拒绝政策的修改:

    1. 在 Google Cloud 控制台中,前往 IAM 页面上的拒绝标签页。

      进入 IAM

    2. 选择一个项目、文件夹或组织。

    3. 政策 ID 列中,点击要修改的政策的 ID。

    4. 点击 修改

    5. 更新拒绝政策:

      • 如需更改政策显示名,请修改显示名字段。
      • 如需修改现有的拒绝规则,请点击该拒绝规则,然后修改规则的主账号、例外主账号、拒绝的权限、例外权限或拒绝条件。
      • 如需移除拒绝规则,请找到要删除的拒绝规则,然后点击该行中的 删除
      • 如需添加拒绝规则,请点击添加拒绝规则,然后创建拒绝规则,就像创建拒绝政策时一样。

    6. 更新拒绝政策后,点击测试更改

当您点击测试政策测试更改时,Policy Simulator 会开始模拟,并将您重定向到拒绝模拟报告页面。您可以离开此页面,且不会丢失进度。

等待模拟完成

开始模拟后, Google Cloud 控制台会生成一条通知,告知您模拟正在运行。

模拟结束后, Google Cloud 控制台会生成另一条通知,告知您模拟已完成。收到此通知后,您可以查看模拟报告

每位用户最多可以同时进行 10 次模拟。

查看模拟报告

  1. 在 Google Cloud 控制台中,前往拒绝模拟报告页面。

    前往“拒绝模拟报告”

  2. 找到要查看报告的模拟,然后点击相应行中的查看报告

模拟报告包含以下内容:

  • 模拟详情概览,包括模拟政策、模拟操作和模拟时间。
  • 一个查看政策查看政策更改按钮,点击后会以 JSON 格式显示模拟政策。如果您正在模拟政策变更,系统可能还会显示当前政策与模拟政策之间的差异。
  • 重放结果部分,其中显示了模拟结果。如需了解如何解读这些结果,请参阅Policy Simulator 结果

根据模拟结果采取行动

查看模拟报告后,您可以执行以下操作:

  • 导出模拟结果:如需将模拟结果导出为 CSV 文件,请点击导出结果

    点击此按钮后,系统会将包含模拟报告的 CSV 文件下载到您的计算机。

  • 应用模拟政策更改:如需应用模拟政策或政策更改,请点击设置政策

    点击此按钮后, Google Cloud 控制台会设置模拟政策。

  • 修改政策的模拟更改:如需进一步更改模拟政策或政策更改,请点击修改政策

    点击此按钮后, Google Cloud 控制台会将您重定向到拒绝政策编辑器。

或者,您也可以点击取消,在不采取任何操作的情况下离开模拟报告。

查看模拟历史记录

拒绝模拟报告页面包含一个表格,其中列出了您在过去 14 天内运行的所有模拟。此列表对于每个用户都是唯一的,无法共享。

如需查看拒绝模拟报告页面,请执行以下操作:

  1. 在 Google Cloud 控制台中,前往 IAM 页面上的拒绝标签页。

    进入 IAM

  2. 选择要查看模拟结果的项目、文件夹或组织。

  3. 点击 模拟历史记录

对于每次模拟,该页面都会列出模拟所针对的政策、您开始模拟的日期以及模拟的状态。

模拟可以具有以下状态:

  • 进行中:模拟正在运行,但尚未完成。您最多可以同时进行 10 次模拟。
  • 已完成:模拟已完成。
  • 错误:由于出错,无法完成模拟。

后续步骤