使用 Policy Simulator 測試主體存取邊界政策變更

本頁說明如何使用 Policy Simulator 模擬變更主要存取邊界 (PAB) 政策繫結。這篇文章也會說明如何解讀模擬結果,以及如何在需要時套用模擬的主體存取邊界政策或繫結。

這項功能只會根據主體存取邊界政策評估存取權限。

如要瞭解如何模擬其他政策類型的變更,請參閱以下文章:

事前準備

必要的角色

如要取得測試主體存取權範圍政策和繫結變更所需的權限,請要求管理員為您授予組織的以下 IAM 角色:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

開始模擬

以下各節說明如何針對主體存取邊界政策或繫結的變更,啟動模擬作業。

模擬主體存取邊界政策的新繫結

請按照建立政策繫結的步驟操作,但在輸入繫結詳細資料後,請勿按一下「Add」。請改為按一下「測試變更」

模擬對現有主體存取邊界政策的編輯作業

請按照編輯主體存取邊界政策的步驟操作,但編輯完政策後,請勿按一下「儲存」。請改為按一下「測試變更」

模擬主體存取邊界政策現有繫結的編輯作業

請按照編輯政策繫結的步驟操作,但編輯繫結後請勿按一下「儲存」。請改為按一下「測試變更」

模擬刪除主體存取邊界規則

  1. 前往 Google Cloud 控制台的「Principal Access Boundary」(主要存取邊界) 政策頁面。

    前往主體存取邊界政策

  2. 選取擁有您要刪除規則的主體存取邊界政策的機構。

  3. 找出要刪除規則的主體存取邊界政策,然後按一下政策 ID。

  4. 在「邊界規則」表格中選取要刪除的規則,然後按一下 「測試刪除規則」

模擬刪除主體存取邊界政策

  1. 前往 Google Cloud 控制台的「Principal Access Boundary」(主要存取邊界) 政策頁面。

    前往主體存取邊界政策

  2. 選取擁有主體存取權範圍政策的機構,並刪除該政策的繫結。

  3. 找出要刪除的政策 ID。在該政策的資料列中,按一下 「Actions」,然後點選「Test delete policy」

模擬刪除主體存取邊界政策的繫結

  1. 前往 Google Cloud 控制台的「Principal Access Boundary」(主要存取邊界) 政策頁面。

    前往主體存取邊界政策

  2. 選取擁有要刪除繫結的主體存取權範圍政策的機構。

  3. 按一下要刪除繫結的主體存取邊界政策的政策 ID。

  4. 按一下「Bindings」分頁標籤。

  5. 找出要刪除的繫結 ID。在該繫結的資料列中,按一下 「Actions」,然後點選「Test delete binding」

瞭解模擬結果

主體存取邊界政策或繫結模擬結果頁面包含下列資訊:

  • 「存取權遭到撤銷」部分,其中包含下列資訊:

    • 如果您套用模擬的主體存取邊界政策或繫結,主體將失去存取權的數量
    • 如果您套用模擬的主體存取邊界政策或繫結,主體將無法存取的已知資源數量

  • 「取得存取權」部分,其中包含下列資訊:

    • 如果您套用模擬的主體存取邊界政策或繫結,則可獲得存取權的主體數量
    • 如果您套用模擬的主體存取邊界政策或繫結,主體可存取的已知資源數量

  • 存取權變更表格,顯示模擬政策或繫結的影響。如要瞭解如何解讀這些存取權變更,請參閱 Policy Simulator 結果

根據模擬結果採取行動

查看模擬報告後,您可以採取下列行動:

  • 匯出模擬結果:如要將模擬結果匯出為 CSV 檔案,請按一下「匯出原始結果」

    點選這個按鈕後,系統會將模擬資料報表下載為 CSV 檔案,並儲存到您的電腦。

  • 套用模擬政策變更:您要按一下的按鈕,取決於要模擬的變更類型。

    • 模擬已編輯的主體存取邊界政策或規則,或已刪除的規則:按一下「設定政策」
    • 模擬主體存取邊界政策的新繫結或已編輯的繫結:按一下「設定繫結」
    • 模擬已刪除的主體存取邊界政策:按一下「Delete policy」
    • 模擬刪除主體存取邊界政策的繫結:按一下「刪除繫結」

    當您按一下這個按鈕時, Google Cloud 控制台會設定模擬的政策或繫結。

  • 編輯政策或繫結的模擬變更:如要進一步變更模擬政策或政策繫結,請按一下「返回」或「返回編輯」

    按一下這個按鈕後, Google Cloud 主控台會將您重新導向至政策或政策繫結編輯器。

後續步驟