Corriger l'accès refusé avec le correcteur de règles

Cette page vous explique comment activer et utiliser le correcteur de stratégies.

Lorsque les utilisateurs tentent d'accéder à une Google Cloud ressource, mais ne respectent pas la stratégie d'accès associée, l'accès leur est refusé et un message d'erreur 403 général s'affiche. Vous pouvez utiliser le correcteur de stratégies pour fournir aux utilisateurs des étapes concrètes à suivre pour résoudre leur problème avant de contacter un administrateur pour obtenir de l'aide supplémentaire. Les actions de correction spécifiques dépendent des stratégies d'accès, mais peuvent inclure des éléments tels que l'activation du verrouillage de l'écran, la mise à jour de la version du système d'exploitation ou l'accès à une application à partir d'un réseau autorisé par votre entreprise.

Activer le correcteur de stratégies

  1. Attribuez à l'administrateur de votre organisation le rôle roles/policyremediatormanager.policyRemediatorAdmin au niveau de l'organisation en exécutant les commandes suivantes dans Google Cloud CLI :

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin

    Remplacez les éléments suivants :

    • ORGANIZATION_ID : ID de l' Google Cloud organisation.
    • PRINCIPAL : identifiant du compte principal, qui se présente généralement sous la forme suivante : PRINCIPAL_TYPE:ID. Exemple : user:my-user@example.com.

  2. Activez l'API Policy Remediator Manager en exécutant la commande suivante :

    gcloud services enable policyremediatormanager.googleapis.com

  3. Appelez Policy Remediator Manager pour activer le correcteur de stratégies pour les projets d'une organisation. Cela crée un agent de service.

    curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Remplacez les éléments suivants :

    • ORGANIZATION_ID : ID de l' Google Cloud organisation.
    • ACCESS_TOKEN : utilisez la commande suivante pour générer le jeton d'accès. 
      gcloud auth print-access-token
    • PROJECT_ID : ID du Google Cloud projet.

    Voici un exemple de réponse contenant les détails de l'agent de service :

    {
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

    ORGANIZATION_ID est l'ID de l' Google Cloud organisation.

  4. Dans Google Cloud CLI, exécutez la commande suivante pour accéder à l'agent de service que vous avez créé :

    curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Remplacez les éléments suivants :

    • ORGANIZATION_ID : ID de l' Google Cloud organisation.
    • ACCESS_TOKEN : utilisez la commande suivante pour générer le jeton d'accès. 
      gcloud auth print-access-token
    • PROJECT_ID : ID du Google Cloud projet.

    Vous devriez recevoir l'e-mail de l'agent de service au format suivant :

    {
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

    ORGANIZATION_ID est l'ID de l' Google Cloud organisation.

Attribuer le rôle d'agent de service dans la console d'administration Google

  1. Inscrivez-vous à la console d'administration Google.

    Accéder à la console d'administration Google

  2. Accédez à Compte > Rôles d'administrateur, puis cliquez sur Créer un rôle.

    • Saisissez un nom et une description (facultative) pour le rôle, puis cliquez sur Continuer.

    • Dans Droits pour la console d'administration, accédez à Services > Gestion des appareils mobiles et des appareils et sélectionnez l'autorisation Gérer les appareils et les paramètres.

    • Dans Droits pour l'API d'administration, accédez à Groupes, puis sélectionnez l'autorisation Lire.

    • Cliquez sur Continuer, confirmez vos entrées, puis terminez la création du rôle.

    • Accédez à Attribuer des comptes de service , puis saisissez l'adresse e-mail de l'agent de service que vous venez de créer .

    • Cliquez sur Ajouter > Attribuer un rôle.

  3. Dans Google Cloud CLI, exécutez les commandes suivantes pour attribuer le rôle d'agent de service (policyremediator.serviceAgent) à l'agent de service au niveau de l'organisation. Cela permet à l'agent de service de lire Identity and Access Management et d'autres stratégies d'accès pour votre organisation.

    gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'

    Remplacez ORGANIZATION_ID par l'ID de l' Google Cloud organisation.

Activer le correcteur de stratégies pour une ressource IAP

  1. Accédez à la page Identity-Aware Proxy (IAP).
    Accéder à IAP

  2. Sélectionnez une ressource, puis cliquez sur Paramètres.

  3. Accédez à Corriger l'accès, puis sélectionnez Générer des actions de correction.

Attribuer le rôle de correcteur

Pour autoriser les utilisateurs à corriger l'accès refusé aux ressources IAP, exécutez la commande suivante dans Google Cloud CLI :

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Remplacez PRINCIPAL par un identifiant du compte principal, qui se présente généralement sous la forme suivante : PRINCIPAL_TYPE:ID. Exemple : user:my-user@example.com.

Pour en savoir plus, consultez gcloud IAP web add-iam-policy-binding.

Pour autoriser les utilisateurs à corriger l'accès aux ressources IAP au niveau d'un projet, exécutez la commande suivante dans Google Cloud CLI :

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Remplacez les éléments suivants :

  • PROJECT_ID : ID du Google Cloud projet.
  • PRINCIPAL : identifiant du compte principal, qui se présente généralement sous la forme suivante : PRINCIPAL_TYPE:ID. Exemple : user:my-user@example.com.

Effectuer une correction avec le centre d'assistance

Lorsque l'accès est refusé aux utilisateurs finaux, ils sont redirigés vers une page Chrome Enterprise Premium contenant des informations de dépannage, y compris une URL de dépannage et un jeton de correction. Si les utilisateurs ne sont pas autorisés à ouvrir le jeton de correction, ils peuvent le copier et l'envoyer au centre d'assistance pour obtenir de l'aide supplémentaire.

Attributs de règles et messages associés

Le tableau suivant fournit la liste des attributs compatibles avec le correcteur de stratégies.

Attribut Message par défaut
ip_address Vous accédez à l'application à partir d'un réseau
non autorisé par votre entreprise.
region_code Accédez à cette application à partir d'une région
autorisée par votre entreprise.
is_secured_with_screenlock Définissez un mot de passe pour l'écran de votre appareil.
Désactivez le mot de passe de l'écran sur votre appareil.
verified_chrome_os Utilisez un appareil avec un [type d'OS] validé.
Utilisez un appareil sans [type d'OS] validé.
is_admin_approved_device Utilisez un appareil approuvé par l'administrateur de votre organisation.
Utilisez un appareil non approuvé par l'administrateur de votre organisation.
is_corp_owned_device Utilisez un appareil appartenant à votre organisation.
Utilisez un appareil n'appartenant pas à votre organisation.
encryption_status Utilisez un appareil chiffré.
Utilisez un appareil non chiffré.
os_type Passez à un appareil [type d'OS].
Les appareils [type d'OS] ne peuvent pas accéder à cette application.
os_version Effectuez une mise à jour vers une version d'OS au moins égale à [version].
Rétrogradez votre OS vers une version inférieure à [version].

Dépannage

Le correcteur de stratégies ne peut pas générer de corrections dans les cas suivants :

  • Une ressource comporte des stratégies conflictuelles, par exemple, un utilisateur doit se connecter à l'aide de Windows et de macOS.
  • L'attribut n'est pas compatible avec le correcteur de stratégies.
  • L'agent de service n'est pas autorisé à effectuer une correction.