Corrigir o acesso negado com o remediador de políticas

Nesta página, mostramos como ativar e usar o remediador de políticas.

Quando os usuários tentam acessar um Google Cloud recurso, mas não estão em conformidade com a política de acesso dele, o acesso é negado e eles recebem uma mensagem de erro 403 geral. Você pode usar o remediador de políticas para fornecer aos usuários etapas práticas que eles podem seguir para resolver o problema antes de entrar em contato com um administrador para receber mais ajuda. As ações de correção específicas dependem das políticas de acesso, mas podem incluir ações como ativar o bloqueio de tela, atualizar a versão do sistema operacional (SO) ou acessar um app de uma rede permitida pela sua empresa.

Ativar o remediador de políticas

  1. Conceda ao administrador da organização o papel roles/policyremediatormanager.policyRemediatorAdmin no nível da organização executando os comandos a seguir na Google Cloud CLI:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin

    Substitua:

    • ORGANIZATION_ID: o Google Cloud ID da organização.
    • PRINCIPAL: o identificador do principal ou membro, que geralmente tem o seguinte formato: PRINCIPAL_TYPE:ID. Por exemplo, user:my-user@example.com.

  2. Ative a API Policy Remediator Manager executando o seguinte comando:

    gcloud services enable policyremediatormanager.googleapis.com

  3. Chame o Policy Remediator Manager para ativar o remediador de políticas para os projetos em uma organização. Isso cria um agente de serviço.

    curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Substitua:

    • ORGANIZATION_ID: o Google Cloud ID da organização.
    • ACCESS_TOKEN: use o comando a seguir para gerar o token de acesso. 
      gcloud auth print-access-token
    • PROJECT_ID: o Google Cloud ID do projeto.

    Confira um exemplo de resposta, que contém os detalhes do agente de serviço:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

    Em que ORGANIZATION_ID é o Google Cloud ID da organização.

  4. Na Google Cloud CLI, execute o comando a seguir para acessar o agente de serviço que você criou:

    curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Substitua:

    • ORGANIZATION_ID: o Google Cloud ID da organização.
    • ACCESS_TOKEN: use o comando a seguir para gerar o token de acesso. 
      gcloud auth print-access-token
    • PROJECT_ID: o Google Cloud ID do projeto.

    Você vai receber o e-mail do agente de serviço no seguinte formato:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

    Em que ORGANIZATION_ID é o Google Cloud ID da organização.

Atribuir o papel de agente de serviço no Google Admin Console

  1. Faça login no Google Admin Console.

    Acessar o Google Admin Console

  2. Acesse Conta > Funções do administrador e clique em Criar nova função.

    • Insira um nome e uma descrição (opcional) para a função e clique em Continuar.

    • Em Privilégios do Admin Console, acesse Serviços > Gerenciamento de dispositivos móveis e selecione a permissão Gerenciar dispositivos e configurações.

    • Em Privilégios da API Admin, acesse Grupos e selecione a permissão Leitura.

    • Clique em Continuar, confirme as entradas e conclua a criação da função.

    • Acesse Atribuir contas de serviço e insira o endereço de e-mail do agente de serviço recém- criado .

    • Clique em Adicionar > Atribuir função.

  3. Na Google Cloud CLI, execute os comandos a seguir para conceder o papel de agente de serviço (policyremediator.serviceAgent) ao agente de serviço no nível da organização. Isso concede ao agente de serviço permissão para ler o Identity and Access Management e outras políticas de acesso da sua organização.

    gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'

    Substitua ORGANIZATION_ID pelo Google Cloud ID da organização.

Ativar o remediador de políticas para um recurso do IAP

  1. Acesse a página do Identity-Aware Proxy (IAP).
    Acessar o IAP

  2. Selecione um recurso e clique em Configurações.

  3. Acesse Corrigir acesso e selecione Gerar ações de correção.

Conceder o papel de remediador

Para conceder aos usuários permissão para corrigir o acesso negado aos recursos do IAP, execute o comando a seguir na Google Cloud CLI:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Substitua PRINCIPAL por um identificador do principal ou membro, que geralmente tem o seguinte formato: PRINCIPAL_TYPE:ID. Por exemplo, user:my-user@example.com.

Para mais informações, consulte gcloud IAP web add-iam-policy-binding.

Para conceder aos usuários permissão para corrigir o acesso aos recursos do IAP no nível do projeto, execute o comando a seguir na Google Cloud CLI:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Substitua:

  • PROJECT_ID: o Google Cloud ID do projeto.
  • PRINCIPAL: o identificador do principal ou membro, que geralmente tem o seguinte formato: PRINCIPAL_TYPE:ID. Por exemplo, user:my-user@example.com.

Corrigir com o atendimento ao usuário

Quando o acesso dos usuários finais é negado, eles são redirecionados para uma página do Chrome Enterprise Premium que contém informações de solução de problemas, incluindo um URL de solução de problemas e um token de correção. Se os usuários não tiverem permissão para abrir o token de correção, eles poderão copiar o token e enviá-lo ao atendimento ao usuário para receber mais ajuda.

Atributos da política e mensagens associadas

A tabela a seguir fornece a lista de atributos compatíveis com o remediador de políticas.

Atributo Mensagem padrão
ip_address Você está acessando o app de uma rede
não permitida pela sua empresa.
region_code Acesse esse app de uma região
permitida pela sua empresa.
is_secured_with_screenlock Defina uma senha de bloqueio de tela no dispositivo.
Desative a senha de bloqueio de tela no dispositivo.
verified_chrome_os Use um dispositivo com [OS type] verificado.
Use um dispositivo sem [OS type] verificado.
is_admin_approved_device Use um dispositivo aprovado pelo administrador da sua organização.
Use um dispositivo não aprovado pelo administrador da organização.
is_corp_owned_device Use um dispositivo da sua organização.
Use um dispositivo que não seja da sua organização.
encryption_status Use um dispositivo criptografado.
Use um dispositivo não criptografado.
os_type Mude para um dispositivo [OS type].
Os dispositivos [OS type] não podem acessar esse app.
os_version Atualize para uma versão do SO que seja pelo menos [version].
Faça downgrade do SO para uma versão anterior a [version].

Solução de problemas

O remediador de políticas não pode gerar correções quando ocorre uma das seguintes situações:

  • Um recurso tem políticas conflitantes, como um usuário que precisa se conectar usando o Windows e o macOS.
  • O atributo é indisponível para o remediador de políticas.
  • O agente de serviço não tem permissão para corrigir.