Berechtigungsfehler beheben

In diesem Dokument werden die verschiedenen Methoden beschrieben, mit denen Administratoren Berechtigungsfehler für Nutzer in ihrer Organisation identifizieren und beheben können.

Berechtigungsfehler aus Zugriffsanfragen beheben

Als Administrator erhalten Sie möglicherweise Zugriffsanfragen von Nutzern bei denen in der Google Cloud Console Berechtigungsfehler aufgetreten sind. Diese Anfragen werden in der Regel an die folgenden Personen gesendet:

• Technischer Essential Contact Ihrer Organisation Wenn Ihre Organisation Essential Contacts aktiviert hat und automatisch generierte E‑Mails mit Zugriffsanfragen zulässt, können Nutzer, bei denen in der Google Cloud Console Berechtigungsfehler auftreten, eine automatisch generierte Zugriffs anfrage an den technischen Essential Contact ihrer Organisation senden.

• Kontakte, die über Ihr bevorzugtes Anfrageverwaltungssystem konfiguriert wurden Nutzer, bei denen in der Google Cloud Console Berechtigungsfehler auftreten, haben die Option, eine Zugriffsanfragenachricht zu kopieren und sie dann über ihr bevorzugtes Anfrageverwaltungssystem zu senden.

Diese Nachrichten haben in der Regel das folgende Format:

user@example.com is requesting a role on the resource example.com:example-project.

Requestor's message:

"I need access to example-project to complete my work."

You may be able to resolve this request by granting access directly at:

ACCESS_REQUEST_PANEL_URL

Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:

POLICY_TROUBLESHOOTER_URL

Sie können diese Anfragen auf folgende Weise bearbeiten:

• Zugriff direkt beheben: Zugriffsanfragen enthalten einen Link zu einem Zugriffs anfragenbereich in der Google Cloud Console. Wenn der Berechtigungsfehler durch eine Zulassungsrichtlinie verursacht wird, können Sie den Zugriff direkt über diesen Bereich beheben.

  Im Bereich „Zugriffsanfrage“ können Sie die Anfragedetails prüfen und auswählen, wie Sie auf die Anfrage reagieren möchten. Sie haben folgende Möglichkeiten:

  • Die angeforderte Rolle gewähren
  • Den Nutzer einer vorhandenen Gruppe hinzufügen, die bereits den erforderlichen Zugriff hat
  • Die Anfrage ablehnen

• Zusätzliche Details in Policy Troubleshooter ansehen: Zugriffsanfragen enthalten einen Link zu Policy Troubleshooter, mit der Sie sehen können, welche Richtlinien den Zugriff des Nutzers blockieren. Anhand dieser Informationen können Sie entscheiden, wie Sie das Zugriffsproblem des Nutzers beheben. Weitere Informationen finden Sie auf dieser Seite unter Richtlinien identifizieren, die Berechtigungsfehler verursachen.

• Zugriffsprobleme mit der Richtlinien-Fehlerbehebung beheben: Zugriffsanfragen enthalten auch einen Link zu einer Zusammenfassung der Richtlinienbehebung, in der die Anfragedetails beschrieben werden, einschließlich des anfragenden Hauptkontos, der Ressource und der Berechtigung. Über die Zusammenfassung der Richtlinienbehebung können Sie Zugriffsanfragen, die Zulassungsrichtlinien betreffen, direkt beheben und weitere Informationen zu den Richtlinien erhalten, die den Nutzerzugriff blockieren.

  Weitere Informationen zum Beheben von Zugriffsanfragen mithilfe der Richtlinien behebung finden Sie unter Zugriffsprobleme beheben.

Berechtigungsfehler manuell beheben

Wenn Sie Administrator mit der Berechtigung zum Ändern der zugriffsbezogenen Richtlinien in Ihrer Organisation sind, können Sie diese Strategien verwenden, um Berechtigungsfehler zu beheben, unabhängig vom Richtlinientyp, der den Fehler verursacht.

Um Berechtigungsfehler zu beheben, müssen Sie zuerst feststellen, welche Richtlinien (Zulassungs-, Ablehnungs- oder Principal Access Boundary-Richtlinien) den Fehler verursachen. Anschließend können Sie den Fehler beheben.

Richtlinien identifizieren, die Berechtigungsfehler verursachen

Verwenden Sie die Richtlinien-Fehlerbehebung, um zu ermitteln, welche Richtlinien einen Berechtigungsfehler verursachen.

Informationen zur Fehlerbehebung beim Zugriff und zum Interpretieren der Ergebnisse des Policy Troubleshooters finden Sie unter Fehlerbehebung bei IAM-Berechtigungen.

Fehlermeldungen in der Google Cloud Console enthalten einen Link zu einer Policy Troubleshooter-Seite zur Behebung von Problemen (Vorschau) für das Hauptkonto, die Berechtigungen und die Ressource, die in der Anfrage enthalten sind. Klicken Sie auf Details zur Fehlerbehebung ansehen und dann auf Richtlinien-Fehlerbehebung , um diesen Link aufzurufen. Weitere Informationen finden Sie unter Zugriffsanfragen beheben.

Zugriff aktualisieren, um Berechtigungsfehler zu beheben

Nachdem Sie wissen, welche Richtlinien einen Berechtigungsfehler verursachen, können Sie Maßnahmen ergreifen, um den Fehler zu beheben.

Oft ist zum Beheben eines Fehlers das Erstellen oder Aktualisieren von Zulassungs-, Ablehnungs- oder Principal Access Boundary-Richtlinien erforderlich.

Es gibt jedoch auch andere Möglichkeiten, Fehler zu beheben, ohne Richtlinien aktualisieren zu müssen. Sie können den Nutzer beispielsweise einer Gruppe hinzufügen, die die erforderlichen Berechtigungen hat, oder Tags hinzufügen, um eine Ressource von einer Richtlinie auszuschließen.

Informationen zu den verschiedenen Möglichkeiten, Berechtigungsfehler zu beheben, die durch die einzelnen Richtlinientypen verursacht werden, finden Sie unter:

• Berechtigungsfehler bei Zulassungsrichtlinien beheben
• Berechtigungsfehler bei Ablehnungsrichtlinien beheben

• Berechtigungsfehler bei Principal Access Boundary-Richtlinien beheben

Berechtigungsfehler bei Zulassungsrichtlinien beheben

Führen Sie einen der folgenden Schritte aus, um Berechtigungsfehler zu beheben, die durch Zulassungsrichtlinien verursacht werden.

Eine Rolle mit den erforderlichen Berechtigungen gewähren

So suchen und gewähren Sie eine Rolle mit den erforderlichen Berechtigungen:

1. Suchen Sie eine IAM-Rolle, die die fehlenden Berechtigungen enthält.

   Wenn Sie alle Rollen sehen möchten, in denen eine bestimmte Berechtigung enthalten ist, suchen Sie nach der Berechtigung im Index der IAM-Rollen und ‑Berechtigungen und klicken Sie dann auf den Berechtigungsnamen.

   Wenn keine vordefinierten Rollen Ihrem Anwendungsfall entsprechen, können Sie stattdessen eine benutzerdefinierte Rolle erstellen.

2. Suchen Sie ein Hauptkonto, dem Sie die Rolle gewähren möchten:

   • Wenn nur der Nutzer die Berechtigung benötigt, gewähren Sie die Rolle direkt dem Nutzer.
   • Wenn der Nutzer Mitglied einer Google-Gruppe ist, die Nutzer mit ähnlichen Berechtigungen enthält, sollten Sie die Rolle stattdessen der Gruppe gewähren. Wenn Sie die Rolle der Gruppe gewähren, können alle Mitglieder dieser Gruppe diese Berechtigung verwenden, es sei denn, ihnen wurde die Verwendung ausdrücklich verweigert.

3. Gewähren Sie dem Hauptkonto die Rolle.

Eine Gewährung für eine Berechtigung des Privileged Access Manager genehmigen

Mit Berechtigungen des Privileged Access Manager können Nutzer bestimmte IAM-Rollen anfordern. Wenn Sie die Anfrage eines Nutzers für eine Gewährung genehmigen, werden ihm die angeforderten Rollen vorübergehend gewährt.

Wenn der Nutzer bereits eine Berechtigung des Privileged Access Manager mit einer Rolle hat, die die erforderlichen Berechtigungen enthält, kann er eine Gewährung für diese Berechtigung anfordern. Nachdem er die Gewährung angefordert hat, können Sie sie genehmigen um den Berechtigungsfehler zu beheben.

Wenn ein Nutzer keine Berechtigung hat, können Sie eine neue Berechtigung für ihn erstellen, für die er Gewährungen anfordern kann.

Nutzer einer Google-Gruppe hinzufügen

Wenn einer Google-Gruppe eine Rolle für eine Ressource gewährt wird, können alle Mitglieder dieser Gruppe die Berechtigungen in dieser Rolle verwenden, um auf die Ressource zuzugreifen.

Wenn einer vorhandenen Gruppe bereits eine Rolle mit den erforderlichen Berechtigungen gewährt wurde, können Sie einem Nutzer die erforderlichen Berechtigungen gewähren, indem Sie ihn dieser Gruppe hinzufügen:

1. Suchen Sie eine Gruppe, die eine Rolle mit den erforderlichen Berechtigungen hat. Wenn Sie Policy Troubleshooter bereits verwendet haben, um die Anfrage zu beheben, können Sie die Ergebnisse von Policy Troubleshooter prüfen, um eine Gruppe mit den erforderlichen Berechtigungen zu finden.

   Alternativ können Sie mit Policy Analyzer eine Gruppe mit den erforderlichen Berechtigungen finden.

2. Fügen Sie den Nutzer der Gruppe hinzu.

Berechtigungsfehler bei Ablehnungsrichtlinien beheben

Führen Sie einen der folgenden Schritte aus, um Berechtigungsfehler im Zusammenhang mit Ablehnungsrichtlinien zu beheben.

Sich selbst von einer Ablehnungsrichtlinie ausnehmen

Wenn eine Ablehnungsregel den Zugriff eines Nutzers auf eine Ressource blockiert, haben Sie folgende Möglichkeiten, den Nutzer von der Regel auszunehmen:

• Fügen Sie den Nutzer als Ausnahmehauptkonto in der Ablehnungsregel hinzu. Ausnahmehauptkonten sind Hauptkonten, die von der Ablehnungsregel nicht betroffen sind, auch wenn sie Teil einer Gruppe sind, die in der Ablehnungsregel enthalten ist.

  Folgen Sie der Anleitung zum Aktualisieren der Ablehnungsrichtlinie, um ein Ausnahmehauptkonto zu einer Ablehnungsregel hinzuzufügen. Suchen Sie beim Aktualisieren der Ablehnungsrichtlinie die Ablehnungsregel, die den Zugriff blockiert, und fügen Sie dann die Hauptkonto-ID des Nutzers als Ausnahmehauptkonto hinzu.

• Fügen Sie den Nutzer einer Gruppe hinzu, die von der Regel ausgenommen ist. Wenn eine Gruppe als Ausnahmehauptkonto aufgeführt ist, sind alle Mitglieder dieser Gruppe von der Ablehnungsregel ausgenommen.

  So fügen Sie den Nutzer einer ausgenommenen Gruppe hinzu:

  1. Verwenden Sie Policy Troubleshooter, um die Ablehnungsrichtlinien zu identifizieren, die den Zugriff auf die Ressource blockieren.
  2. Sehen Sie sich die Ablehnungsrichtlinie an.
  3. Prüfen Sie die Liste der Ausnahmehauptkonten für Gruppen.
  4. Wenn Sie eine ausgenommene Gruppe finden, fügen Sie den Nutzer der Gruppe hinzu.

Entfernen Sie die Berechtigung aus der Ablehnungsrichtlinie

Ablehnungsregeln verhindern, dass die aufgeführten Hauptkonten bestimmte Berechtigungen verwenden. Wenn eine Ablehnungsregel den Zugriff eines Nutzers auf eine Ressource blockiert, können Sie die erforderlichen Berechtigungen aus der Ablehnungsregel entfernen.

Folgen Sie der Anleitung zum Aktualisieren der Ablehnungsrichtlinie, um Berechtigungen aus einer Ablehnungsregel zu entfernen. Suchen Sie beim Aktualisieren der Ablehnungsrichtlinie die Ablehnungsregel, die den Zugriff blockiert, und führen Sie einen der folgenden Schritte aus:

• Wenn die erforderlichen Berechtigungen einzeln in der Ablehnungsrichtlinie aufgeführt sind, suchen Sie sie und entfernen Sie sie aus der Ablehnungsregel.
• Wenn in der Ablehnungsregel Berechtigungsgruppen verwendet werden, fügen Sie die erforderlichen Berechtigungen als Ausnahmeberechtigungen hinzu. Ausnahmeberechtigungen sind Berechtigungen, die von der Ablehnungsregel nicht blockiert werden, auch wenn sie Teil einer Berechtigungsgruppe sind, die in der Regel enthalten ist.

Ressource von der Ablehnungsrichtlinie ausschließen

Sie können Bedingungen in Ablehnungsrichtlinien verwenden, um eine Ablehnungs regel basierend auf den Tags einer Ressource anzuwenden. Wenn die Tags der Ressource die Bedingung in der Ablehnungsregel nicht erfüllen, wird die Ablehnungsregel nicht angewendet.

Wenn eine Ablehnungsregel den Zugriff auf eine Ressource blockiert, können Sie die Bedingungen in der Ablehnungsregel oder die Tags der Ressource bearbeiten, um sicherzustellen, dass die Ablehnungsregel nicht auf die Ressource angewendet wird.

• Informationen zur Verwendung von Bedingungen in einer Ablehnungsregel finden Sie unter Bedingungen in Ablehnungs richtlinien.

• Informationen zum Aktualisieren von Ablehnungsrichtlinien finden Sie unter Ablehnungsrichtlinie aktualisieren.

• Informationen zum Bearbeiten der Tags einer Ressource finden Sie unter Tags erstellen und verwalten.

Berechtigungsfehler bei Principal Access Boundary-Richtlinien beheben

Standardmäßig können Hauptkonten auf jede Google Cloud Ressource zugreifen. Wenn sie jedoch einer Principal Access Boundary-Richtlinie unterliegen, können sie nur auf die Ressourcen zugreifen, die in den Principal Access Boundary-Richtlinien aufgeführt sind, denen sie unterliegen. In diesen Fällen kann eine Principal Access Boundary-Richtlinie verhindern, dass ein Hauptkonto auf eine Ressource zugreift.

Führen Sie einen der folgenden Schritte aus, um Fehler im Zusammenhang mit Principal Access Boundary-Richtlinien zu beheben.

Ressource einer Principal Access Boundary-Richtlinie hinzufügen

Wenn eine Ressource in einer Principal Access Boundary-Richtlinie enthalten ist, der ein Nutzer unterliegt, kann er auf diese Ressource zugreifen.

Führen Sie einen der folgenden Schritte aus, um eine Ressource einer Principal Access Boundary-Richtlinie hinzuzufügen:

• Neue Principal Access Boundary-Richtlinie erstellen:

  1. Erstellen Sie eine neue Principal Access Boundary-Richtlinie, die die Ressource enthält.

  2. Binden Sie die Richtlinie an einen Hauptkontensatz, in dem der Nutzer enthalten ist.

     Weitere Informationen zu Hauptkontensätzen finden Sie unter Unterstützte Hauptkonten sätze.

• Vorhandene Principal Access Boundary-Richtlinie aktualisieren:

  1. Listen Sie die Bindungen für Principal Access Boundary-Richtlinien für einen Hauptkontensatz auf, in dem der Nutzer enthalten ist. Jede Bindung stellt eine Principal Access Boundary-Richtlinie dar, die an den Hauptkontensatz gebunden ist.
  2. Suchen Sie in der Liste der Bindungen eine Principal Access Boundary-Richtlinie, die Sie ändern möchten.
  3. Optional: Listen Sie die Bindungen für Principal Access Boundary-Richtlinien für die Richtlinie auf, um zu sehen, an welche Hauptkontensätze die Richtlinie gebunden ist. Das Aktualisieren der Richtlinie wirkt sich auf den Zugriff für alle Hauptkontensätze aus, an die die Richtlinie gebunden ist.
  4. Bearbeiten Sie die Principal Access Boundary-Richtlinie so, dass sie die Ressource enthält.

Bedingung hinzufügen, um bestimmte Hauptkonten auszunehmen

Sie können Bedingungen in Bindungen für Principal Access Boundary-Richtlinien verwenden, um festzulegen, für welche Hauptkonten die Principal Access Boundary-Richtlinie erzwungen wird.

Wenn Sie nicht möchten, dass ein Nutzer Principal Access Boundary-Richtlinien unterliegt, verwenden Sie Bedingungen in Bindungen für Principal Access Boundary-Richtlinien, um den Nutzer von Principal Access Boundary-Richtlinien auszunehmen.

Damit dieser Ansatz Fehler behebt, müssen Sie den Nutzer von jeder Principal Access Boundary-Richtlinie ausnehmen, der er unterliegt. Dadurch kann der Nutzer auf jede Google Cloud Ressource zugreifen.

Dieser Ansatz wird nicht empfohlen. Fügen Sie stattdessen die Ressource einer Principal Access Boundary-Richtlinie hinzu.

Wenn Sie die Principal Access Boundary-Richtlinien sehen möchten, denen ein Nutzer unterliegt, listen Sie die Richtlinienbindungen für die Hauptkontensätze auf, in denen er enthalten ist. Jede Bindung stellt eine Principal Access Boundary-Richtlinie dar, die an den Hauptkontensatz gebunden ist.

Informationen zum Hinzufügen von Bedingungen zu Bindungen für Principal Access Boundary-Richtlinien finden Sie unter Vorhandene Richtlinienbindungen für Principal Access Boundary Richtlinien bearbeiten.

Automatisch generierte E‑Mails mit Zugriffsanfragen deaktivieren

Sie können automatisch generierte Zugriffsanfragen deaktivieren, um zu verhindern, dass Nutzer sie direkt an den technischen Essential Contact Ihrer Organisation senden. Nachdem diese Funktion deaktiviert wurde, können Nutzer, bei denen Berechtigungsfehler auftreten, die Zugriffsanfrage weiterhin kopieren und manuell an einen Administrator senden.

So deaktivieren Sie automatisch generierte Zugriffsanfragen:

1. Rufen Sie in der Google Cloud Console die Seite Einstellungen auf.

   IAM aufrufen

2. Wählen Sie im Bereich Automatisierte Anfragen zur Problembehebung die Option Deaktiviert aus.

Nächste Schritte

• Rollenänderungen mit Policy Simulator testen
• Änderungen an Ablehnungsrichtlinien mit Policy Simulator testen
• Änderungen an Principal Access Boundary-Richtlinien testen