Résoudre les erreurs d'autorisation

Ce document décrit les différentes méthodes que les administrateurs peuvent utiliser pour identifier et résoudre les erreurs d'autorisation pour les utilisateurs de leur organisation.

Résoudre les erreurs d'autorisation à partir des demandes d'accès

Si vous êtes administrateur, vous pouvez recevoir des demandes d'accès d'utilisateurs qui ont rencontré des erreurs d'autorisation dans la Google Cloud console. Ces demandes sont généralement envoyées aux personnes suivantes :

  • Contact technique essentielde votre organisation. Si votre organisation a activé les contacts essentiels et autorise les e-mails de demande d'accès générés automatiquement, les utilisateurs qui rencontrent des erreurs d'autorisation dans la console peuvent envoyer une demande d'accès générée automatiquement au contact technique essentiel de leur organisation.Google Cloud

  • Contacts configurés via votre système de gestion des demandes préféré. Les utilisateurs qui rencontrent des erreurs d'autorisation dans la Google Cloud console ont la possibilité de copier un message de demande d'accès, puis de l'envoyer à l'aide de leur système de gestion des demandes préféré.

Ces messages ont généralement le format suivant :

user@example.com is requesting a role on the resource example.com:example-project.

Requestor's message:

"I need access to example-project to complete my work."

You may be able to resolve this request by granting access directly at:

ACCESS_REQUEST_PANEL_URL

Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:

POLICY_TROUBLESHOOTER_URL

Vous pouvez répondre à ces demandes de différentes manières :

  • Résoudre l'accès directement : les demandes d'accès contiennent un lien vers un panneau de demande d'accès dans la Google Cloud console. Si l'erreur d'autorisation est due à une stratégie d'autorisation, vous pouvez résoudre l'accès directement à partir de ce panneau.

    Dans le panneau de demande d'accès, vous pouvez examiner les détails de la demande et choisir comment y répondre. Vous pouvez répondre de différentes manières :

    • Accorder le rôle demandé
    • Ajouter l'utilisateur à un groupe existant qui dispose déjà de l'accès requis
    • Refuser la demande

  • Afficher des informations supplémentaires dans Policy Troubleshooter : les demandes d'accès contiennent un lien vers Policy Troubleshooter, qui vous permet de voir quelles stratégies bloquent l'accès de l'utilisateur. Vous pouvez utiliser ces informations pour décider comment résoudre le problème d'accès de l'utilisateur. Pour en savoir plus, consultez la section Identifier les stratégies à l'origine des erreurs d'autorisation sur cette page.

  • Résoudre les problèmes d'accès avec Policy Troubleshooter: les demandes d'accès contiennent également un lien vers un résumé de correction de stratégie, qui décrit les détails de la demande, y compris le compte principal demandeur, la ressource et l'autorisation. À partir du résumé de correction de stratégie, vous pouvez résoudre directement les demandes d'accès impliquant des stratégies d'autorisation et obtenir plus d'informations sur les stratégies qui bloquent l'accès des utilisateurs.

    Pour en savoir plus sur la résolution des demandes d’accès à l’aide du résumé de correction de stratégie, consultez la section Résoudre les problèmes d’accès.

Résoudre manuellement les erreurs d'autorisation

Si vous êtes un administrateur autorisé à modifier les stratégies liées à l'accès dans votre organisation, vous pouvez utiliser ces stratégies pour résoudre les erreurs d'autorisation, quel que soit le type de stratégie à l'origine de l'erreur.

Pour résoudre les erreurs d'autorisation, vous devez d'abord déterminer quelles stratégies (autorisation, refus ou limite d'accès des principaux) sont à l'origine de l'erreur. Vous pouvez ensuite résoudre l'erreur.

Identifier les stratégies à l'origine des erreurs d'autorisation

Pour déterminer quelles stratégies sont à l'origine d'une erreur d'autorisation, utilisez Policy Troubleshooter.

Policy Troubleshooter vous aide à déterminer si un compte principal peut accéder à une ressource. Étant donné un principal, une ressource et une autorisation, Policy Troubleshooter examine les stratégies d'autorisation, les stratégies de refus et les stratégies de limite d'accès des principaux (PAB) qui ont un impact sur l'accès du principal. Il vous indique ensuite si, en fonction de ces stratégies, le compte principal peut utiliser l'autorisation spécifiée pour accéder à la ressource. Il répertorie également les stratégies pertinentes et explique leur impact sur l'accès du compte principal.

Pour savoir comment résoudre les problèmes d'accès et interpréter les résultats de Policy Troubleshooter, consultez la section Résoudre les problèmes liés aux autorisations IAM.

Les messages d'erreur de la Google Cloud console contiennent un lien vers une page de correction de Policy Troubleshooter (aperçu) pour le compte principal, les autorisations et la ressource impliqués dans la demande. Pour afficher ce lien, cliquez sur Afficher les détails de dépannage, puis sur Policy Troubleshooter. Pour en savoir plus, consultez la section Résoudre les demandes d'accès.

Mettre à jour l'accès pour résoudre les erreurs d'autorisation

Une fois que vous savez quelles stratégies sont à l'origine d'une erreur d'autorisation, vous pouvez prendre des mesures pour résoudre l'erreur.

Souvent, la résolution d'une erreur implique la création ou la mise à jour de stratégies d'autorisation, de refus ou de limite d'accès des comptes principaux.

Toutefois, il existe d'autres options pour résoudre les erreurs qui n'impliquent pas la mise à jour des stratégies. Par exemple, vous pouvez ajouter l'utilisateur à un groupe disposant des autorisations requises ou ajouter des tags pour exempter une ressource d'une stratégie.

Pour découvrir les différentes manières de résoudre les erreurs d'autorisation causées par chacun des différents types de stratégies, consultez les sections suivantes :

Résoudre les erreurs d'autorisation liées aux stratégies d'autorisation

Pour résoudre les erreurs d'autorisation causées par les stratégies d'autorisation, effectuez l'une des opérations suivantes.

Accorder un rôle disposant des autorisations requises

Pour trouver et accorder un rôle disposant des autorisations requises, procédez comme suit :

  1. Identifiez un rôle IAM contenant les autorisations manquantes.

    Pour afficher tous les rôles dans lesquels une autorisation donnée est incluse, recherchez l'autorisation dans l'index des rôles et autorisations IAM, puis cliquez sur le nom de l'autorisation.

    Si aucun rôle prédéfini ne correspond à votre cas d'utilisation, vous pouvez créer un rôle personnalisé.

  2. Identifiez un compte principal auquel accorder le rôle :

    • Si l'utilisateur est la seule personne à avoir besoin de l'autorisation, accordez-lui directement le rôle.
    • Si l'utilisateur fait partie d'un groupe Google contenant des utilisateurs qui ont tous besoin d'autorisations similaires, envisagez d'accorder le rôle au groupe. Si vous accordez le rôle au groupe, tous les membres de ce groupe peuvent utiliser cette autorisation, sauf s'ils ont été explicitement refusés.

  3. Accordez le rôle au compte principal.

Approuver une autorisation par rapport à un droit Privileged Access Manager

Les droits Privileged Access Manager permettent aux utilisateurs de demander à se voir accorder des rôles IAM spécifiques. Si vous approuvez la demande d'autorisation d'un utilisateur, les rôles demandés lui sont accordés temporairement.

Si l'utilisateur dispose déjà d'un droit Privileged Access Manager avec un rôle contenant les autorisations requises, il peut demander une autorisation par rapport à ce droit. Une fois la demande d'autorisation effectuée, vous pouvez approuver l' autorisation pour résoudre son erreur d'autorisation.

Si un utilisateur ne dispose pas d'un droit, vous pouvez créer un nouveau droit pour qu'il puisse demander des autorisations.

Ajouter l'utilisateur à un groupe Google

Si un rôle est accordé à un groupe Google sur une ressource, tous les membres de ce groupe peuvent utiliser les autorisations de ce rôle pour accéder à la ressource.

Si un rôle disposant des autorisations requises a déjà été accordé à un groupe existant, vous pouvez accorder les autorisations requises à un utilisateur en l'ajoutant à ce groupe :

  1. Identifiez un groupe disposant d'un rôle avec les autorisations requises. Si vous avez déjà utilisé Policy Troubleshooter pour résoudre le problème lié à la demande, vous pouvez consulter les résultats de Policy Troubleshooter pour identifier un groupe disposant des autorisations requises.

    Vous pouvez également utiliser Policy Analyzer pour identifier un groupe disposant des autorisations requises.

  2. Ajoutez l'utilisateur au groupe.

Résoudre les erreurs d'autorisation liées aux stratégies de refus

Pour résoudre les erreurs d'autorisation liées aux stratégies de refus, effectuez l'une des opérations suivantes.

Vous exempter d'une stratégie de refus

Si une règle de refus bloque l'accès d'un utilisateur à une ressource, vous pouvez effectuer l'une des opérations suivantes pour exempter l'utilisateur de la règle :

  • Ajoutez l'utilisateur en tant que compte principal d'exception dans la règle de refus. Les comptes principaux d'exception sont des comptes principaux qui ne sont pas affectés par la règle de refus, même s'ils font partie d'un groupe inclus dans la règle de refus.

    Pour ajouter un compte principal d'exception à une règle de refus, suivez les étapes de mise à jour de la stratégie de refus. Lorsque vous mettez à jour la stratégie de refus, recherchez la règle de refus qui bloque l'accès, puis ajoutez l'identifiant du compte principal de l'utilisateur en tant que compte principal d'exception.

  • Ajoutez l'utilisateur à un groupe exempté de la règle. Si un groupe est répertorié en tant que compte principal d'exception, tous les membres de ce groupe sont exemptés de la règle de refus.

    Pour ajouter l'utilisateur à un groupe exempté, procédez comme suit :

    1. Utilisez Policy Troubleshooter pour identifier les stratégies de refus qui bloquent l’accès à la ressource.
    2. Affichez la stratégie de refus.
    3. Consultez la liste des comptes principaux d'exception pour les groupes.
    4. Si vous identifiez un groupe exempté, ajoutez-y l'utilisateur.

Supprimer l'autorisation de la règle de refus

Les règles de refus empêchent les comptes principaux listés d'utiliser des autorisations spécifiques. Si une règle de refus bloque l'accès d'un utilisateur à une ressource, vous pouvez supprimer les autorisations dont il a besoin de la règle de refus.

Pour supprimer des autorisations d'une règle de refus, suivez les étapes de mise à jour de la stratégie de refus. Lorsque vous mettez à jour la stratégie de refus, recherchez la règle de refus qui bloque l'accès, puis effectuez l'une des opérations suivantes :

  • Si la stratégie de refus liste les autorisations requises individuellement, recherchez les autorisations requises et supprimez-les de la règle de refus.
  • Si la règle de refus utilise des groupes d'autorisations, ajoutez les autorisations requises en tant qu'autorisations d'exception. Les autorisations d'exception sont des autorisations qui ne sont pas bloquées par la règle de refus, même si elles font partie d'un groupe d'autorisations inclus dans la règle.

Exclure la ressource de la stratégie de refus

Vous pouvez utiliser des conditions dans les stratégies de refus pour appliquer une règle de refus en fonction des tags d'une ressource. Si les tags de la ressource ne répondent pas à la condition de la règle de refus, la règle de refus ne s'applique pas.

Si une règle de refus bloque l'accès à une ressource, vous pouvez modifier les conditions de la règle de refus ou les tags de la ressource pour vous assurer que la règle de refus ne s'applique pas à la ressource.

Résoudre les erreurs d'autorisation liées aux stratégies de limite d'accès des comptes principaux

Par défaut, les comptes principaux peuvent accéder à n'importe quelle Google Cloud ressource. Toutefois, s'ils sont soumis à une stratégie de limite d'accès des comptes principaux, ils ne peuvent accéder qu'aux ressources listées dans les stratégies de limite d'accès des comptes principaux auxquelles ils sont soumis. Dans ce cas, une stratégie de limite d'accès des comptes principaux peut empêcher un compte principal d'accéder à une ressource.

Pour résoudre les erreurs liées aux stratégies de limite d'accès des comptes principaux, effectuez l'une des opérations suivantes.

Ajouter la ressource à une stratégie de limite d'accès des comptes principaux

Si une ressource est incluse dans une stratégie de limite d'accès des comptes principaux à laquelle un utilisateur est soumis, il peut accéder à cette ressource.

Pour ajouter une ressource à une stratégie de limite d'accès des comptes principaux, effectuez l'une des opérations suivantes :

Ajouter une condition pour exempter des comptes principaux spécifiques

Vous pouvez utiliser des conditions dans les liaisons de stratégie de limite d'accès des comptes principaux pour préciser les comptes principaux pour lesquels la stratégie de limite d'accès des comptes principaux est appliquée.

Si vous ne souhaitez pas qu'un utilisateur soit soumis à des stratégies de limite d'accès des comptes principaux, utilisez des conditions dans les liaisons de stratégie de limite d'accès des comptes principaux pour exempter l'utilisateur des stratégies de limite d'accès des comptes principaux.

Pour que cette approche résolve les erreurs, vous devez exempter l'utilisateur de chaque stratégie de limite d'accès des comptes principaux à laquelle il est soumis. L'utilisateur pourra ainsi accéder à n'importe quelle Google Cloud ressource.

Nous ne recommandons pas cette approche. Envisagez plutôt d'ajouter la ressource à une stratégie de limite d'accès des comptes principaux.

Pour afficher les stratégies de limite d'accès des comptes principaux auxquelles un utilisateur est soumis, répertoriez les liaisons de stratégie pour les ensembles de comptes principaux dans lesquels il est inclus. Chaque liaison représente une stratégie de limite d'accès des comptes principaux liée à l'ensemble de comptes principaux.

Pour savoir comment ajouter des conditions aux liaisons de stratégie de limite d'accès des comptes principaux, consultez la section Modifier les liaisons de stratégies existantes pour les stratégies de limite d'accès des comptes principaux.

Désactiver les e-mails de demande d'accès générés automatiquement

Vous pouvez désactiver les demandes d'accès générées automatiquement pour empêcher les utilisateurs de les envoyer directement au contact technique essentiel de votre organisation. Une fois cette fonctionnalité désactivée, les utilisateurs qui rencontrent des erreurs d'autorisation peuvent toujours copier la demande d'accès et l'envoyer manuellement à un administrateur.

Pour désactiver les demandes d'accès générées automatiquement, procédez comme suit :

  1. Dans la Google Cloud console, accédez à la page Paramètres.

    Accéder à IAM

  2. Dans la section Demandes de correction automatisées, sélectionnez Désactivé.

Étape suivante