Dokumen ini menjelaskan berbagai metode yang dapat digunakan administrator untuk mengidentifikasi dan mengatasi error izin bagi pengguna di organisasi mereka.
Mengatasi error izin dari permintaan akses
Jika Anda adalah administrator, Anda mungkin menerima permintaan akses dari pengguna yang mengalami error izin di Google Cloud konsol. Permintaan ini biasanya dikirim ke orang berikut:
Kontak Penting teknis organisasi Anda. Jika organisasi Anda telah mengaktifkan Kontak Penting dan mengizinkan email permintaan akses yang dibuat secara otomatis, pengguna yang mengalami error izin di Google Cloud konsol memiliki opsi untuk mengirim permintaan akses yang dibuat secara otomatis ke Kontak Penting teknis organisasi mereka.
Kontak yang dikonfigurasi melalui sistem pengelolaan permintaan pilihan Anda. Pengguna yang mengalami error izin di Google Cloud konsol memiliki opsi untuk menyalin pesan permintaan akses, lalu mengirimkannya menggunakan sistem pengelolaan permintaan pilihan mereka.
Pesan ini biasanya memiliki format berikut:
user@example.com is requesting a role on the resource example.com:example-project.
Requestor's message:
"I need access to example-project to complete my work."
You may be able to resolve this request by granting access directly at:
ACCESS_REQUEST_PANEL_URL
Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:
POLICY_TROUBLESHOOTER_URL
Anda dapat menangani permintaan ini dengan cara berikut:
Mengatasi akses secara langsung: Permintaan akses berisi link ke panel permintaan akses di konsol. Google Cloud Jika error izin disebabkan oleh kebijakan izinkan, Anda dapat mengatasi akses langsung dari panel tersebut.
Di panel permintaan akses, Anda dapat meninjau detail permintaan dan memilih cara merespons permintaan tersebut. Anda dapat merespons dengan cara berikut:
- Memberikan peran yang diminta
- Menambahkan pengguna ke grup yang sudah ada dan memiliki akses yang diperlukan
- Menolak permintaan
Melihat detail tambahan di Pemecah Masalah Kebijakan: Permintaan akses berisi link ke Pemecah Masalah Kebijakan, yang memungkinkan Anda melihat kebijakan mana yang memblokir akses pengguna. Anda dapat menggunakan informasi ini untuk memutuskan cara mengatasi masalah akses pengguna. Untuk mengetahui informasi selengkapnya, lihat Mengidentifikasi kebijakan yang menyebabkan error izin di halaman ini.
Mengatasi masalah akses dengan Pemecah Masalah Kebijakan: Permintaan akses juga berisi link ke ringkasan perbaikan kebijakan, yang menjelaskan detail permintaan, termasuk akun utama, resource, dan izin yang meminta. Dari ringkasan perbaikan kebijakan, Anda dapat langsung mengatasi permintaan akses yang melibatkan kebijakan izinkan, dan mendapatkan informasi selengkapnya tentang kebijakan yang memblokir akses pengguna.
Untuk mengetahui informasi selengkapnya tentang cara mengatasi permintaan akses menggunakan ringkasan perbaikan kebijakan, lihat Mengatasi masalah akses.
Mengatasi error izin secara manual
Jika Anda adalah administrator yang memiliki izin untuk mengubah kebijakan terkait akses di organisasi Anda, Anda dapat menggunakan strategi ini untuk mengatasi error izin, terlepas dari jenis kebijakan yang menyebabkan error.
Untuk mengatasi error izin, Anda harus menentukan kebijakan mana (izinkan, tolak, atau batas akses utama) yang menyebabkan error. Kemudian, Anda dapat mengatasi error tersebut.
Mengidentifikasi kebijakan yang menyebabkan error izin
Untuk menentukan kebijakan mana yang menyebabkan error izin, gunakan Pemecah Masalah Kebijakan.
Pemecah Masalah Kebijakan membantu Anda memahami apakah akun utama dapat mengakses resource. Dengan mempertimbangkan akun utama, resource, dan izin, Pemecah Masalah Kebijakan memeriksa kebijakan izinkan, kebijakan tolak, dan kebijakan principal access boundary (PAB) yang memengaruhi akses akun utama. Kemudian, Pemecah Masalah Kebijakan akan memberi tahu Anda apakah, berdasarkan kebijakan tersebut, akun utama dapat menggunakan izin yang ditentukan untuk mengakses resource. Pemecah Masalah Kebijakan juga mencantumkan kebijakan yang relevan dan menjelaskan pengaruhnya terhadap akses akun utama.Untuk mempelajari cara memecahkan masalah akses dan menafsirkan hasil Pemecah Masalah Kebijakan, lihat Memecahkan masalah izin IAM.
Pesan error di Google Cloud konsol berisi link ke halaman perbaikan Pemecah Masalah Kebijakan (Pratinjau) untuk akun utama, izin, dan resource yang terlibat dalam permintaan. Untuk melihat link ini, klik Lihat detail pemecahan masalah, lalu klik Pemecah Masalah Kebijakan. Untuk mengetahui informasi selengkapnya, lihat Mengatasi permintaan akses.
Memperbarui akses untuk mengatasi error izin
Setelah mengetahui kebijakan mana yang menyebabkan error izin, Anda dapat mengambil langkah-langkah untuk mengatasi error tersebut.
Sering kali, mengatasi error melibatkan pembuatan atau pembaruan kebijakan izinkan, tolak, atau batas akses utama.
Namun, ada opsi lain untuk mengatasi error yang tidak melibatkan pembaruan kebijakan. Misalnya, Anda dapat menambahkan pengguna ke grup yang memiliki izin yang diperlukan atau menambahkan tag untuk mengecualikan resource dari kebijakan.
Untuk mempelajari berbagai cara mengatasi error izin yang disebabkan oleh setiap jenis kebijakan yang berbeda, lihat hal berikut:
Mengatasi error izin kebijakan izinkan
Untuk mengatasi error izin yang disebabkan oleh kebijakan izinkan, lakukan salah satu hal berikut.
Memberikan peran dengan izin yang diperlukan
Untuk menemukan dan memberikan peran dengan izin yang diperlukan, lakukan hal berikut:
Identifikasi peran IAM yang berisi izin yang tidak ada.
Untuk melihat semua peran yang disertakan dalam izin tertentu, telusuri izin di indeks peran dan izin IAM, lalu klik nama izin.
Jika tidak ada peran bawaan yang sesuai dengan kasus penggunaan Anda, Anda dapat membuat peran khusus.
Identifikasi akun utama yang akan diberi peran:
- Jika pengguna adalah satu-satunya orang yang memerlukan izin, berikan peran langsung kepada pengguna.
- Jika pengguna adalah bagian dari grup Google yang berisi pengguna yang semuanya memerlukan izin serupa, pertimbangkan untuk memberikan peran kepada grup tersebut. Jika Anda memberikan peran kepada grup, semua anggota grup tersebut dapat menggunakan izin tersebut, kecuali jika mereka secara eksplisit ditolak untuk menggunakannya.
Berikan peran kepada akun utama.
Menyetujui pemberian terhadap hak Privileged Access Manager
Hak Privileged Access Manager memungkinkan pengguna meminta untuk diberi peran IAM tertentu. Jika Anda menyetujui permintaan pengguna untuk pemberian, mereka akan diberi peran yang diminta untuk sementara.
Jika pengguna sudah memiliki hak Privileged Access Manager dengan peran yang berisi izin yang diperlukan, mereka dapat meminta pemberian terhadap hak tersebut. Setelah mereka meminta pemberian, Anda dapat menyetujui pemberian untuk mengatasi error izin mereka.
Jika pengguna tidak memiliki hak, Anda dapat membuat hak baru agar mereka dapat meminta pemberian.
Menambahkan pengguna ke grup Google
Jika grup Google diberi peran pada resource, semua anggota grup tersebut dapat menggunakan izin dalam peran tersebut untuk mengakses resource.
Jika grup yang ada telah diberi peran dengan izin yang diperlukan, Anda dapat memberikan izin yang diperlukan kepada pengguna dengan menambahkannya ke grup tersebut:
Identifikasi grup yang memiliki peran dengan izin yang diperlukan. Jika Anda sudah menggunakan Pemecah Masalah Kebijakan untuk memecahkan masalah permintaan, Anda dapat meninjau hasil Pemecah Masalah Kebijakan untuk mengidentifikasi grup dengan izin yang diperlukan.
Atau, Anda dapat menggunakan Penganalisis Kebijakan untuk mengidentifikasi grup dengan izin yang diperlukan.
Mengatasi error izin kebijakan tolak
Untuk mengatasi error izin terkait kebijakan tolak, lakukan salah satu hal berikut.
Mengecualikan diri Anda dari kebijakan tolak
Jika aturan tolak memblokir akses pengguna ke resource, Anda dapat melakukan salah satu hal berikut untuk mengecualikan pengguna dari aturan tersebut:
Tambahkan pengguna sebagai akun utama pengecualian dalam aturan tolak. Akun utama pengecualian adalah akun utama yang tidak terpengaruh oleh aturan tolak, meskipun mereka adalah bagian dari grup yang disertakan dalam aturan tolak.
Untuk menambahkan akun utama pengecualian ke aturan tolak, ikuti langkah-langkah untuk memperbarui kebijakan tolak. Saat memperbarui kebijakan tolak, temukan aturan tolak yang memblokir akses, lalu tambahkan ID akun utama pengguna sebagai akun utama pengecualian.
Tambahkan pengguna ke grup yang dikecualikan dari aturan tersebut. Jika grup tercantum sebagai akun utama pengecualian, semua anggota grup tersebut akan dikecualikan dari aturan tolak.
Untuk menambahkan pengguna ke grup yang dikecualikan, lakukan hal berikut:
- Gunakan Pemecah Masalah Kebijakan untuk mengidentifikasi kebijakan tolak yang memblokir akses ke resource.
- Lihat kebijakan tolak.
- Periksa daftar akun utama pengecualian untuk grup.
- Jika Anda mengidentifikasi grup yang dikecualikan, tambahkan pengguna ke grup tersebut.
Menghapus izin dari kebijakan tolak
Aturan tolak mencegah akun utama yang tercantum menggunakan izin tertentu. Jika aturan tolak memblokir akses pengguna ke resource, Anda dapat menghapus izin yang mereka butuhkan dari aturan tolak.
Untuk menghapus izin dari aturan tolak, ikuti langkah-langkah untuk memperbarui kebijakan tolak. Saat memperbarui kebijakan tolak, temukan aturan tolak yang memblokir akses, lalu lakukan salah satu hal berikut:
- Jika kebijakan tolak mencantumkan izin yang diperlukan satu per satu, temukan izin yang diperlukan dan hapus dari aturan tolak.
- Jika aturan tolak menggunakan grup izin, tambahkan izin yang diperlukan sebagai izin pengecualian. Izin pengecualian adalah izin yang tidak diblokir oleh aturan tolak, meskipun izin tersebut adalah bagian dari grup izin yang disertakan dalam aturan.
Mengecualikan resource dari kebijakan tolak
Anda dapat menggunakan kondisi dalam kebijakan tolak untuk menerapkan aturan tolak berdasarkan tag resource. Jika tag resource tidak memenuhi kondisi dalam aturan tolak, aturan tolak tidak akan berlaku.
Jika aturan tolak memblokir akses ke resource, Anda dapat mengedit kondisi dalam aturan tolak atau tag pada resource untuk memastikan bahwa aturan tolak tidak berlaku untuk resource.
Untuk mempelajari cara menggunakan kondisi dalam aturan tolak, lihat Kondisi dalam kebijakan tolak.
Untuk mempelajari cara memperbarui kebijakan tolak, lihat Memperbarui kebijakan tolak.
Untuk mempelajari cara mengedit tag resource, lihat Membuat dan mengelola tag.
Mengatasi error izin kebijakan batas akses utama
Secara default, akun utama memenuhi syarat untuk mengakses resource apa pun Google Cloud . Namun, jika tunduk pada kebijakan batas akses utama, akun utama hanya memenuhi syarat untuk mengakses resource yang tercantum dalam kebijakan batas akses utama yang mereka tunduk. Dalam kasus ini, kebijakan batas akses utama dapat mencegah akun utama mengakses resource.
Untuk mengatasi error terkait kebijakan batas akses utama, lakukan salah satu hal berikut.
Menambahkan resource ke kebijakan batas akses utama
Jika resource disertakan dalam kebijakan batas akses utama yang tunduk pada pengguna, pengguna tersebut memenuhi syarat untuk mengakses resource tersebut.
Untuk menambahkan resource ke kebijakan batas akses utama, lakukan salah satu hal berikut:
Buat kebijakan batas akses utama baru:
- Buat kebijakan batas akses utama baru yang menyertakan resource.
Ikat kebijakan ke kumpulan akun utama yang menyertakan pengguna.
Untuk mempelajari kumpulan akun utama lebih lanjut, lihat Kumpulan akun utama yang didukung.
Perbarui kebijakan batas akses utama yang ada:
- Cantumkan binding kebijakan batas akses utama untuk kumpulan akun utama yang menyertakan pengguna. Setiap binding mewakili kebijakan batas akses utama yang terikat ke kumpulan akun utama.
- Dari daftar binding, identifikasi kebijakan batas akses utama yang akan diubah.
- Opsional: Cantumkan binding kebijakan batas akses utama untuk kebijakan tersebut guna melihat kumpulan akun utama yang terikat ke kebijakan tersebut. Memperbarui kebijakan akan memengaruhi akses untuk semua kumpulan akun utama yang terikat ke kebijakan tersebut.
- Edit kebijakan batas akses utama sehingga menyertakan resource.
Menambahkan kondisi untuk mengecualikan akun utama tertentu
Anda dapat menggunakan kondisi dalam binding kebijakan batas akses utama untuk menentukan akun utama mana yang akan diterapkan kebijakan batas akses utama.
Jika Anda tidak ingin pengguna tunduk pada kebijakan batas akses utama, gunakan kondisi dalam binding kebijakan batas akses utama untuk mengecualikan pengguna dari kebijakan batas akses utama.
Agar pendekatan ini dapat mengatasi error, Anda harus mengecualikan pengguna dari setiap kebijakan batas akses utama yang mereka tunduk. Dengan demikian, pengguna akan memenuhi syarat untuk mengakses resource apa pun. Google Cloud
Sebaiknya jangan gunakan pendekatan ini. Sebagai gantinya, pertimbangkan untuk menambahkan resource ke kebijakan batas akses utama.
Untuk melihat kebijakan batas akses utama yang tunduk pada pengguna, cantumkan binding kebijakan untuk kumpulan akun utama yang menyertakan pengguna tersebut. Setiap binding mewakili kebijakan batas akses utama yang terikat ke kumpulan akun utama.
Untuk mempelajari cara menambahkan kondisi ke binding kebijakan batas akses utama, lihat Mengedit binding kebijakan yang ada untuk kebijakan batas akses utama kebijakan.
Menonaktifkan email permintaan akses yang dibuat secara otomatis
Anda dapat menonaktifkan permintaan akses yang dibuat secara otomatis untuk mencegah pengguna mengirimkan nya langsung ke Kontak Penting teknis organisasi Anda. Setelah fitur ini dinonaktifkan, pengguna yang mengalami error izin masih dapat menyalin permintaan akses dan mengirimkannya ke administrator secara manual.
Untuk menonaktifkan permintaan akses yang dibuat secara otomatis, lakukan hal berikut:
Di Google Cloud konsol, buka halaman Setelan.
Di bagian Permintaan perbaikan otomatis, pilih Dinonaktifkan.
Langkah berikutnya
- Menguji perubahan peran dengan Policy Simulator
- Menguji perubahan kebijakan tolak dengan Policy Simulator
- Menguji perubahan kebijakan batas akses utama