Zugriffsprobleme beheben

In der Google Cloud Console, der Google Cloud CLI und der REST API werden Fehlermeldungen angezeigt, wenn ein Nutzer versucht, auf eine Ressource zuzugreifen, für die er keine Berechtigung hat. Wenn ein Nutzer einen Berechtigungsfehler erhält, kann er Zugriff auf die Ressource anfordern. Dadurch wird eine E-Mail erstellt, die der Nutzer kopieren und an einen Administrator senden kann, oder eine E-Mail, die automatisch an den technischen Ansprechpartner Ihrer Organisation gesendet wird.

Wenn der Administrator auf den Link in der generierten E-Mail klickt, wird er weitergeleitet zur Google Cloud Console, wo er die Anfrage ablehnen oder mit der Fehlerbehebung fortfahren kann.

Wenn er mit der Fehlerbehebung fortfährt, wird in der Google Cloud Console eine Zusammenfassung der Richtlinienfehlerbehebung angezeigt. Administratoren können auch auf die Zusammenfassung der Richtlinienfehlerbehebung zugreifen, indem sie in einer Fehlermeldung zu Berechtigungen auf Details zur Fehlerbehebung ansehen und dann auf Richtlinien-Fehlerbehebung klicken.

Auf der Seite mit der Zusammenfassung der Fehlerbehebung werden die Details der Anfrage beschrieben, einschließlich des anfragenden Hauptkontos, der Ressource und der Berechtigungen, die das Hauptkonto anfordert.

Die Seite mit der Zusammenfassung der Richtlinienkorrektur mit den Anfragedetails.

Im Abschnitt Aktueller Zugriffsstatus werden die Ergebnisse für jeden Richtlinientyp (insbesondere Zulassungsrichtlinien, Ablehnungsrichtlinien und Principal Access Boundary-Richtlinien) zusammengefasst und das Gesamtergebnis angegeben. Das Ergebnis gibt an, ob das Hauptkonto gemäß den relevanten Richtlinien auf die Ressource zugreifen kann.

Weitere Informationen zu den Richtlinien, die den Zugriff des Nutzers blockieren, erhalten Sie unter Erweiterte Fehlerbehebung.

Klicken Sie auf Beheben , um Optionen zur Behebung der Zugriffsprobleme dieses Nutzers aufzurufen. Informationen zu den verschiedenen Möglichkeiten, Berechtigungsfehler zu beheben, die durch die einzelnen Richtlinientypen verursacht werden, finden Sie unter: Google Cloud

Zulassungsrichtlinie korrigieren

Auf der Seite Zulassungsrichtlinie korrigieren werden die Berechtigungen angezeigt, die dem Nutzer fehlen. Wenn der Zugriff durch eine Zulassungsrichtlinie blockiert wird, können Sie dem Nutzer entweder Zugriff gewähren oder eine Privileged Access Manager-Berechtigung für den Nutzer erstellen. Nachdem Sie die Berechtigung erstellt haben, kann der Nutzer sie anfordern, um auf die Ressource zuzugreifen.

Die Seite mit der Zusammenfassung der Richtlinienkorrektur, auf der Details zur Zulassungsrichtlinie angezeigt werden.

So gewähren Sie dem Nutzer Zugriff:

  1. Wählen Sie Rolle gewähren aus.
  2. Klicken Sie auf Weiter.
  3. Wählen Sie eine geeignete Rolle aus, um Details zu dieser Rolle aufzurufen.
  4. Klicken Sie auf Zugriff erlauben.

So erstellen Sie eine neue Privileged Access Manager-Berechtigung:

  1. Wählen Sie Temporären Zugriff gewähren aus.
  2. Klicken Sie auf die entsprechende Rolle, um Details zu dieser Rolle aufzurufen.

  3. Klicken Sie auf Berechtigung erstellen.

    Geben Sie im Bereich Neue Berechtigung erstellen die Details für die Berechtigung ein:

    1. Geben Sie einen Namen für die neue Berechtigung ein.
    2. Wählen Sie die maximale Dauer des Ad Grants-Budgets aus.
    3. Klicken Sie auf Weiter.
    4. Optional können Sie weitere Anfragende für diese Berechtigung hinzufügen.
    5. Klicken Sie auf Weiter.
    6. Fügen Sie mindestens ein Hauptkonto hinzu, um Berechtigungsanfragen zu genehmigen, oder wählen Sie Zugriff ohne Genehmigungen aktivieren aus.
    7. Klicken Sie auf Weiter.
    8. Geben Sie optional die E-Mail-Adressen aller Administratoren ein, die Sie benachrichtigen möchten.
    9. Klicken Sie auf Fertig und dann auf Berechtigung erstellen.

Weitere Informationen zu Privileged Access Manager finden Sie unter Berechtigungen in Privileged Access Manager erstellen.

Wenn es keine Rolle gibt, die alle vom Nutzer benötigten Berechtigungen enthält, werden keine Rollen oder Berechtigungen vorgeschlagen.

Alternative Methoden zur Behebung des Zugriffs des Nutzers finden Sie unter Berechtigungsfehler in Zulassungsrichtlinien beheben.

Ablehnungsrichtlinie korrigieren

Ablehnungsrichtlinien sind mit einer Google Cloud Organisation, einem Ordner oder einem Projekt verknüpft. Eine Ablehnungsrichtlinie enthält Ablehnungsregeln, die Hauptkonten identifizieren und die Berechtigungen auflisten, die nicht von den Hauptkonten verwendet werden können.

Auf der Seite Ablehnungsrichtlinie korrigieren wird die Ablehnungsrichtlinie angezeigt, die verhindert, dass der Nutzer die Berechtigung verwendet. Außerdem werden mehrere Methoden zur Behebung des Zugriffs des Nutzers vorgeschlagen.

Die Seite mit der Zusammenfassung der Richtlinienkorrektur, auf der Details zur Ablehnungsrichtlinie angezeigt werden.

Zu den vorgeschlagenen Methoden zur Behebung von Zugriffsanfragen im Zusammenhang mit Ablehnungsrichtlinien gehören:

Principal Access Boundary-Richtlinie korrigieren

Standardmäßig können Hauptkonten auf jede Google Cloud Ressource zugreifen. Wenn sie jedoch einer Principal Access Boundary-Richtlinie unterliegen, können sie nur auf die Ressourcen zugreifen, die in den Principal Access Boundary-Richtlinien aufgeführt sind, denen sie unterliegen. In diesen Fällen kann eine Principal Access Boundary-Richtlinie verhindern, dass ein Hauptkonto auf eine Ressource zugreift.

Auf der Seite Principal Access Boundary-Richtlinie korrigieren wird die Principal Access Boundary-Richtlinie angezeigt, die verhindert, dass der Nutzer auf die Ressource zugreift. Außerdem werden mehrere Methoden zur Behebung des Zugriffs des Nutzers vorgeschlagen.

Die Seite „Zusammenfassung der Richtlinienkorrektur“ mit Details zur Principal Access Boundary-Richtlinie.

Zu den vorgeschlagenen Methoden zur Behebung von Zugriffsanfragen im Zusammenhang mit Principal Access Boundary-Richtlinien gehören:

Nächste Schritte