Résoudre les problèmes d'accès

La Google Cloud console, la Google Cloud CLI et l'API REST affichent toutes des messages d'erreur lorsqu'un utilisateur tente d'accéder à une ressource à laquelle il n'est pas autorisé à accéder. Lorsqu'un utilisateur rencontre une erreur d'autorisation, il peut demander l'accès à la ressource. Un e-mail est alors créé. L'utilisateur peut le copier et l'envoyer à un administrateur, ou il est envoyé automatiquement au contact technique essentielde votre organisation.

Lorsque l'administrateur clique sur le lien dans l'e-mail généré, il est redirigé vers la Google Cloud console, où il peut choisir de refuser la demande ou de procéder à la correction.

S'il choisit de procéder à la correction, la Google Cloud console affiche un récapitulatif de la correction de la règle. Les administrateurs peuvent également accéder au récapitulatif de la correction de la règle en cliquant sur Afficher les détails de dépannage dans un message d'erreur d'autorisation, puis sur Policy Troubleshooter.

La page de récapitulatif de la correction décrit les détails de la demande, y compris le compte principal demandeur, la ressource et les autorisations demandées par le compte principal.

Page récapitulative sur la résolution des problèmes liés aux règles, affichant les détails de la demande.

La section État d'accès actuel résume les résultats pour chaque type de règle (plus précisément, les règles d'autorisation, les règles de refus et les règles de limite d'accès des comptes principaux) et indique le résultat global. Le résultat indique si le compte principal peut accéder à la ressource, conformément aux règles pertinentes.

Pour en savoir plus sur les règles qui bloquent l'accès de l'utilisateur, cliquez sur Dépannage avancé.

Cliquez sur Corriger pour afficher les options permettant de résoudre les problèmes d'accès de cet utilisateur. Pour découvrir les différentes manières de résoudre les erreurs d'autorisation causées par chacun des différents types de règles à l'aide de la Google Cloud console, consultez les sections suivantes :

Corriger la stratégie d'autorisation

La page Corriger la stratégie d'autorisation affiche les autorisations qui manquent à l'utilisateur. Pour résoudre l'accès bloqué par une stratégie d'autorisation, vous pouvez accorder l'accès à cet utilisateur ou créer un droit d'accès Privileged Access Manager pour l' utilisateur. Une fois le droit d'accès créé, l'utilisateur peut le demander pour accéder à la ressource.

Page récapitulative sur la correction des règles affichant les détails de la règle d'autorisation.

Pour accorder l'accès à l'utilisateur, procédez comme suit :

  1. Sélectionnez Attribuer un rôle.
  2. Cliquez sur Continuer.
  3. Sélectionnez un rôle applicable pour afficher des informations sur ce rôle.
  4. Cliquez sur Accorder l'accès.

Pour créer un droit d'accès Privileged Access Manager, procédez comme suit :

  1. Sélectionnez Accorder un accès temporaire.
  2. Cliquez sur le rôle applicable à accorder pour afficher des informations sur ce rôle.

  3. Cliquez sur Créer un droit d'accès.

    Dans le volet Créer un droit d'accès, saisissez les détails du droit d'accès :

    1. Saisissez un nom pour le nouveau droit d'accès.
    2. Sélectionnez la durée maximale de la subvention.
    3. Cliquez sur Suivant.
    4. Vous pouvez éventuellement ajouter d'autres demandeurs pour ce droit d'accès.
    5. Cliquez sur Suivant.
    6. Ajoutez au moins un compte principal pour approuver les demandes de droits d'accès ou sélectionnez Activer l'accès sans approbation.
    7. Cliquez sur Suivant.
    8. Vous pouvez éventuellement saisir les adresses e-mail des administrateurs que vous souhaitez avertir.
    9. Cliquez sur OK, puis sur Créer un droit d'accès.

Pour en savoir plus sur Privileged Access Manager, consultez Créer des droits d'accès dans Privileged Access Manager.

Si aucun rôle ne contient toutes les autorisations requises par l'utilisateur, aucun rôle ni droit d'accès n'est suggéré.

Pour connaître d'autres méthodes de correction de l'accès de l'utilisateur, consultez Résoudre les erreurs d'autorisation des règles d'autorisation.

Corriger la stratégie de refus

Les stratégies de refus sont associées à une Google Cloud organisation, un dossier ou un projet. Une stratégie de refus contient des règles de refus, qui identifient les comptes principaux et liste les autorisations qu'ils ne peuvent pas utiliser.

La page Corriger la stratégie de refus affiche la stratégie de refus qui empêche l'utilisateur d'utiliser l'autorisation et suggère plusieurs méthodes pour corriger l'accès de l'utilisateur.

Page récapitulative sur la correction des règles affichant les détails de la règle de refus.

Les méthodes suggérées pour corriger les demandes d'accès liées aux stratégies de refus incluent les suivantes :

Corriger la limite d'accès des principaux

Par défaut, les comptes principaux sont autorisés à accéder à n'importe quelle Google Cloud ressource. Toutefois, s'ils sont soumis à une stratégie de limite d'accès des comptes principaux, ils ne sont autorisés à accéder qu'aux ressources listées dans les stratégies de limite d'accès des comptes principaux auxquelles ils sont soumis. Dans ce cas, une stratégie de limite d'accès des comptes principaux peut empêcher un compte principal d'accéder à une ressource.

La page Corriger la limite d'accès des principaux affiche la stratégie de limite d'accès des comptes principaux qui empêche l'utilisateur d'accéder à la ressource et suggère plusieurs méthodes pour corriger l'accès de l'utilisateur.

Page récapitulative sur la correction des règles affichant les détails de la limite d'accès des principaux.

Les méthodes suggérées pour corriger les demandes d'accès liées aux stratégies de limite d'accès des comptes principaux incluent les suivantes :

Étape suivante