O Google Cloud console, a Google Cloud CLI e a API REST mostram mensagens de erro quando um usuário tenta acessar um recurso ao qual ele não tem permissão. Quando um usuário encontra um erro de permissão, ele pode solicitar acesso ao recurso. Isso cria um e-mail que o usuário pode copiar e enviar a um administrador ou um que é enviado automaticamente ao contato técnico essencial da sua organização.
Quando o administrador clica no link do e-mail gerado, ele é direcionado ao Google Cloud console, onde pode rejeitar a solicitação ou prosseguir para a correção.
Se ele optar por prosseguir para a correção, o Google Cloud console mostrará um resumo da correção da política. Os administradores também podem acessar o resumo da correção da política clicando em Ver detalhes da solução de problemas em uma mensagem de erro de permissão e, em seguida, em Solucionador de problemas de políticas.
A página de resumo da correção descreve os detalhes da solicitação, incluindo o principal solicitante, o recurso e as permissões que o principal está solicitando.
A seção Estado de acesso atual resume os resultados de cada tipo de política (especificamente, políticas de permissão, políticas de negação e políticas de limite de acesso principal) e declara o resultado geral. O resultado indica se o principal pode acessar o recurso, de acordo com as políticas relevantes.
Para mais informações sobre as políticas que estão bloqueando o acesso do usuário, clique em Solução de problemas avançada.
Clique em Corrigir para conferir as opções de correção dos problemas de acesso desse usuário. Para saber as diferentes maneiras de resolver erros de permissão causados por cada um dos diferentes tipos de política usando o Google Cloud console, consulte o seguinte:
- Corrigir erros de permissão da política de permissão
- Corrigir erros de permissão da política de negação
- Corrigir erros de permissão do limite de acesso de principal
Corrigir a política de permissão
A página Corrigir política de permissão mostra as permissões que o usuário não tem. Para resolver o acesso bloqueado por uma política de permissão, você pode conceder acesso ao usuário ou criar um direito do Privileged Access Manager para o usuário. Depois de criar o direito, o usuário pode solicitá-lo para acessar o recurso.
Para conceder acesso ao usuário, faça o seguinte:
- Selecione Conceder papel.
- Clique em Continuar.
- Selecione um papel aplicável para conferir detalhes sobre ele.
- Clique em Conceder acesso.
Para criar um novo direito do Privileged Access Manager, faça o seguinte:
- Selecione Conceder acesso temporário.
- Clique no papel aplicável para conceder e conferir detalhes sobre ele.
Clique em Criar direito.
No painel Criar um novo direito, insira os detalhes do direito:
- Insira um nome para o novo direito.
- Selecione a duração máxima da concessão.
- Clique em Próxima.
- Opcionalmente, adicione mais solicitantes para esse direito.
- Clique em Próxima.
- Adicione pelo menos um principal para aprovar solicitações de direitos ou selecione Ativar acesso sem aprovações.
- Clique em Próxima.
- Opcionalmente, insira os endereços de e-mail dos administradores que você quer notificar.
- Clique em Concluído e em Criar direito.
Para mais informações sobre o Privileged Access Manager, consulte Criar direitos de acesso no Privileged Access Manager.
Se não houver um papel que contenha todas as permissões necessárias para o usuário, nenhum papel ou direito será sugerido.
Para conferir métodos alternativos de correção do acesso do usuário, consulte Resolver erros de permissão da política de permissão.
Corrigir política de negação
As políticas de negação são anexadas a uma Google Cloud organização, pasta ou projeto. Essa política contém regras de negação, que identificam os principais e listam as permissões que os principais não podem usar.
A página Corrigir política de negação mostra a política de negação que impede o usuário de usar a permissão e sugere vários métodos para corrigir o acesso do usuário.
Os métodos sugeridos para corrigir solicitações de acesso relacionadas a políticas de negação incluem o seguinte:
Isentar o usuário da política de negação.
Remover a permissão da política de negação.
Criar uma tag para excluir o recurso da política de negação.
Corrigir o limite de acesso de principal
Por padrão, os principais podem acessar qualquer Google Cloud recurso. No entanto, se eles estiverem sujeitos a alguma política de limite de acesso principal, só poderão acessar os recursos listados nas políticas de limite de acesso principal a que estão sujeitos. Nesses casos, uma política de limite de acesso principal pode impedir que um principal acesse um recurso.
A página Corrigir o limite de acesso de principal mostra a política de limite de acesso de principal que impede o usuário de acessar o recurso e sugere vários métodos para corrigir o acesso do usuário.
Os métodos sugeridos para corrigir solicitações de acesso relacionadas a políticas de limite de acesso principal incluem o seguinte:
Adicionar o recurso a uma política de limite de acesso principal anexada a um conjunto maior de identidades.
Não recomendado: isentar a identidade da aplicação do limite de acesso de principal
A seguir
- Use a referência de permissões ou a referência de papéis predefinidos para determinar qual papel conceder a um usuário que não tem permissões.
- Leia sobre as outras ferramentas do Policy Intelligence, que ajudam a entender e gerenciar suas políticas para melhorar proativamente sua configuração de segurança.