תיקון של גישה שנחסמה באמצעות הכלי לתיקון בעיות שקשורות למדיניות

בדף הזה מוסבר איך להפעיל את הכלי לתיקון מדיניות ואיך להשתמש בו.

כשמשתמשים מנסים לגשת למשאב ב- Google Cloud אבל לא עומדים בדרישות של מדיניות הגישה למשאב, הגישה שלהם נדחית והם מקבלים הודעת שגיאה כללית 403. אתם יכולים להשתמש בכלי לתיקון בעיות שקשורות למדיניות כדי לספק למשתמשים שלבים מעשיים שהם יכולים לבצע כדי לפתור את הבעיה שלהם לפני שהם פונים לאדמין לקבלת עזרה נוספת. פעולות התיקון הספציפיות תלויות במדיניות הגישה, אבל הן יכולות לכלול דברים כמו הפעלת נעילת המסך, עדכון גרסת מערכת ההפעלה (OS) או גישה לאפליקציה מרשת שמותרת על ידי החברה.

הפעלת הכלי לתיקון בעיות שקשורות למדיניות

  1. כדי להעניק לאדמין של הארגון את התפקיד roles/policyremediatormanager.policyRemediatorAdmin ברמת הארגון, מריצים את הפקודות הבאות ב-Google Cloud CLI:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: מזהה הארגון ב- Google Cloud .
    • PRINCIPAL: המזהה של החשבון הראשי או של המשתמש בקבוצה. בדרך כלל בצורה הבאה: PRINCIPAL_TYPE:ID. לדוגמה: user:my-user@example.com.

  2. מפעילים את Policy Remediator Manager API באמצעות הפקודה הבאה:

    gcloud services enable policyremediatormanager.googleapis.com

  3. מתקשרים אל Policy Remediator Manager כדי להפעיל את Policy Remediator עבור הפרויקטים בארגון. כך נוצר סוכן שירות.

    curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: מזהה הארגון ב- Google Cloud .
    • ACCESS_TOKEN: משתמשים בפקודה הבאה כדי ליצור את אסימון הגישה. 
      gcloud auth print-access-token
    • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .

    הדוגמה הבאה היא של תשובה שמכילה את פרטי סוכן השירות:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

    כאשר ORGANIZATION_ID הוא מזהה הארגון Google Cloud .

  4. ב-Google Cloud CLI, מריצים את הפקודה הבאה כדי לגשת לסוכן השירות שיצרתם:

    curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: מזהה הארגון ב- Google Cloud .
    • ACCESS_TOKEN: משתמשים בפקודה הבאה כדי ליצור את אסימון הגישה. 
      gcloud auth print-access-token
    • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .

    כתובת האימייל של סוכן השירות אמורה להתקבל בפורמט הבא:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

    כאשר ORGANIZATION_ID הוא מזהה הארגון Google Cloud .

הקצאת תפקיד של סוכן שירות במסוף Google Admin

  1. היכנס למסוף של ממשק Google למנהלי מערכות.

    כניסה למסוף Google Admin

  2. עוברים אל חשבון > תפקידי אדמין ולוחצים על יצירת תפקיד חדש.

    • מזינים שם ותיאור (אופציונלי) לתפקיד ולוחצים על המשך.

    • בקטע הרשאות במסוף Admin, עוברים אל שירותים > ניהול מכשירים ניידים ובוחרים בהרשאה ניהול מכשירים והגדרות.

    • בקטע הרשאות Admin API, עוברים אל קבוצות ובוחרים בהרשאת קריאה.

    • לוחצים על המשך, מאשרים את הערכים ומסיימים ליצור את התפקיד.

    • עוברים אל בחירת חשבונות שירות לתפקיד ומזינים את כתובת האימייל של סוכן השירות החדש.

    • לוחצים על הוספה > הקצאת תפקיד.

  3. ב-Google Cloud CLI, מריצים את הפקודות הבאות כדי להעניק לסוכן השירות את התפקיד Service Agent (סוכן שירות) (policyremediator.serviceAgent) ברמת הארגון. ההרשאה הזו מאפשרת לסוכן השירות לקרוא את מדיניות ניהול הזהויות והרשאות הגישה ומדיניות גישה אחרת של הארגון.

    gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'

    מחליפים את ORGANIZATION_ID במזהה הארגון. Google Cloud

הפעלת Policy Remediator למשאב IAP

  1. עוברים לדף שרת proxy לאימות זהויות (IAP).
    כניסה לדף IAP

  2. בוחרים מקור מידע ולוחצים על הגדרות.

  3. עוברים אל תיקון הרשאות גישה ובוחרים באפשרות יצירת פעולות לתיקון.

מתן תפקיד של משתמש עם הרשאת תיקון

כדי לתת למשתמשים הרשאה לפתור בעיות שקשורות לגישה למשאבי IAP שנדחתה, מריצים את הפקודה הבאה ב-Google Cloud CLI:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

מחליפים את PRINCIPAL במזהה של החשבון הראשי או של המשתמש בקבוצה. בדרך כלל בצורה הבאה: PRINCIPAL_TYPE:ID. לדוגמה: user:my-user@example.com.

מידע נוסף זמין במאמר gcloud IAP web add-iam-policy-binding.

כדי לתת למשתמשים הרשאה לתקן גישה למשאבי IAP ברמת הפרויקט, מריצים את הפקודה הבאה ב-Google Cloud CLI:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • PRINCIPAL: המזהה של החשבון הראשי או של המשתמש בקבוצה. בדרך כלל בצורה הבאה: PRINCIPAL_TYPE:ID. לדוגמה: user:my-user@example.com.

תיקון בעיות באמצעות מחלקת התמיכה

כשנדחית הגישה של משתמשי קצה, הם מופנים לדף של Chrome Enterprise Premium שכולל מידע על פתרון בעיות, כולל כתובת URL לפתרון בעיות וטוקן לתיקון. אם למשתמשים אין הרשאה לפתוח את טוקן התיקון, הם יכולים להעתיק אותו ולשלוח אותו למוקד התמיכה לקבלת עזרה נוספת.

מאפייני מדיניות והודעות משויכות

בטבלה הבאה מפורטת רשימת המאפיינים שנתמכים על ידי הכלי לתיקון בעיות במדיניות.

מאפיין הודעת ברירת המחדל
ip_address אתם ניגשים לאפליקציה מרשת
שהחברה שלכם לא מאשרת.
region_code הגישה לאפליקציה הזו מותרת רק מאזור
שהחברה שלכם מאשרת.
is_secured_with_screenlock צריך להגדיר סיסמה לנעילת המסך במכשיר.
משביתים את הסיסמה לנעילת המסך במכשיר.
verified_chrome_os צריך להשתמש במכשיר עם [סוג מערכת הפעלה] מאומת.
להשתמש במכשיר בלי [סוג מערכת הפעלה] מאומת.
is_admin_approved_device להשתמש במכשיר שאושר על ידי מנהל הארגון.
להשתמש במכשיר שלא אושר על ידי האדמין של הארגון.
is_corp_owned_device להשתמש במכשיר שבבעלות הארגון.
להשתמש במכשיר שלא נמצא בבעלות הארגון.
encryption_status להשתמש במכשיר מוצפן.
משתמשים במכשיר לא מוצפן.
os_type עוברים למכשיר [סוג מערכת הפעלה]. למכשירים עם מערכת הפעלה מסוג
אין גישה לאפליקציה הזו.
os_version צריך לעדכן לגרסת מערכת הפעלה שהיא לפחות [גרסה].
צריך להחזיר את מערכת ההפעלה לגרסה שקדמה לגרסה [version].

פתרון בעיות

הכלי לתיקון בעיות מדיניות לא יכול ליצור תיקונים במקרים הבאים:

  • למשאב יש מדיניות סותרת, למשל, משתמש צריך להתחבר באמצעות Windows ו-macOS.
  • המאפיין לא אפשרי על ידי הכלי לתיקון בעיות שקשורות למדיניות.
  • לסוכן השירות אין הרשאה לפתור את הבעיה.