Messages d'erreur d'autorisation

Ce document décrit les messages d'erreur que vous pouvez rencontrer si vous ne disposez pas des autorisations d'accès requises pour une ressource.

Problèmes à l'origine des messages d'erreur d'autorisation

La console Google Cloud , Google Cloud CLI et l'API REST affichent toutes des messages d'erreur lorsque vous essayez d'accéder à une ressource à laquelle vous n'êtes pas autorisé à accéder.

Ces messages d'erreur peuvent être dus à l'une des raisons suivantes :

Vous ne disposez pas des autorisations requises. Vous devez disposer d'une liaison de rôle de règle d'autorisation ou d'un droit Privileged Access Manager actif pour un rôle disposant des autorisations requises. Si vous ne disposez pas des autorisations requises,Google Cloud affiche un message d'erreur.

Une règle de refus bloque l'accès. Si une stratégie de refus vous empêche d'utiliser l'une des autorisations requises, Google Cloud affiche un message d'erreur.

Vous n'êtes pas autorisé à accéder à la ressource. Si vous êtes soumis à des stratégies de limite d'accès des comptes principaux, la ressource à laquelle vous essayez d'accéder doit être incluse dans les règles de limite d'accès des comptes principaux de ces stratégies. Si ce n'est pas le cas, Google Cloud affiche un message d'erreur.

La ressource n'existe pas. Si la ressource n'existe pas,Google Cloud affiche un message d'erreur.

Les sections suivantes montrent à quoi ressemblent ces messages d'erreur pour la consoleGoogle Cloud , la gcloud CLI et l'API REST.

Messages d'erreur de la consoleGoogle Cloud

Dans la console Google Cloud , les messages d'erreur ressemblent à ce qui suit :

Ces messages d'erreur contiennent les informations suivantes :

Ressource à laquelle vous avez tenté d'accéder : le nom de la ressource s'affiche dans le titre de la page d'erreur et indique la ressource à laquelle vous tentiez d'accéder lorsque l'erreur d'autorisation s'est produite.
Autorisations requises manquantes : liste des autorisations dont vous avez besoin pour accéder à la ressource.

Liste des droits Privileged Access Manager avec les rôles contenant les autorisations requises : cette liste n'est pas exhaustive. Elle ne contient que les principaux droits que Google Cloud suggère pour résoudre le problème d'accès.

Cette liste n'est disponible que pour les erreurs d'autorisation qui peuvent être résolues en accordant des rôles IAM supplémentaires.

Vous pouvez cliquer sur un droit d'accès pour en savoir plus et demander une autorisation pour ce droit d'accès. Pour en savoir plus, consultez Demander une autorisation d'accès Privileged Access Manager.

Si aucun droit d'accès ne contient les autorisations requises, la page du message d'erreur n'inclut pas la liste des droits d'accès.

Liste des rôles IAM contenant les autorisations requises : cette liste n'est pas exhaustive. Elle contient une sélection de rôles queGoogle Cloud suggère pour résoudre le problème d'accès. Le classement est basé sur le type d'actions autorisées par le rôle, la pertinence du service et le nombre d'autorisations.

Si vous disposez des autorisations requises pour attribuer des rôles, cette section s'intitule Sélectionnez un rôle à attribuer. Si vous ne disposez pas des autorisations requises, cette section s'intitule Demander un rôle spécifique.

Vous pouvez cliquer sur un rôle pour en savoir plus et demander à ce qu'il vous soit attribué. Si vous disposez des autorisations requises pour attribuer des rôles, vous pouvez vous attribuer le rôle vous-même au lieu de le demander.

Messages d'erreur de Google Cloud CLI et de l'API REST

La formulation exacte du message d'erreur dépend de la commande que vous exécutez. Toutefois, il contient généralement les informations suivantes :

Autorisation requise
La ressource sur laquelle vous avez essayé d'effectuer une action
Compte utilisé pour l'authentification

Par exemple, si vous n'êtes pas autorisé à lister les buckets d'un projet, un message d'erreur semblable à celui-ci s'affiche :

gcloud

ERROR: (gcloud.storage.buckets.list) HTTPError 403:
EMAIL_ADDRESS does not have
storage.buckets.list access to the Google Cloud project. Permission
'storage.buckets.list' denied on resource (or it may not exist). This command
is authenticated as EMAIL_ADDRESS which
is the active account specified by the [core/account] property.

REST

{
  "error": {
    "code": 403,
    "message": "EMAIL_ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
    "errors": [
      {
        "message": "EMAIL_ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
        "domain": "global",
        "reason": "forbidden"
      }
    ]
  }
}

Étapes suivantes

Si vous ne disposez pas des autorisations d'administrateur et que vous rencontrez un message d'erreur lié aux autorisations, consultez Demander les autorisations manquantes.
Si vous disposez d'autorisations d'administrateur et que vous devez résoudre une demande d'accès utilisateur, consultez Résoudre les erreurs d'autorisation.

Messages d'erreur d'autorisation Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.