In diesem Dokument werden die Fehlermeldungen beschrieben, die auftreten können, wenn Sie nicht die erforderlichen Zugriffsberechtigungen für eine Ressource haben.
Probleme, die zu Fehlermeldungen zu Berechtigungen führen
In der Google Cloud console, der Google Cloud CLI und der REST API werden Fehlermeldungen angezeigt wenn Sie versuchen, auf eine Ressource zuzugreifen, für die Sie keine Berechtigung haben.
Diese Fehlermeldungen können folgende Ursachen haben:
- Sie haben nicht die erforderlichen Berechtigungen. Sie benötigen entweder eine Rollenbindung für eine Zulassungsrichtlinie oder eine aktive Berechtigung für Privileged Access Manager für eine Rolle mit den erforderlichen Berechtigungen. Wenn Sie nicht die erforderlichen Berechtigungen haben, dann Google Cloud wird eine Fehlermeldung angezeigt.
- Es gibt eine Ablehnungsrichtlinie, die den Zugriff blockiert. Wenn eine Ablehnungs richtlinie Sie daran hindert, eine der erforderlichen Berechtigungen zu verwenden, wird eine Fehlermeldung angezeigt. Google Cloud
- Sie sind nicht berechtigt, auf die Ressource zuzugreifen. Wenn Sie Richtlinien für die Principal Access Boundary unterliegen, muss die Ressource, auf die Sie zugreifen möchten, in den Regeln für die Principal Access Boundary der Richtlinien enthalten sein. Andernfalls wird eine Fehlermeldung angezeigt. Google Cloud
- Die Ressource ist nicht vorhanden. Wenn die Ressource nicht vorhanden ist, wird eine Fehlermeldung angezeigt. Google Cloud
In den folgenden Abschnitten sehen Sie, wie diese Fehlermeldungen in der Google Cloud Console, der gcloud CLI und der REST API aussehen.
Google Cloud Console-Fehlermeldungen
In der Google Cloud console sehen Fehlermeldungen so aus wie die folgenden:
Diese Fehlermeldungen enthalten die folgenden Informationen:
- Die Ressource, auf die Sie zugegriffen haben: Der Ressourcenname wird im Titel der Fehlerseite angezeigt und gibt die Ressource an, auf die Sie zugegriffen haben, als der Berechtigungsfehler aufgetreten ist.
- Die fehlenden erforderlichen Berechtigungen: Eine Liste der Berechtigungen, die Sie für den Zugriff auf die Ressource benötigen.
Eine Liste der Berechtigungen für Privileged Access Manager mit Rollen, die die erforderlichen Berechtigungen enthalten: Diese Liste ist nicht vollständig. Sie enthält nur die wichtigsten Berechtigungen, die zur Google Cloud Behebung des Zugriffsproblems vorgeschlagen werden.
Diese Liste ist nur für Berechtigungsfehler verfügbar, die durch das Zuweisen zusätzlicher IAM-Rollen behoben werden können.
Sie können auf eine Berechtigung klicken, um weitere Informationen dazu zu erhalten und eine Zuweisung für die Berechtigung anzufordern. Weitere Informationen finden Sie unter Zugriffszuweisung für Privileged Access Manager anfordern.
Wenn keine Berechtigungen die erforderlichen Berechtigungen enthalten, enthält die Fehlerseite keine Liste der Berechtigungen.
Eine Liste der IAM-Rollen, die die erforderlichen Berechtigungen enthalten: Diese Liste ist nicht vollständig. Sie enthält eine kuratierte Liste von Rollen, die Google Cloud zur Behebung des Zugriffsproblems vorgeschlagen werden. Die Reihenfolge basiert auf der Art der mit der Rolle zulässigen Aktionen, der Dienstrelevanz und der Anzahl der Berechtigungen.
Wenn Sie die Berechtigungen zum Zuweisen von Rollen haben, heißt dieser Abschnitt Rolle zum Zuweisen auswählen. Wenn Sie nicht die erforderlichen Berechtigungen haben, heißt dieser Abschnitt Bestimmte Rolle anfordern.
Sie können auf eine Rolle klicken, um weitere Informationen dazu zu erhalten und die Zuweisung der Rolle anzufordern. Wenn Sie die Berechtigungen zum Zuweisen von Rollen haben, können Sie sich die Rolle selbst zuweisen, anstatt sie anzufordern.
Eine Policy Troubleshooter-URL: Über diesen Link können Sie zur Policy Troubleshooter-Zusammenfassung für diese Zugriffsanfrage wechseln.
Fehlermeldungen in der Google Cloud CLI und der REST API
Die genaue Formulierung der Fehlermeldung hängt vom ausgeführten Befehl ab. Sie enthält jedoch in der Regel die folgenden Informationen:
- Die erforderliche Berechtigung
- Die Ressource, für die Sie eine Aktion ausführen wollten
- Das authentifizierende Konto
- Eine eindeutige Kennung für den Fehler
- Ein Link zu einer Policy Troubleshooter-Zusammenfassung für diesen Fehler
Wenn Sie beispielsweise keine Berechtigung zum Auflisten von Buckets in einem Projekt haben, wird eine Fehlermeldung wie die folgende angezeigt:
gcloud
ERROR: (gcloud.storage.buckets.list) PERMISSION_DENIED:
EMAIL_ADDRESS does not have
storage.buckets.list access to the Google Cloud project. Permission
'storage.buckets.list' denied on resource (or it may not exist). This command
is authenticated as EMAIL_ADDRESS which
is the active account specified by the [core/account] property.
- '@type': type.googleapis.com/google.rpc.ErrorInfo
domain: storage.googleapis.com
metadata:
permission: storage.buckets.list
error_info_id: ERROR_ID
reason: IAM_PERMISSION_DENIED
REST
{
"error": {
"code": 403,
"message": "Permission 'storage.buckets.list' denied on resource (or it may not exist). Remediate access with this Troubleshooter URL or share it with your administrator - https://console.cloud.google.com/iam-admin/troubleshooter;errorId=ERROR_ID .",
"details": [
{
"@type": "type.googleapis.com/google.rpc.ErrorInfo",
"reason": "forbidden",
"domain": "global",
"metadata": {
"error_info_id": "ERROR_ID",
"permission": "storage.buckets.list"
}
}
]
}
}
Nächste Schritte
- Wenn Sie keine Administratorberechtigungen haben und eine Berechtigung Fehlermeldung erhalten, lesen Sie Fehlende Berechtigungen anfordern.
- Wenn Sie Administratorberechtigungen haben und eine Zugriffsanfrage eines Nutzers bearbeiten müssen, lesen Sie Berechtigungsfehler beheben.