בקשה להרשאות חסרות

במאמר הזה מוסבר איך לבקש הרשאות חסרות כשמופיעה הודעת שגיאה לגבי הרשאות.

אם אין לכם הרשאה לשנות מדיניות שקשורה לגישה בארגון, אתם צריכים לשלוח לאדמין בקשת גישה באמצעות ההקשר מהודעת השגיאה. אין אפשרות לפתור את שגיאות ההרשאות באופן עצמאי.

אפשר לבקש גישה בדרכים הבאות:

אם אתם משתמשים במסוף Google Cloud ויש לכם את ההרשאות שנדרשות להקצאת תפקידים, אתם יכולים להקצות לעצמכם את התפקיד ישירות מהודעת השגיאה במקום לשלוח בקשה. מידע נוסף זמין במאמר בנושא הקצאת תפקיד לעצמכם בGoogle Cloud מסוף.

שליחת בקשה להרשאות הנדרשות

כדי לבקש את ההרשאות הנדרשות:

המסוף

  1. ברשימת ההרשאות החסרות, לוחצים על בקשת הרשאות.

  2. בחלונית בקשת גישה, בוחרים איך רוצים להודיע לאדמין:

    • אם הארגון שלכם תומך באנשי קשר חיוניים ומאפשר שליחה אוטומטית של הודעות אימייל עם בקשות גישה, תוכלו לשלוח הודעת אימייל שנוצרה באופן אוטומטי אל איש הקשר הטכני החיוני של הארגון. כדי לשלוח את האימייל הזה:

      1. בוחרים באפשרות שליחת אימייל שנוצר אוטומטית.
      2. מוסיפים הקשר לגבי הבקשה שרוצים לכלול.
      3. לוחצים על שליחת הבקשה.

    • כדי להעתיק את בקשת הגישה ולהדביק אותה במערכת לניהול בקשות, פועלים לפי השלבים הבאים:

      1. אם הארגון שלכם תומך באנשי קשר חיוניים ומאפשר שליחת אימיילים שנוצרו אוטומטית, אבל אתם רוצים לשלוח את ההתראה באופן ידני, בוחרים באפשרות Notify manually.
      2. מוסיפים הקשר לגבי הבקשה שרוצים לכלול.
      3. לוחצים על העתקת ההודעה.
      4. מדביקים את הבקשה במערכת לניהול הבקשות.

      האדמין יקבל את בקשת הגישה שלכם, יחד עם כל הקשר הנוסף שסיפקתם.

gcloud

מעתיקים את רשימת ההרשאות החסרות מהודעת השגיאה, ואז משתמשים במערכת לניהול בקשות כדי לבקש מאדמין להעניק לכם את ההרשאות האלה.

REST

מעתיקים את רשימת ההרשאות החסרות מהודעת השגיאה, ואז משתמשים במערכת לניהול בקשות כדי לבקש מאדמין להעניק לכם את ההרשאות האלה.

שליחת בקשה להרשאה (משך הזמן המקסימלי שלה הוא {maxDuration})

ההרשאות ב-Privileged Access Manager מגדירות קבוצה של תפקידים ב-IAM שאפשר לבקש בכל שלב. אם הבקשה תאושר, תקבלו את התפקידים המבוקשים באופן זמני.

אפשרות הפתרון הזו זמינה רק אם שגיאת ההרשאה נגרמת בגלל מדיניות ההרשאה שלכם, ואם יש לכם הרשאה ב-Privileged Access Manager עם ההרשאות הנדרשות.

כדי לבקש מענק כנגד זכאות קיימת, בצע את הפעולות הבאות:

המסוף

  1. כשמופיעה הודעת שגיאה, מחפשים את הקטע בקשת גישה זמנית. בקטע הזה מפורטות כל ההרשאות של Privileged Access Manager שכוללות תפקיד עם ההרשאות הנדרשות.

    אם לא מוחזר קטע Request temporary access (בקשת גישה זמנית), סימן שאף אחת מההרשאות לא כוללת את ההרשאות הנדרשות. במקרה כזה, אפשר לבקש ממנהל מערכת ליצור הרשאה חדשה.

  2. מעיינים ברשימת ההרשאות הזמינות ובוחרים את ההרשאה שרוצים לבקש.

  3. לוחצים על ההרשאה ואז על בקשת גישה.

  4. בחלונית בקשת הרשאה, מזינים את הפרטים של בקשת ההרשאה:

    • משך הגישה הנדרש, עד למשך המקסימלי שמוגדר בהרשאה.

    • אם נדרש, הסבר למענק.

    • אופציונלי: כתובות האימייל של מי שרוצים לשלוח לו התראה על בקשת הגישה. זהויות ב-Google שמשויכות למאשרים מקבלות התראה באופן אוטומטי. עם זאת, יכול להיות שתרצו לשלוח את ההודעה לסט אחר של כתובות אימייל, במיוחד אם אתם משתמשים באיחוד שירותי אימות הזהות של כוח העבודה.

  5. לוחצים על בקשת מענק.

  6. כדי לראות את היסטוריית המענקים, כולל סטטוס האישור, נכנסים אל הדף Privileged Access Manager במסוףGoogle Cloud ולוחצים על Grants > My grants.

gcloud

  1. מחפשים זכויות גישה זמינות כדי למצוא זכות גישה עם תפקיד שיש לו את ההרשאות הנדרשות.

    אם לא מוחזרת זכאות, אפשר לבקש מאדמין ליצור זכאות חדשה.

  2. בקשת מענק כנגד הזכאות.

  3. אופציונלי: בדיקת הסטטוס של הבקשה למענק.

REST

  1. מחפשים זכויות גישה זמינות כדי למצוא זכות גישה עם תפקיד שיש לו את ההרשאות הנדרשות.

    אם לא מוחזרת זכאות, אפשר לבקש מאדמין ליצור זכאות חדשה.

  2. בקשת מענק כנגד הזכאות.

  3. אופציונלי: בדיקת הסטטוס של הבקשה למענק.

שליחת בקשה לתפקיד

אם שגיאת ההרשאה נגרמת בגלל מדיניות הרשאות, אפשר לבקש מהאדמין להקצות לכם תפקיד עם ההרשאות הנדרשות כדי לפתור את השגיאה.

אם השגיאה נגרמת בגלל סוג מדיניות אחר או אם אתם לא בטוחים איזה סוג מדיניות גורם לשגיאה, אתם יכולים לבקש את ההרשאות הנדרשות במקום זאת.

המסוף

  1. בקטע Request a specific role (בקשה לתפקיד ספציפי), בודקים את רשימת התפקידים המומלצים ובוחרים את התפקיד שרוצים לבקש. כדי לראות פרטים נוספים על התפקידים, אפשר ללחוץ עליהם. הקטע הזה מוצג רק אם שגיאת ההרשאה נגרמת בגלל מדיניות הרשאה.

  2. לוחצים על התפקיד שבחרתם ואז על בקשת תפקיד.

  3. בחלונית בקשת גישה, בוחרים אחת מהאפשרויות להודעה לאדמין:

    • אם הארגון שלכם תומך באנשי קשר חיוניים ומאפשר שליחת הודעות אימייל אוטומטיות עם בקשות גישה, אתם יכולים לשלוח הודעת אימייל אוטומטית אל איש הקשר הטכני החיוני בארגון. כדי לשלוח את האימייל הזה:

      1. בוחרים באפשרות שליחת אימייל שנוצר אוטומטית.
      2. מוסיפים הקשר לגבי הבקשה שרוצים לכלול.
      3. לוחצים על שליחת הבקשה.

    • כדי להעתיק את בקשת הגישה ולהדביק אותה במערכת לניהול בקשות, פועלים לפי השלבים הבאים:

      1. אם הארגון שלכם תומך באנשי קשר חיוניים ומאפשר שליחת אימיילים שנוצרו אוטומטית, אבל אתם רוצים לשלוח את ההתראה באופן ידני, בוחרים באפשרות Notify manually.
      2. מוסיפים הקשר לגבי הבקשה שרוצים לכלול.
      3. לוחצים על העתקת ההודעה.
      4. מדביקים את הבקשה במערכת לניהול הבקשות.

    האדמין יקבל את בקשת הגישה שלכם, יחד עם כל הקשר הנוסף שסיפקתם.

gcloud

  1. מזהים תפקיד IAM שמכיל את ההרשאות החסרות.

    כדי לראות את כל התפקידים שבהם כלולה הרשאה מסוימת, מחפשים את ההרשאה באינדקס של תפקידים והרשאות ב-IAM ולוחצים על שם ההרשאה.

    אם אין תפקידים מוגדרים מראש שמתאימים לתרחיש השימוש שלכם, תוכלו ליצור תפקיד בהתאמה אישית.

  2. משתמשים במערכת לניהול בקשות כדי לבקש מהאדמין להקצות לכם את התפקיד.

REST

  1. מזהים תפקיד IAM שמכיל את ההרשאות החסרות.

    כדי לראות את כל התפקידים שבהם כלולה הרשאה מסוימת, מחפשים את ההרשאה באינדקס של תפקידים והרשאות ב-IAM ולוחצים על שם ההרשאה.

    אם אין תפקידים מוגדרים מראש שמתאימים לתרחיש השימוש שלכם, תוכלו ליצור תפקיד בהתאמה אישית.

  2. משתמשים במערכת לניהול בקשות כדי לבקש מהאדמין להקצות לכם את התפקיד.

הקצאת תפקיד לעצמכם במסוף Google Cloud

אם נתקלתם בשגיאת הרשאה ב- Google Cloud console ויש לכם את ההרשאות שנדרשות להקצאת תפקידים, אתם יכולים להקצות לעצמכם תפקיד ישירות מהודעת שגיאת ההרשאה:

  1. בקטע Select a role to grant (בחירת תפקיד להקצאה), בודקים את רשימת התפקידים המומלצים ובוחרים את התפקיד שרוצים לבקש. כדי לראות פרטים נוספים על התפקידים, אפשר ללחוץ עליהם.

  2. כדי להקצות את התפקיד שבחרתם, לוחצים על התפקיד ואז על Grant access.

המאמרים הבאים