このドキュメントでは、権限エラー メッセージが表示されたときに、不足している権限をリクエストする方法について説明します。
組織でアクセス関連のポリシーを変更する権限がない場合は、エラー メッセージのコンテキストを使用して、管理者にアクセス権のリクエストを送信する必要があります。権限エラーを自分で解決することはできません。
アクセス権をリクエストする方法は次のとおりです。
必要な権限をリクエストします。この解決策は、すべてのタイプの権限エラーに有効です。
Privileged Access Manager の利用資格に対する権限付与をリクエストします。この解決策は、権限エラーが許可ポリシーによって発生し、必要な権限を持つ Privileged Access Manager の利用資格がある場合にのみ有効です。
必要な権限を持つロールをリクエストします。この解決策は、権限エラーが許可ポリシーによって発生している場合にのみ有効です。
Google Cloud コンソールを使用しており、ロールの付与に必要な権限がある場合は、リクエストする代わりに、エラー メッセージから直接ロールを付与できます。詳細については、Google Cloud コンソールを使用してロールを自分で付与するをご覧ください。
必要な権限をリクエストする
必要な権限をリクエストする手順は次のとおりです。
コンソール
不足している権限のリストで、[権限をリクエスト] をクリックします。
[アクセスをリクエスト] パネルで、管理者に通知する方法を選択します。
組織が重要な連絡先をサポートし、自動生成されたアクセス権のリクエスト メールを許可している場合は、組織の技術的な重要な連絡先に自動生成されたメールを送信できます。このメールを送信するには、次の操作を行います。
- [メールを自動生成して送信] を選択します。
- リクエストに含めたいコンテキストを追加します。
- [リクエストを送信] をクリックします。
アクセス権のリクエストをコピーして、任意のリクエスト管理システムに貼り付けるには、次の操作を行います。
- 組織が重要な連絡先をサポートし、自動生成されたメールを許可しているが、通知を手動で送信する場合は、[手動で通知] を選択します。
- リクエストに含めたいコンテキストを追加します。
- [メッセージをコピー] をクリックします。
- リクエストを任意のリクエスト管理システムに貼り付けてください。
管理者は、アクセス権のリクエストと、提供された追加のコンテキストを受け取ります。
gcloud
エラー メッセージから不足している権限のリストをコピーし、任意のリクエスト管理システムを使用して、管理者にこれらの権限の付与を依頼します。
REST
エラー メッセージから不足している権限のリストをコピーし、任意のリクエスト管理システムを使用して、管理者にこれらの権限の付与を依頼します。
Privileged Access Manager の利用資格に対する権限付与をリクエストする
Privileged Access Manager の利用資格は、いつでもリクエストできる IAM ロールのセットを定義します。リクエストが成功すると、リクエストされたロールが一時的に付与されます。
この解決オプションは、権限エラーが許可ポリシーによって発生し、必要な権限を持つ Privileged Access Manager の利用資格がある場合にのみ使用できます。
既存の利用資格に対する権限付与をリクエストするには、次の操作を行います。
コンソール
エラー メッセージが表示されたら、[一時的なアクセス権をリクエストする] セクションを探します。このセクションでは、必要な権限を持つロールを含む Privileged Access Manager のすべての利用資格が一覧表示されます。
[一時的なアクセス権をリクエストする] セクションが返されない場合は、必要な権限を含む利用資格はありません。この場合は、管理者に新しい利用資格の作成を依頼してください。
利用可能な利用資格のリストを確認し、権限付与をリクエストする利用資格を選択します。
利用資格をクリックし、[アクセスをリクエスト] をクリックします。
[権限付与をリクエスト] パネルで、権限付与リクエストの詳細を入力します。
権限付与に必要な期間(利用資格に設定されている最大期間まで)。
必要な場合、権限付与の正当性。
省略可: 権限付与リクエストを通知するメールアドレス。承認者に関連付けられている Google ID に自動的に通知されます。ただし、特に Workforce Identity 連携を使用している場合は、別のメールアドレスのセットに通知することもできます。
[権限付与をリクエスト] をクリックします。
承認ステータスを含む権限付与の履歴を表示するには、Google Cloud コンソールで [Privileged Access Manager] ページに移動し、[付与] > [自分の権限付与] をクリックします。
gcloud
利用可能な利用資格を検索して、必要な権限を持つロールを含む利用資格を見つけます。
利用資格が返されない場合は、管理者に新しい利用資格の作成を依頼できます。
省略可: 権限付与リクエストのステータスを確認します。
REST
利用可能な利用資格を検索して、必要な権限を持つロールを含む利用資格を見つけます。
利用資格が返されない場合は、管理者に新しい利用資格の作成を依頼できます。
省略可: 権限付与リクエストのステータスを確認します。
ロールをリクエストする
許可ポリシーが原因で権限エラーが発生した場合は、エラーを解決するために必要な権限を含むロールを付与するよう管理者にリクエストできます。
エラーの原因が別のポリシータイプである場合や、どのポリシータイプがエラーの原因であるかわからない場合は、代わりに必要な権限をリクエストしてください。
コンソール
[特定のロールをリクエストする] セクションで、推奨されるロールのリストを確認し、リクエストするロールを選択します。ロールをクリックすると、詳細が表示されます。 このセクションは、許可ポリシーが原因で権限エラーが発生した場合にのみ表示されます。
選択したロールをクリックし、[ロールをリクエスト] をクリックします。
[アクセスをリクエスト] パネルで、管理者に通知するためのオプションを 1 つ選択します。
組織が重要な連絡先をサポートし、自動生成されたアクセス権のリクエスト メールを許可している場合は、組織の技術的な重要な連絡先に自動生成されたメールを送信できます。このメールを送信するには、次の操作を行います。
- [メールを自動生成して送信] を選択します。
- リクエストに含めたいコンテキストを追加します。
- [リクエストを送信] をクリックします。
アクセス権のリクエストをコピーして、任意のリクエスト管理システムに貼り付けるには、次の操作を行います。
- 組織が重要な連絡先をサポートし、自動生成されたメールを許可しているが、通知を手動で送信する場合は、[手動で通知] を選択します。
- リクエストに含めたいコンテキストを追加します。
- [メッセージをコピー] をクリックします。
- リクエストを任意のリクエスト管理システムに貼り付けてください。
管理者は、アクセス権のリクエストと、提供された追加のコンテキストを受け取ります。
gcloud
不足している権限を含む IAM ロールを特定します。
特定の権限が含まれているすべてのロールを確認するには、IAM ロールと権限のインデックスで権限を検索し、権限名をクリックします。
ユースケースに一致する事前定義ロールがない場合は、代わりにカスタムロールを作成できます。
任意のリクエスト管理システムを使用して、管理者にロールの付与をリクエストします。
REST
不足している権限を含む IAM ロールを特定します。
特定の権限が含まれているすべてのロールを確認するには、IAM ロールと権限のインデックスで権限を検索し、権限名をクリックします。
ユースケースに一致する事前定義ロールがない場合は、代わりにカスタムロールを作成できます。
任意のリクエスト管理システムを使用して、管理者にロールの付与をリクエストします。
Google Cloud コンソールを使用してロールを自分で付与する
Google Cloud コンソールで権限エラーが発生し、ロールの付与に必要な権限がある場合は、権限エラー メッセージから直接ロールを付与できます。
[付与するロールを選択する] セクションで、推奨されるロールのリストを確認し、リクエストするロールを選択します。ロールをクリックすると、詳細が表示されます。
選択したロールを付与するには、ロールをクリックして [アクセス権を付与] をクリックします。
次のステップ
- 管理権限があり、ユーザーのアクセス リクエストを解決する必要がある場合は、権限エラーを解決するをご覧ください。