请求缺少的权限

本文档介绍了在遇到权限错误消息时,如何请求缺少的权限。

如果您无权修改组织中与访问权限相关的政策,则必须使用错误消息中的上下文向管理员发送访问权限请求。您无法自行解决权限错误。

您可以通过以下方式请求访问权限:

如果您使用的是 Google Cloud 控制台,并且拥有授予角色所需的权限,则可以直接从错误消息中授予自己相应角色,而无需请求。如需了解详情,请参阅在Google Cloud 控制台中自行授予角色

请求所需的权限

如需请求所需的权限,请执行以下操作:

控制台

  1. 在缺少权限的列表中,点击请求权限

  2. 请求访问权限面板中,选择您希望以哪种方式通知管理员:

    • 如果您的组织支持重要联系人,并且允许发送自动生成的访问权限请求邮件,则您可以向组织的技术重要联系人发送自动生成的邮件。如需发送此邮件,请执行以下操作:

      1. 选择发送自动生成的邮件
      2. 添加您想要包含的有关请求的任何背景信息。
      3. 点击发送请求

    • 如需复制访问权限请求并将其粘贴到您首选的请求管理系统中,请执行以下操作:

      1. 如果您的组织支持“重要联系人”并允许发送自动生成的邮件,但您想手动发送通知,请选择手动通知
      2. 添加您想要包含的有关请求的任何背景信息。
      3. 点击复制消息
      4. 将请求粘贴到您首选的请求管理系统中。

      您的管理员会收到您的访问权限请求以及您提供的任何其他背景信息。

gcloud

从错误消息中复制缺少权限的列表,然后使用您首选的请求管理系统请求管理员授予您这些权限。

REST

从错误消息中复制缺少权限的列表,然后使用您首选的请求管理系统请求管理员授予您这些权限。

请求授予 Privileged Access Manager 使用权

Privileged Access Manager 使用权定义了一组您可以随时请求的 IAM 角色。如果您的请求成功,系统会暂时授予您所请求的角色。

只有在权限错误是因允许政策引起的,且您拥有具有所需权限的 Privileged Access Manager 使用权时,此解决方案才可用。

如需请求授予现有使用权,请执行以下操作:

控制台

  1. 当您遇到错误消息时,请找到请求临时访问权限部分。本部分列出了包含具有所需权限的角色的所有 Privileged Access Manager 使用权。

    如果未返回请求临时访问权限部分,则表示没有包含所需权限的使用权。在这种情况下,您可以让管理员创建新的使用权

  2. 查看可用使用权列表,然后选择要请求授予使用权。

  3. 点击相应使用权,然后点击请求访问权限

  4. 请求授权面板中,输入请求授权的详细信息:

    • 授权所需的时长,最长不超过对使用权设置的时长上限。

    • 如果需要,请提供授权理由。

    • 可选:要通知授权请求的邮箱。与审批人关联的 Google 身份会自动收到通知。 不过,您可能需要通知另一组邮箱,尤其是在使用员工身份联合时。

  5. 点击请求授权

  6. 如需查看您的授权历史记录(包括审批状态),请前往Google Cloud 控制台中的 Privileged Access Manager 页面,然后依次点击授权 > 我的授权

gcloud

  1. 搜索可用的使用权,以查找具有所需权限的角色所对应的使用权。

    如果未返回任何授权,您可以让管理员创建新授权

  2. 请求授予使用权

  3. 可选:查看授权请求的状态

REST

  1. 搜索可用的使用权,以查找具有所需权限的角色所对应的使用权。

    如果未返回任何授权,您可以让管理员创建新授权

  2. 请求授予使用权

  3. 可选:查看授权请求的状态

请求角色

如果权限错误是因允许政策引起的,则您可以请求管理员授予您具有所需权限的角色,以解决该错误。

如果错误是因其他政策类型引起的,或者您不确定是哪种政策类型导致了错误,请改为请求所需的权限

控制台

  1. 请求特定角色部分中,查看推荐的角色列表,然后选择要请求的角色。您可以点击相应角色,查看有关该角色的更多详细信息。只有在权限错误是因允许政策引起时,系统才会显示此部分。

  2. 点击您选择的角色,然后点击请求角色

  3. 请求访问权限面板中,选择用于通知管理员的选项之一:

    • 如果您的组织支持重要联系人,并且允许发送自动生成的访问权限请求邮件,则您可以向组织的技术重要联系人发送自动生成的邮件。如需发送此邮件,请执行以下操作:

      1. 选择发送自动生成的邮件
      2. 添加您想要包含的有关请求的任何背景信息。
      3. 点击发送请求

    • 如需复制访问权限请求并将其粘贴到您首选的请求管理系统中,请执行以下操作:

      1. 如果您的组织支持“重要联系人”并允许发送自动生成的邮件,但您想手动发送通知,请选择手动通知
      2. 添加您想要包含的有关请求的任何背景信息。
      3. 点击复制消息
      4. 将请求粘贴到您首选的请求管理系统中。

    您的管理员会收到您的访问权限请求以及您提供的任何其他背景信息。

gcloud

  1. 确定包含缺少权限的 IAM 角色。

    如需查看包含给定权限的所有角色,请在 IAM 角色和权限索引中搜索该权限,然后点击该权限名称。

    如果没有预定义角色适合您的应用场景,您可以改为创建自定义角色

  2. 使用您首选的请求管理系统,请求管理员授予您相应角色。

REST

  1. 确定包含缺少权限的 IAM 角色。

    如需查看包含给定权限的所有角色,请在 IAM 角色和权限索引中搜索该权限,然后点击该权限名称。

    如果没有预定义角色适合您的应用场景,您可以改为创建自定义角色

  2. 使用您首选的请求管理系统,请求管理员授予您相应角色。

在 Google Cloud 控制台中自行授予角色

如果您在 Google Cloud 控制台中遇到权限错误,并且拥有授予角色所需的权限,则可以直接从权限错误消息中向自己授予角色:

  1. 选择要授予的角色部分中,查看推荐的角色列表,然后选择要请求的角色。您可以点击相应角色,查看有关该角色的更多详细信息。

  2. 如需授予所选角色,请点击该角色,然后点击授予访问权限

后续步骤

  • 如果您拥有管理权限,并且需要解决用户访问权限请求,请参阅解决权限错误