Berechtigungsfehler beheben

In diesem Dokument werden die verschiedenen Methoden beschrieben, mit denen Administratoren Berechtigungsfehler für Nutzer in ihrer Organisation identifizieren und beheben können.

Berechtigungsfehler aus Zugriffsanfragen beheben

Wenn Sie Administrator sind, erhalten Sie möglicherweise Zugriffsanfragen von Nutzern, bei denen Berechtigungsfehler in der Google Cloud Konsole aufgetreten sind. Diese Anfragen werden in der Regel an die folgenden Personen gesendet:

  • Der technische Kontakt Ihrer Organisation. Wenn in Ihrer Organisation Essential Contacts aktiviert sind und automatisch generierte E‑Mails mit Zugriffsanfragen zulässig sind, können Nutzer, die in derGoogle Cloud Console auf Berechtigungsfehler stoßen, eine automatisch generierte Zugriffsanfrage an den technischen Essential Contact ihrer Organisation senden.

  • Kontakte, die über Ihr bevorzugtes Anfrageverwaltungssystem konfiguriert wurden Nutzer, die in der Google Cloud -Konsole auf Berechtigungsfehler stoßen, können eine Zugriffsanfrage kopieren und dann über ihr bevorzugtes Anfrageverwaltungssystem senden.

Diese Nachrichten haben in der Regel das folgende Format:

user@example.com is requesting a role on the resource example.com:example-project.

Requestor's message:

"I need access to example-project to complete my work."

You may be able to resolve this request by granting access directly at:

ACCESS_REQUEST_PANEL_URL

Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:

POLICY_TROUBLESHOOTER_URL

Sie können auf diese Anfragen folgendermaßen reagieren:

  • Zugriff direkt gewähren: Zugriffsanfragen enthalten einen Link zu einem Zugriffsanfragefeld in der Google Cloud Console. Wenn der Berechtigungsfehler durch eine Zulassungsrichtlinie verursacht wird, können Sie den Zugriff direkt über dieses Feld beheben.

    Im Bereich „Zugriffsanfrage“ können Sie die Anfragedetails prüfen und auswählen, wie Sie auf die Anfrage reagieren möchten. Sie haben folgende Möglichkeiten, zu antworten:

    • Gewähren Sie die angeforderte Rolle.
    • Fügen Sie den Nutzer einer vorhandenen Gruppe hinzu, die bereits den erforderlichen Zugriff hat.
    • Anfrage ablehnen

  • Zusätzliche Details in der Richtlinien-Fehlerbehebung ansehen: Zugriffsanfragen enthalten einen Link zur Richtlinien-Fehlerbehebung. Dort können Sie sehen, welche Richtlinien den Zugriff des Nutzers blockieren. Anhand dieser Informationen können Sie entscheiden, wie Sie das Zugriffsproblem des Nutzers beheben. Weitere Informationen finden Sie auf dieser Seite unter Richtlinien ermitteln, die Berechtigungsfehler verursachen.

  • Zugriffsprobleme mit der Richtlinien-Fehlerbehebung beheben (Vorabversion): Zugriffsanfragen enthalten auch einen Link zu einer Zusammenfassung der Richtlinienkorrektur, in der die Anfragedetails beschrieben werden, einschließlich des anfragenden Hauptkontos, der Ressource und der Berechtigung. In der Zusammenfassung zur Richtlinienbehebung können Sie Zugriffsanfragen mit Zulassungsrichtlinien direkt bearbeiten und weitere Informationen zu den Richtlinien abrufen, die den Nutzerzugriff blockieren.

    Weitere Informationen zum Beheben von Zugriffsanfragen mithilfe der Zusammenfassung zur Richtlinienkorrektur finden Sie unter Zugriffsprobleme beheben.

Berechtigungsfehler manuell beheben

Wenn Sie ein Administrator mit der Berechtigung sind, die zugriffsbezogenen Richtlinien in Ihrer Organisation zu ändern, können Sie diese Strategien verwenden, um Berechtigungsfehler zu beheben, unabhängig vom Richtlinientyp, der den Fehler verursacht.

Um Berechtigungsfehler zu beheben, müssen Sie zuerst ermitteln, welche Richtlinien (Zulassen, Verweigern oder Principal Access Boundary) den Fehler verursachen. Anschließend können Sie den Fehler beheben.

Richtlinien ermitteln, die Berechtigungsfehler verursachen

Mit der Richtlinien-Fehlerbehebung können Sie ermitteln, welche Richtlinien einen Berechtigungsfehler verursachen.

Mit der Richtlinien-Fehlerbehebung können Sie nachvollziehen, ob ein Hauptkonto auf eine Ressource zugreifen kann. Wenn Sie ein Hauptkonto, eine Ressource und eine Berechtigung angeben, untersucht die Richtlinien-Fehlerbehebung die Zulassungsrichtlinien, Ablehnungsrichtlinien und Principal Access Boundary-Richtlinien (PAB), die sich auf den Zugriff des Hauptkontos auswirken. Anschließend wird angezeigt, ob das Hauptkonto anhand dieser Richtlinien die angegebene Berechtigung für den Zugriff auf die Ressource verwenden kann. Außerdem werden die relevanten Richtlinien aufgeführt und erläutert, wie sie sich auf den Zugriff des Hauptkontos auswirken.

Informationen zur Fehlerbehebung beim Zugriff und zur Interpretation der Ergebnisse der Richtlinien-Fehlerbehebung finden Sie unter IAM-Berechtigungen prüfen.

Fehlermeldungen in der Google Cloud -Konsole enthalten einen Link zu einer Seite zur Fehlerbehebung für Richtlinien (Vorschau) für das Hauptkonto, die Berechtigungen und die Ressource, die an der Anfrage beteiligt sind. Klicken Sie auf Details zur Fehlerbehebung ansehen und dann auf Richtlinien-Fehlerbehebung, um diesen Link aufzurufen. Weitere Informationen finden Sie unter Zugriffsanfragen bearbeiten.

Zugriff aktualisieren, um Berechtigungsfehler zu beheben

Wenn Sie wissen, welche Richtlinien einen Berechtigungsfehler verursachen, können Sie Maßnahmen ergreifen, um den Fehler zu beheben.

Häufig müssen Sie zum Beheben eines Fehlers Zulassungs-, Ablehnungs- oder Principal Access Boundary-Richtlinien erstellen oder aktualisieren.

Es gibt jedoch auch andere Möglichkeiten, Fehler zu beheben, ohne Richtlinien aktualisieren zu müssen. Sie können den Nutzer beispielsweise einer Gruppe mit den erforderlichen Berechtigungen hinzufügen oder Tags hinzufügen, um eine Ressource von einer Richtlinie auszunehmen.

Informationen dazu, wie Sie Berechtigungsfehler beheben können, die durch die einzelnen Richtlinientypen verursacht werden, finden Sie hier:

Berechtigungsfehler bei Zulassungsrichtlinien beheben

So beheben Sie Berechtigungsfehler, die durch Zulassungsrichtlinien verursacht werden:

Rolle mit den erforderlichen Berechtigungen zuweisen

So finden und gewähren Sie eine Rolle mit den erforderlichen Berechtigungen:

  1. Suchen Sie nach einer IAM-Rolle, die die fehlenden Berechtigungen enthält.

    Wenn Sie alle Rollen sehen möchten, in denen eine bestimmte Berechtigung enthalten ist, suchen Sie im Index für IAM-Rollen und ‑Berechtigungen nach der Berechtigung und klicken Sie dann auf den Berechtigungsnamen.

    Wenn keine vordefinierten Rollen zu Ihrem Anwendungsfall passen, können Sie stattdessen eine benutzerdefinierte Rolle erstellen.

  2. Suchen Sie nach dem Hauptkonto, dem Sie die Rolle zuweisen möchten:

    • Wenn der Nutzer die Berechtigung als Einziger benötigt, weisen Sie ihm die Rolle direkt zu.
    • Wenn der Nutzer Mitglied einer Google-Gruppe ist, die Nutzer mit ähnlichen Berechtigungen enthält, sollten Sie die Rolle stattdessen der Gruppe zuweisen. Wenn Sie der Gruppe die Rolle zuweisen, können alle Mitglieder dieser Gruppe die Berechtigung verwenden, sofern ihnen die Verwendung nicht explizit verweigert wurde.

  3. Weisen Sie dem Hauptkonto die Rolle zu.

Gewährung für eine Privileged Access Manager-Berechtigung genehmigen

Mit Privileged Access Manager-Berechtigungen können Nutzer bestimmte IAM-Rollen anfordern. Wenn Sie die Anfrage eines Nutzers für eine Berechtigung genehmigen, werden ihm die angeforderten Rollen vorübergehend zugewiesen.

Wenn der Nutzer bereits eine Privileged Access Manager-Berechtigung mit einer Rolle hat, die die erforderlichen Berechtigungen enthält, kann er eine Zuweisung für diese Berechtigung anfordern. Nachdem das Team die Gewährung angefordert hat, können Sie die Gewährung genehmigen, um den Berechtigungsfehler zu beheben.

Wenn ein Nutzer keine Berechtigung hat, können Sie eine neue Berechtigung erstellen, für die er Gewährungen beantragen kann.

Nutzer einer Google-Gruppe hinzufügen

Wenn einer Google-Gruppe eine Rolle für eine Ressource zugewiesen wird, können alle Mitglieder dieser Gruppe die Berechtigungen in dieser Rolle verwenden, um auf die Ressource zuzugreifen.

Wenn einer vorhandenen Gruppe bereits eine Rolle mit den erforderlichen Berechtigungen zugewiesen wurde, können Sie einem Nutzer die erforderlichen Berechtigungen erteilen, indem Sie ihn dieser Gruppe hinzufügen:

  1. Suchen Sie nach einer Gruppe mit einer Rolle, die die erforderlichen Berechtigungen hat. Wenn Sie die Richtlinien-Fehlerbehebung bereits zur Fehlerbehebung der Anfrage verwendet haben, können Sie die Ergebnisse der Richtlinien-Fehlerbehebung prüfen, um eine Gruppe mit den erforderlichen Berechtigungen zu finden.

    Alternativ können Sie den Policy Analyzer verwenden, um eine Gruppe mit den erforderlichen Berechtigungen zu finden.

  2. Fügen Sie den Nutzer der Gruppe hinzu.

Berechtigungsfehler bei Ablehnungsrichtlinien beheben

So beheben Sie Berechtigungsfehler im Zusammenhang mit Ablehnungsrichtlinien:

Ausnahme von einer Ablehnungsrichtlinie

Wenn eine Ablehnungsregel den Zugriff eines Nutzers auf eine Ressource blockiert, haben Sie folgende Möglichkeiten, den Nutzer von der Regel auszunehmen:

  • Fügen Sie den Nutzer als Ausnahmehauptkonto in die Ablehnungsregel ein. Ausnahmehauptkonten sind Hauptkonten, die von der Ablehnungsregel nicht betroffen sind, auch wenn sie Teil einer Gruppe sind, die in der Ablehnungsregel enthalten ist.

    Wenn Sie einer Ablehnungsregel einen Ausnahmeprinzipal hinzufügen möchten, folgen Sie der Anleitung zum Aktualisieren der Ablehnungsrichtlinie. Suchen Sie beim Aktualisieren der Ablehnungsrichtlinie nach der Ablehnungsregel, die den Zugriff blockiert, und fügen Sie dann die Hauptkonto-ID des Nutzers als Ausnahmehauptkonto hinzu.

  • Fügen Sie den Nutzer einer Gruppe hinzu, die von der Regel ausgenommen ist. Wenn eine Gruppe als Ausnahme-Hauptkonto aufgeführt ist, sind alle Mitglieder dieser Gruppe von der Ablehnungsregel ausgenommen.

    So fügen Sie den Nutzer einer Gruppe mit Ausnahmen hinzu:

    1. Verwenden Sie die Richtlinien-Fehlerbehebung, um die Richtlinien vom Typ „Verweigern“ zu ermitteln, die den Zugriff auf die Ressource blockieren.
    2. Ablehnungsrichtlinie ansehen
    3. Prüfen Sie die Liste der Ausnahme-Principals für Gruppen.
    4. Wenn Sie eine Gruppe mit Ausnahmen identifizieren, fügen Sie den Nutzer der Gruppe hinzu.

Entfernen Sie die Berechtigung aus der Ablehnungsrichtlinie

Mit Ablehnungsregeln wird verhindert, dass die aufgeführten Hauptkonten bestimmte Berechtigungen verwenden. Wenn eine Ablehnungsregel den Zugriff eines Nutzers auf eine Ressource blockiert, können Sie die erforderlichen Berechtigungen aus der Ablehnungsregel entfernen.

Wenn Sie Berechtigungen aus einer Ablehnungsregel entfernen möchten, folgen Sie der Anleitung zum Aktualisieren der Ablehnungsrichtlinie. Wenn Sie die Ablehnungsrichtlinie aktualisieren, suchen Sie die Ablehnungsregel, die den Zugriff blockiert, und führen Sie einen der folgenden Schritte aus:

  • Wenn die erforderlichen Berechtigungen in der Ablehnungsrichtlinie einzeln aufgeführt sind, suchen Sie sie und entfernen Sie sie aus der Ablehnungsregel.
  • Wenn in der Ablehnungsregel Berechtigungsgruppen verwendet werden, fügen Sie die erforderlichen Berechtigungen als Ausnahmeberechtigungen hinzu. Ausnahmeberechtigungen sind Berechtigungen, die nicht durch die Ablehnungsregel blockiert werden, auch wenn sie Teil einer Berechtigungsgruppe sind, die in der Regel enthalten ist.

Ressource von der Ablehnungsrichtlinie ausschließen

Sie können Bedingungen in Ablehnungsrichtlinien verwenden, um eine Ablehnungsregel basierend auf den Tags einer Ressource anzuwenden. Wenn die Tags der Ressource nicht der Bedingung in der Ablehnungsregel entsprechen, wird die Ablehnungsregel nicht angewendet.

Wenn eine Ablehnungsregel den Zugriff auf eine Ressource blockiert, können Sie die Bedingungen in der Ablehnungsregel oder die Tags für die Ressource bearbeiten, damit die Ablehnungsregel nicht auf die Ressource angewendet wird.

Berechtigungsfehler bei der Principal Access Boundary-Richtlinie beheben

Standardmäßig dürfen Hauptkonten auf jede Google Cloud Ressource zugreifen. Wenn sie jedoch einer Principal Access Boundary-Richtlinie unterliegen, dürfen sie nur auf die Ressourcen zugreifen, die in den Principal Access Boundary-Richtlinien aufgeführt sind, denen sie unterliegen. In diesen Fällen kann eine Principal Access Boundary-Richtlinie verhindern, dass ein Hauptkonto auf eine Ressource zugreift.

Führen Sie einen der folgenden Schritte aus, um Fehler im Zusammenhang mit Principal Access Boundary-Richtlinien zu beheben.

Ressource einer Principal Access Boundary-Richtlinie hinzufügen

Wenn eine Ressource in einer Principal Access Boundary-Richtlinie enthalten ist, der ein Nutzer unterliegt, darf er auf diese Ressource zugreifen.

So fügen Sie einer Principal Access Boundary-Richtlinie eine Ressource hinzu:

Bedingung hinzufügen, um bestimmte Principals auszunehmen

Mit Bedingungen in Bindungen für Principal Access Boundary-Richtlinien können Sie festlegen, für welche Hauptkonten die Principal Access Boundary-Richtlinie erzwungen wird.

Wenn Sie nicht möchten, dass ein Nutzer Principal Access Boundary-Richtlinien unterliegt, verwenden Sie Bedingungen in Principal Access Boundary-Richtlinienbindungen, um den Nutzer von Principal Access Boundary-Richtlinien auszunehmen.

Damit mit diesem Ansatz Fehler behoben werden, müssen Sie den Nutzer von jeder Principal Access Boundary-Richtlinie ausnehmen, die für ihn gilt. Dadurch kann der Nutzer auf jede Google Cloud Ressource zugreifen.

Dieser Ansatz wird nicht empfohlen. Stattdessen sollten Sie die Ressource einer Principal Access Boundary-Richtlinie hinzufügen.

Wenn Sie die Principal Access Boundary-Richtlinien sehen möchten, denen ein Nutzer unterliegt, listen Sie die Richtlinienbindungen für die Hauptkontosätze auf, in denen er enthalten ist. Jede Bindung steht für eine Principal Access Boundary-Richtlinie, die an die Hauptkontogruppe gebunden ist.

Informationen zum Hinzufügen von Bedingungen zu Bindungen für Principal Access Boundary-Richtlinien finden Sie unter Vorhandene Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten.

Nächste Schritte