פתרון שגיאות הרשאה

במאמר הזה מוסבר על השיטות השונות שאדמינים יכולים להשתמש בהן כדי לזהות ולפתור שגיאות הרשאה אצל משתמשים בארגון.

פתרון שגיאות הרשאה מבקשות גישה

אם אתם אדמינים, יכול להיות שתקבלו בקשות גישה ממשתמשים שנתקלו בשגיאות הרשאה במסוף Google Cloud . בדרך כלל, הבקשות האלה נשלחות לאנשים הבאים:

• איש הקשר הטכני החיוני של הארגון. אם הארגון שלכם הפעיל את התכונה 'אנשי קשר חיוניים' ומאפשר שליחה של אימיילים אוטומטיים לבקשת גישה, משתמשים שנתקלים בשגיאות הרשאה ב-Google Cloud Console יכולים לשלוח בקשת גישה אוטומטית לאיש הקשר הטכני החיוני בארגון שלהם.

• אנשי קשר שהוגדרו דרך המערכת לניהול בקשות שמועדפת עליכם. משתמשים שנתקלים בשגיאות הרשאה ב- Google Cloud Console יכולים להעתיק הודעת בקשת גישה ואז לשלוח אותה באמצעות המערכת המועדפת שלהם לניהול בקשות.

ההודעות האלה בדרך כלל מופיעות בפורמט הבא:

user@example.com is requesting a role on the resource example.com:example-project.

Requestor's message:

"I need access to example-project to complete my work."

You may be able to resolve this request by granting access directly at:

ACCESS_REQUEST_PANEL_URL

Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:

POLICY_TROUBLESHOOTER_URL

אפשר לטפל בבקשות האלה בדרכים הבאות:

• פתרון בעיות גישה ישירות: בקשות גישה מכילות קישור לחלונית בקשות גישה במסוף Google Cloud . אם שגיאת ההרשאות נגרמת בגלל מדיניות הרשאות, אפשר לפתור את בעיית הגישה ישירות מהחלונית הזו.

  בחלונית של בקשת הגישה, אפשר לבדוק את פרטי הבקשה ולבחור איך להשיב לה. אפשר להגיב בדרכים הבאות:

  • הקצאת התפקיד המבוקש
  • הוספת המשתמש לקבוצה קיימת שכבר יש לה את הגישה הנדרשת
  • דחיית הבקשה

• צפייה בפרטים נוספים בכלי לפתרון בעיות שקשורות למדיניות: בקשות גישה מכילות קישור לכלי לפתרון בעיות שקשורות למדיניות, שמאפשר לראות אילו כללי מדיניות חוסמים את הגישה של המשתמש. אתם יכולים להשתמש במידע הזה כדי להחליט איך לפתור את בעיית הגישה של המשתמש. מידע נוסף זמין בקטע זיהוי כללי מדיניות שגורמים לשגיאות הרשאה בדף הזה.

• פתרון בעיות גישה באמצעות פותר הבעיות שקשורות למדיניות (גרסת Preview): בקשות הגישה כוללות גם קישור לסיכום של פתרון בעיות שקשורות למדיניות, שבו מתוארים פרטי הבקשה, כולל חשבון המשתמש ששלח את הבקשה, המשאב וההרשאה. מסיכום הטיפול בבעיות שקשורות למדיניות, אפשר לטפל ישירות בבקשות גישה שקשורות למדיניות הרשאות, ולקבל מידע נוסף על המדיניות שחוסמת את הגישה של המשתמשים.

  מידע נוסף על פתרון בעיות גישה באמצעות סיכום התיקונים של המדיניות זמין במאמר פתרון בעיות גישה.

פתרון ידני של שגיאות הרשאה

אם אתם אדמינים עם הרשאה לשנות את המדיניות שקשורה לגישה בארגון, אתם יכולים להשתמש באסטרטגיות האלה כדי לפתור שגיאות שקשורות להרשאות, בלי קשר לסוג המדיניות שגורמת לשגיאה.

כדי לפתור שגיאות הרשאה, קודם צריך לקבוע אילו כללי מדיניות (הרשאה, דחייה או גבול גישה לחשבונות משתמשים) גורמים לשגיאה. אחרי כן, תוכלו לפתור את השגיאה.

זיהוי כללי המדיניות שגורמים לשגיאות בהרשאות

כדי לגלות אילו מדיניות גורמות לשגיאת הרשאה, משתמשים בפותר הבעיות שקשורות למדיניות.

במאמר פתרון בעיות בהרשאות IAM מוסבר איך לפתור בעיות בגישה ואיך לפרש את התוצאות של פותר הבעיות שקשורות למדיניות.

הודעות השגיאה במסוף Google Cloud כוללות קישור לדף פותר הבעיות שקשורות למדיניות (תצוגה מקדימה) עבור הישות המורשית, ההרשאות והמשאב שמעורבים בבקשה. כדי לראות את הקישור הזה, לוחצים על הצגת פרטים לפתרון בעיות ואז על פותר הבעיות שקשורות למדיניות. מידע נוסף זמין במאמר בנושא טיפול בבקשות גישה.

עדכון הגישה כדי לפתור שגיאות הרשאה

אחרי שתדעו אילו כללי מדיניות גורמים לשגיאת הרשאה, תוכלו לבצע את הפעולות הנדרשות לפתרון השגיאה.

ברוב המקרים, כדי לפתור שגיאה צריך ליצור או לעדכן מדיניות הרשאה, מדיניות דחייה או מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB).

עם זאת, יש אפשרויות אחרות לפתרון שגיאות שלא כוללות עדכון של מדיניות. לדוגמה, אפשר להוסיף את המשתמש לקבוצה שיש לה את ההרשאות הנדרשות, או להוסיף תגים כדי להחריג משאב ממדיניות.

כדי ללמוד על הדרכים השונות לפתרון שגיאות הרשאה שנגרמות על ידי כל אחד מסוגי המדיניות השונים, אפשר לעיין במאמרים הבאים:

• פתרון שגיאות בהרשאות של מדיניות ההיתרים
• פתרון שגיאות בהרשאות של מדיניות דחייה

• פתרון שגיאות הרשאה שקשורות לגבול הגישה לחשבונות משתמשים

פתרון שגיאות בהרשאות של מדיניות ההרשאות

כדי לפתור שגיאות הרשאה שנגרמות על ידי כללי מדיניות הרשאה, מבצעים אחת מהפעולות הבאות.

הקצאת תפקיד עם ההרשאות הנדרשות

כדי למצוא ולהקצות תפקיד עם ההרשאות הנדרשות, בצע את הפעולות הבאות:

1. מזהים תפקיד IAM שמכיל את ההרשאות החסרות.

   כדי לראות את כל התפקידים שבהם כלולה הרשאה מסוימת, מחפשים את ההרשאה באינדקס של תפקידים והרשאות ב-IAM ולוחצים על שם ההרשאה.

   אם אין תפקידים מוגדרים מראש שמתאימים לתרחיש השימוש שלכם, תוכלו ליצור תפקיד בהתאמה אישית.

2. מזהים ישות מורשית שרוצים לתת לה את התפקיד:

   • אם המשתמש הוא היחיד שזקוק להרשאה, צריך להעניק לו את התפקיד ישירות.
   • אם המשתמש הוא חלק מקבוצת Google שכוללת משתמשים שזקוקים להרשאות דומות, כדאי להקצות את התפקיד לקבוצה במקום למשתמש. אם מקצים את התפקיד לקבוצה, כל חברי הקבוצה יכולים להשתמש בהרשאה הזו, אלא אם נמנעה מהם במפורש האפשרות להשתמש בה.

3. הקצאת התפקיד לישות המורשית.

אישור הענקת הרשאה ל-Privileged Access Manager

ההרשאות ב-Privileged Access Manager מאפשרות למשתמשים לבקש לקבל תפקידים ספציפיים ב-IAM. אם מאשרים בקשה של משתמש למתן הרשאה, התפקידים המבוקשים מוקצים לו באופן זמני.

אם למשתמש כבר יש הרשאה ב-Privileged Access Manager עם תפקיד שמכיל את ההרשאות הנדרשות, הוא יכול לבקש לתת לו הרשאה על סמך ההרשאה הזו. אחרי שהם יבקשו את ההרשאה, תוכלו לאשר את ההרשאה כדי לפתור את שגיאת ההרשאות.

אם למשתמש אין הרשאה, אפשר ליצור הרשאה חדשה כדי שהוא יוכל לשלוח בקשות למענקים.

הוספת המשתמש לקבוצת Google

אם לקבוצת Google מוקצה תפקיד במשאב, כל חברי הקבוצה יכולים להשתמש בהרשאות שבתפקיד כדי לגשת למשאב.

אם לקבוצה קיימת כבר הוקצה תפקיד עם ההרשאות הנדרשות, אפשר להעניק למשתמש את ההרשאות הנדרשות על ידי הוספתו לקבוצה הזו:

1. מזהים קבוצה שיש לה תפקיד עם ההרשאות הנדרשות. אם כבר השתמשתם בפותר הבעיות שקשורות למדיניות כדי לפתור את הבעיה בבקשה, תוכלו לבדוק את התוצאות של פותר הבעיות כדי לזהות קבוצה עם ההרשאות הנדרשות.

   אפשרות אחרת היא להשתמש בכלי הניתוח למדיניות כדי לזהות קבוצה עם ההרשאות הנדרשות.

2. מוסיפים את המשתמש לקבוצה.

פתרון שגיאות בהרשאות של כללי מדיניות הדחייה

כדי לפתור שגיאות הרשאה שקשורות לכללי מדיניות הדחייה, מבצעים אחת מהפעולות הבאות.

איך מוציאים את עצמכם ממדיניות דחייה

אם כלל דחייה חוסם את הגישה של משתמש למשאב, אפשר לבצע אחת מהפעולות הבאות כדי להחריג את המשתמש מהכלל:

• מוסיפים את המשתמש כגורם חריג בכלל הדחייה. חשבונות משתמשים שמוחרגים הם חשבונות משתמשים שלא מושפעים מכלל הדחייה, גם אם הם חלק מקבוצה שנכללת בכלל הדחייה.

  כדי להוסיף חשבון משתמש חריג לכלל דחייה, פועלים לפי השלבים לעדכון מדיניות הדחייה. כשמעדכנים את מדיניות הדחייה, מאתרים את כלל הדחייה שחוסם את הגישה, ואז מוסיפים את מזהה חשבון המשתמש של המשתמש כחשבון משתמש חריג.

• הוספת המשתמש לקבוצה שמוחרגת מהכלל. אם קבוצה מופיעה כחשבון משתמש שמוחרג, כל חברי הקבוצה מוחרגים מכלל הדחייה.

  כדי להוסיף את המשתמש לקבוצה שפטורה מהדרישה:

  1. אפשר להשתמש בפותר הבעיות שקשורות למדיניות כדי לזהות את כללי מדיניות הדחייה שחוסמים את הגישה למשאב.
  2. הצגת מדיניות הדחייה
  3. בודקים את רשימת הגורמים המורשים לחריגה עבור קבוצות.
  4. אם זיהיתם קבוצה שפטורה מהמדיניות, הוסיפו את המשתמש לקבוצה.

הסרת ההרשאה ממדיניות הדחייה

כללי דחייה מונעים מחשבונות משתמשים שרשומים בהם להשתמש בהרשאות מסוימות. אם כלל דחייה חוסם את הגישה של משתמש למשאב, אפשר להסיר את ההרשאות שהוא צריך מכלל הדחייה.

כדי להסיר הרשאות מכלל דחייה, פועלים לפי השלבים לעדכון מדיניות הדחייה. כשמעדכנים את מדיניות הדחייה, מאתרים את כלל הדחייה שחוסם את הגישה ומבצעים אחת מהפעולות הבאות:

• אם ההרשאות הנדרשות מפורטות בנפרד במדיניות הדחייה, צריך למצוא אותן ולהסיר אותן מכלל הדחייה.
• אם כלל הדחייה משתמש בקבוצות הרשאות, צריך להוסיף את ההרשאות הנדרשות כהרשאות חריגות. הרשאות חריגות הן הרשאות שלא נחסמות על ידי כלל הדחייה, גם אם הן חלק מקבוצת הרשאות שכלולה בכלל.

החרגת המשאב ממדיניות הדחייה

אפשר להשתמש בתנאים בכללי מדיניות דחייה כדי להחיל כלל דחייה על סמך התגים של משאב. אם התגים של המשאב לא עומדים בתנאי של כלל הדחייה, כלל הדחייה לא חל.

אם כלל דחייה חוסם גישה למשאב, אפשר לערוך את התנאים בכלל הדחייה או את התגים במשאב כדי לוודא שכלל הדחייה לא חל על המשאב.

• מידע על השימוש בתנאים בכלל דחייה מופיע במאמר תנאים במדיניות דחייה.

• למידע על דרכים לעדכן כללי מדיניות דחייה, אפשר לעיין במאמר עדכון של מדיניות הדחייה.

• במאמר יצירה וניהול של תגים מוסבר איך עורכים את התגים של משאב.

פתרון שגיאות הרשאה במדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

כברירת מחדל, לחשבונות ראשיים יש אפשרות לגשת לכל משאב. Google Cloud עם זאת, אם הם כפופים למדיניות כלשהי לקביעת גבול הגישה לחשבונות משתמשים, הם יכולים לגשת רק למשאבים שמפורטים במדיניות לקביעת גבול הגישה לחשבונות משתמשים שהם כפופים לה. במקרים כאלה, יכול להיות שמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) תמנע מחשבון משתמש לגשת למשאב.

כדי לפתור שגיאות שקשורות למדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB), מבצעים אחת מהפעולות הבאות.

הוספת המשאב למדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

אם משאב כלול במדיניות של גבולות גישה לחשבון משתמש שחלה על משתמש מסוים, הוא יכול לגשת למשאב הזה.

כדי להוסיף משאב למדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB), אפשר לבצע את אחת מהפעולות הבאות:

• כדי ליצור מדיניות חדשה לקביעת גבול הגישה לחשבונות משתמשים:

  1. יוצרים מדיניות חדשה לקביעת גבול הגישה לחשבונות משתמשים שכוללת את המשאב.

  2. מקשרים את המדיניות לקבוצת משתמשים שהמשתמש נכלל בה.

     מידע נוסף על קבוצות של חשבונות משתמשים זמין במאמר בנושא קבוצות נתמכות של חשבונות משתמשים.

• כדי לעדכן מדיניות קיימת לקביעת גבול הגישה לחשבונות משתמשים:

  1. הצגת ההגדרות של המדיניות לקביעת גבול הגישה לחשבונות משתמשים עבור קבוצת חשבונות משתמשים שהמשתמש נכלל בה. כל קישור מייצג מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שמשויכת לקבוצת חשבונות המשתמשים.
  2. ברשימת הקישורים, מזהים את המדיניות לקביעת גבול הגישה לחשבונות משתמשים שרוצים לשנות.
  3. אופציונלי: מציגים את הקישורים של המדיניות לקביעת גבול הגישה לחשבונות משתמשים כדי לראות לאילו חשבונות משתמשים המדיניות משויכת. עדכון המדיניות ישפיע על הגישה של כל קבוצות החשבונות שהמדיניות משויכת אליהן.
  4. עורכים את המדיניות לקביעת גבול הגישה לחשבונות משתמשים כך שהיא תכלול את המשאב.

הוספת תנאי להחרגת גורמים ספציפיים

אתם יכולים להשתמש בתנאים בהקשר של מדיניות לקביעת גבול הגישה לחשבונות משתמשים כדי להגדיר בצורה מדויקת יותר לאילו חשבונות משתמשים נאכפת המדיניות לקביעת גבול הגישה לחשבונות משתמשים.

אם לא רוצים שמשתמש יהיה כפוף למדיניות לקביעת גבול הגישה לחשבונות משתמשים, אפשר להשתמש בתנאים בקישורי המדיניות לקביעת גבול הגישה לחשבונות משתמשים כדי לפטור את המשתמש מהמדיניות הזו.

כדי שהגישה הזו תפתור את השגיאות, צריך לפטור את המשתמש מכל המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שחלה עליו. כך המשתמש יוכל לגשת לכל משאב Google Cloud .

אנחנו לא ממליצים על הגישה הזו. במקום זאת, כדאי להוסיף את המשאב למדיניות של גבולות גישה לחשבונות משתמשים.

כדי לראות את המדיניות לקביעת גבול הגישה לחשבונות משתמשים שחלה על משתמש מסוים, צריך לרשום את קישורי המדיניות של קבוצות החשבונות שהמשתמש כלול בהן. כל קישור מייצג מדיניות לקביעת גבול הגישה לחשבונות משתמשים שמשויכת לקבוצת חשבונות המשתמשים.

כדי לדעת איך מוסיפים תנאים לקישורי מדיניות לקביעת גבול הגישה לחשבונות משתמשים, ראו עריכה של קישורי מדיניות קיימים למדיניות לקביעת גבול הגישה לחשבונות משתמשים.

השבתה של אימיילים של בקשות גישה שנוצרו אוטומטית

אתם יכולים להשבית את הבקשות לגישה שנוצרות באופן אוטומטי כדי למנוע מהמשתמשים לשלוח אותן ישירות אל האיש הטכני לקשר בנושאים חיוניים בארגון שלכם. אחרי השבתת התכונה, משתמשים שנתקלים בשגיאות הרשאה עדיין יכולים להעתיק את בקשת הגישה ולשלוח אותה לאדמין באופן ידני.

כדי להשבית את הבקשות האוטומטיות לגישה:

1. נכנסים לדף Settings במסוף Google Cloud .

   כניסה לדף IAM

2. בקטע Automated remediation requests (בקשות אוטומטיות לתיקון), בוחרים באפשרות Disabled (מושבת).

המאמרים הבאים

• בדיקת שינויים בתפקידים באמצעות סימולטור המדיניות
• בדיקת שינויים במדיניות הדחייה באמצעות סימולטור המדיניות
• בדיקת שינויים במדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)