Dokumen ini menjelaskan berbagai metode yang dapat digunakan administrator untuk mengidentifikasi dan menyelesaikan error izin bagi pengguna di organisasi mereka.
Mengatasi error izin dari permintaan akses
Jika Anda adalah administrator, Anda mungkin menerima permintaan akses dari pengguna yang mengalami error izin di konsol Google Cloud . Permintaan ini biasanya dikirim kepada orang-orang berikut:
Kontak Penting teknis organisasi Anda. Jika organisasi Anda telah mengaktifkan Kontak Penting dan mengizinkan email permintaan akses yang dibuat otomatis, maka pengguna yang mengalami error izin di konsol Google Cloud memiliki opsi untuk mengirim permintaan akses yang dibuat otomatis ke Kontak Penting teknis organisasi mereka.
Kontak yang dikonfigurasi melalui sistem pengelolaan permintaan pilihan Anda. Pengguna yang mengalami error izin di konsol Google Cloud memiliki opsi untuk menyalin pesan permintaan akses, lalu mengirimkannya menggunakan sistem pengelolaan permintaan pilihan mereka.
Pesan ini biasanya memiliki format berikut:
user@example.com is requesting a role on the resource example.com:example-project.
Requestor's message:
"I need access to example-project to complete my work."
You may be able to resolve this request by granting access directly at:
ACCESS_REQUEST_PANEL_URL
Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:
POLICY_TROUBLESHOOTER_URL
Anda dapat menangani permintaan ini dengan cara berikut:
Menyelesaikan akses secara langsung: Permintaan akses berisi link ke panel permintaan akses di konsol Google Cloud . Jika error izin disebabkan oleh kebijakan izin, Anda dapat menyelesaikan akses langsung dari panel tersebut.
Di panel permintaan akses, Anda dapat meninjau detail permintaan dan memilih cara Anda ingin merespons permintaan tersebut. Anda dapat merespons dengan cara berikut:
- Memberikan peran yang diminta
- Tambahkan pengguna ke grup yang sudah ada dan memiliki akses yang diperlukan
- Menolak permintaan
Melihat detail tambahan di Pemecah Masalah Kebijakan: Permintaan akses berisi link ke Pemecah Masalah Kebijakan, yang memungkinkan Anda melihat kebijakan mana yang memblokir akses pengguna. Anda dapat menggunakan informasi ini untuk memutuskan cara menyelesaikan masalah akses pengguna. Untuk informasi selengkapnya, lihat Mengidentifikasi kebijakan yang menyebabkan error izin di halaman ini.
Mengatasi masalah akses dengan Pemecah Masalah Kebijakan (Pratinjau): Permintaan akses juga berisi link ke ringkasan perbaikan kebijakan, yang menjelaskan detail permintaan, termasuk akun utama yang meminta, resource, dan izin. Dari ringkasan perbaikan kebijakan, Anda dapat langsung menyelesaikan permintaan akses yang melibatkan kebijakan izin, dan mendapatkan informasi selengkapnya tentang kebijakan yang memblokir akses pengguna.
Untuk mengetahui informasi selengkapnya tentang cara menyelesaikan permintaan akses menggunakan ringkasan perbaikan kebijakan, lihat Memperbaiki masalah akses.
Mengatasi error izin secara manual
Jika Anda adalah administrator dengan izin untuk mengubah kebijakan terkait akses di organisasi Anda, Anda dapat menggunakan strategi ini untuk mengatasi error izin, terlepas dari jenis kebijakan yang menyebabkan error.
Untuk mengatasi error izin, Anda harus menentukan kebijakan mana (izinkan, tolak, atau batas akses utama) yang menyebabkan error terlebih dahulu. Kemudian, Anda dapat menyelesaikan error tersebut.
Mengidentifikasi kebijakan yang menyebabkan error izin
Untuk menentukan kebijakan mana yang menyebabkan error izin, gunakan Pemecah Masalah Kebijakan.
Pemecah Masalah Kebijakan membantu Anda memahami apakah akun utama dapat mengakses resource. Dengan mempertimbangkan akun utama, resource, dan izin, Pemecah Masalah Kebijakan memeriksa kebijakan izinkan, kebijakan tolak, dan kebijakan batas akses utama (PAB) yang memengaruhi akses akun utama. Kemudian, class memberi tahu Anda apakah, berdasarkan kebijakan tersebut, akun utama dapat menggunakan izin yang ditentukan untuk mengakses resource. Bagian ini juga mencantumkan kebijakan yang relevan dan menjelaskan pengaruhnya terhadap akses akun utama.Untuk mempelajari cara memecahkan masalah akses dan menafsirkan hasil Pemecah Masalah Kebijakan, lihat Memecahkan masalah izin IAM.
Pesan error di konsol Google Cloud berisi link ke halaman perbaikan Pemecah Masalah Kebijakan (Pratinjau) untuk pokok, izin, dan resource yang terlibat dalam permintaan. Untuk melihat link ini, klik Lihat detail pemecahan masalah, lalu klik Pemecah Masalah Kebijakan. Untuk mengetahui informasi selengkapnya, lihat Memperbaiki permintaan akses.
Memperbarui akses untuk mengatasi error izin
Setelah mengetahui kebijakan mana yang menyebabkan error izin, Anda dapat melakukan langkah-langkah untuk mengatasi error tersebut.
Sering kali, menyelesaikan error melibatkan pembuatan atau pembaruan kebijakan izinkan, tolak, atau batas akses utama.
Namun, ada opsi lain untuk menyelesaikan error yang tidak melibatkan pembaruan kebijakan. Misalnya, Anda dapat menambahkan pengguna ke grup yang memiliki izin yang diperlukan atau menambahkan tag untuk mengecualikan resource dari kebijakan.
Untuk mempelajari berbagai cara mengatasi error izin yang disebabkan oleh setiap jenis kebijakan yang berbeda, lihat artikel berikut:
Mengatasi error izin kebijakan izinkan
Untuk mengatasi error izin yang disebabkan oleh kebijakan izin, lakukan salah satu tindakan berikut.
Memberikan peran dengan izin yang diperlukan
Untuk menemukan dan memberikan peran dengan izin yang diperlukan, lakukan hal berikut:
Identifikasi peran IAM yang berisi izin yang tidak ada.
Untuk melihat semua peran yang menyertakan izin tertentu, telusuri izin tersebut dalam indeks peran dan izin IAM, lalu klik nama izin.
Jika tidak ada peran bawaan yang sesuai dengan kasus penggunaan Anda, Anda dapat membuat peran khusus.
Identifikasi akun utama yang akan diberi peran:
- Jika pengguna adalah satu-satunya individu yang memerlukan izin, berikan peran langsung kepada pengguna.
- Jika pengguna adalah bagian dari grup Google yang berisi pengguna yang semuanya memerlukan izin serupa, pertimbangkan untuk memberikan peran kepada grup tersebut. Jika Anda memberikan peran kepada grup, semua anggota grup tersebut dapat menggunakan izin tersebut, kecuali jika mereka telah ditolak secara eksplisit untuk menggunakannya.
Berikan peran kepada akun utama.
Menyetujui pemberian terhadap hak Privileged Access Manager
Hak Privileged Access Manager memungkinkan pengguna meminta untuk diberi peran IAM tertentu. Jika Anda menyetujui permintaan pengguna untuk pemberian akses, pengguna tersebut akan diberikan peran yang diminta untuk sementara.
Jika pengguna sudah memiliki hak Privileged Access Manager dengan peran yang berisi izin yang diperlukan, mereka dapat meminta pemberian hak terhadap hak tersebut. Setelah mereka meminta pemberian akses, Anda dapat menyetujui pemberian akses untuk mengatasi error izin mereka.
Jika pengguna tidak memiliki hak, Anda dapat membuat hak baru agar pengguna tersebut dapat meminta hibah.
Tambahkan pengguna ke grup Google
Jika grup Google diberi peran pada resource, semua anggota grup tersebut dapat menggunakan izin dalam peran tersebut untuk mengakses resource.
Jika grup yang ada telah diberi peran dengan izin yang diperlukan, Anda dapat memberikan izin yang diperlukan kepada pengguna dengan menambahkannya ke grup tersebut:
Identifikasi grup yang memiliki peran dengan izin yang diperlukan. Jika Anda telah menggunakan Pemecah Masalah Kebijakan untuk memecahkan masalah permintaan, Anda dapat meninjau hasil Pemecah Masalah Kebijakan untuk mengidentifikasi grup dengan izin yang diperlukan.
Atau, Anda dapat menggunakan Penganalisis Kebijakan untuk mengidentifikasi grup dengan izin yang diperlukan.
Mengatasi error izin kebijakan penolakan
Untuk mengatasi error izin terkait kebijakan penolakan, lakukan salah satu tindakan berikut.
Mengecualikan diri Anda dari kebijakan penolakan
Jika aturan penolakan memblokir akses pengguna ke suatu resource, Anda dapat melakukan salah satu tindakan berikut untuk mengecualikan pengguna dari aturan tersebut:
Tambahkan pengguna sebagai akun utama pengecualian dalam aturan penolakan. Akun utama pengecualian adalah akun utama yang tidak terpengaruh oleh aturan penolakan, meskipun akun utama tersebut merupakan bagian dari grup yang disertakan dalam aturan penolakan.
Untuk menambahkan akun utama pengecualian ke aturan penolakan, ikuti langkah-langkah untuk memperbarui kebijakan penolakan. Saat memperbarui kebijakan penolakan, temukan aturan penolakan yang memblokir akses, lalu tambahkan ID akun utama pengguna sebagai akun utama pengecualian.
Tambahkan pengguna ke grup yang dikecualikan dari aturan. Jika grup tercantum sebagai prinsipal pengecualian, semua anggota grup tersebut akan dikecualikan dari aturan penolakan.
Untuk menambahkan pengguna ke grup yang dikecualikan, lakukan hal berikut:
- Gunakan Pemecah Masalah Kebijakan untuk mengidentifikasi kebijakan penolakan yang memblokir akses ke resource.
- Lihat kebijakan penolakan.
- Periksa daftar prinsipal pengecualian untuk grup.
- Jika Anda mengidentifikasi grup yang dikecualikan, tambahkan pengguna ke grup tersebut.
Menghapus izin dari kebijakan penolakan
Aturan penolakan mencegah akun utama yang tercantum menggunakan izin tertentu. Jika aturan penolakan memblokir akses pengguna ke resource, Anda dapat menghapus izin yang mereka butuhkan dari aturan penolakan.
Untuk menghapus izin dari aturan penolakan, ikuti langkah-langkah untuk memperbarui kebijakan penolakan. Saat memperbarui kebijakan penolakan, temukan aturan penolakan yang memblokir akses, lalu lakukan salah satu tindakan berikut:
- Jika kebijakan penolakan mencantumkan izin yang diperlukan secara terpisah, temukan izin yang diperlukan dan hapus dari aturan penolakan.
- Jika aturan penolakan menggunakan grup izin, tambahkan izin yang diperlukan sebagai izin pengecualian. Izin pengecualian adalah izin yang tidak diblokir oleh aturan penolakan, meskipun izin tersebut merupakan bagian dari grup izin yang disertakan dalam aturan.
Mengecualikan resource dari kebijakan penolakan
Anda dapat menggunakan kondisi dalam kebijakan penolakan untuk menerapkan aturan penolakan berdasarkan tag resource. Jika tag resource tidak memenuhi kondisi dalam aturan penolakan, aturan penolakan tidak berlaku.
Jika aturan penolakan memblokir akses ke resource, Anda dapat mengedit kondisi dalam aturan penolakan atau tag pada resource untuk memastikan bahwa aturan penolakan tidak berlaku untuk resource tersebut.
Untuk mempelajari cara menggunakan kondisi dalam aturan penolakan, lihat Kondisi dalam kebijakan penolakan.
Untuk mempelajari cara memperbarui kebijakan tolak, lihat Memperbarui kebijakan tolak.
Untuk mempelajari cara mengedit tag resource, lihat Membuat dan mengelola tag.
Menyelesaikan error izin kebijakan batas akses utama
Secara default, akun utama memenuhi syarat untuk mengakses resource Google Cloud apa pun. Namun, jika mereka tunduk pada kebijakan batas akses utama, mereka hanya memenuhi syarat untuk mengakses resource yang tercantum dalam kebijakan batas akses utama yang mereka tunduk. Dalam kasus ini, kebijakan batas akses utama dapat mencegah akun utama mengakses resource.
Untuk mengatasi error terkait kebijakan batas akses akun utama, lakukan salah satu tindakan berikut.
Menambahkan resource ke kebijakan batas akses utama
Jika resource disertakan dalam kebijakan batas akses utama yang tunduk pada pengguna, maka pengguna tersebut memenuhi syarat untuk mengakses resource tersebut.
Untuk menambahkan resource ke kebijakan batas akses utama, lakukan salah satu hal berikut:
Membuat kebijakan batas akses utama baru:
- Buat kebijakan batas akses utama baru yang mencakup resource.
Ikat kebijakan ke set prinsipal yang menyertakan pengguna.
Untuk mempelajari lebih lanjut set utama, lihat Set utama yang didukung.
Memperbarui kebijakan batas akses utama yang ada:
- Mencantumkan pengikatan kebijakan batas akses utama untuk set utama yang menyertakan pengguna. Setiap binding merepresentasikan kebijakan batas akses utama yang terikat ke set utama.
- Dari daftar binding, identifikasi kebijakan batas akses utama yang akan diubah.
- Opsional: Mencantumkan pengikatan kebijakan batas akses utama untuk kebijakan guna melihat akun utama mana yang terikat dengan kebijakan tersebut. Memperbarui kebijakan akan memengaruhi akses untuk semua set akun utama yang terikat dengan kebijakan tersebut.
- Edit kebijakan batas akses utama sehingga mencakup resource.
Menambahkan kondisi untuk mengecualikan prinsipal tertentu
Anda dapat menggunakan kondisi dalam pengikatan kebijakan batas akses utama untuk menentukan akun utama mana yang akan menerapkan kebijakan batas akses utama.
Jika Anda tidak ingin pengguna tunduk pada kebijakan batas akses utama, gunakan kondisi dalam pengikatan kebijakan batas akses utama untuk mengecualikan pengguna dari kebijakan batas akses utama.
Agar pendekatan ini dapat mengatasi error, Anda harus mengecualikan pengguna dari setiap kebijakan batas akses akun utama yang berlaku untuknya. Dengan demikian, pengguna akan memenuhi syarat untuk mengakses resource Google Cloud apa pun.
Kami tidak merekomendasikan pendekatan ini. Sebagai gantinya, pertimbangkan untuk menambahkan resource ke kebijakan batas akses utama.
Untuk melihat kebijakan batas akses utama yang berlaku bagi pengguna, cantumkan pengikatan kebijakan untuk set utama yang menyertakan pengguna tersebut. Setiap pengikatan mewakili kebijakan batas akses utama yang terikat ke set utama.
Untuk mempelajari cara menambahkan kondisi ke pengikatan kebijakan batas akses utama, lihat Mengedit pengikatan kebijakan yang ada untuk kebijakan batas akses utama.
Langkah berikutnya
- Menguji perubahan peran dengan Policy Simulator
- Menguji perubahan kebijakan penolakan dengan Policy Simulator
- Menguji perubahan kebijakan batas akses utama