Questo documento descrive i diversi metodi che gli amministratori possono utilizzare per identificare e risolvere gli errori di autorizzazione per gli utenti della loro organizzazione.
Risolvi gli errori di autorizzazione dalle richieste di accesso
Se sei un amministratore, potresti ricevere richieste di accesso da utenti che hanno riscontrato errori di autorizzazione nella console Google Cloud . Queste richieste vengono in genere inviate alle seguenti persone:
Il contatto tecnico fondamentale della tua organizzazione. Se la tua organizzazione ha attivato i contatti essenziali e consente le email di richiesta di accesso generate automaticamente, gli utenti che riscontrano errori di autorizzazione nella consoleGoogle Cloud hanno la possibilità di inviare una richiesta di accesso generata automaticamente al contatto essenziale tecnico della loro organizzazione.
Contatti configurati tramite il sistema di gestione delle richieste che preferisci. Gli utenti che riscontrano errori di autorizzazione nella console Google Cloud hanno la possibilità di copiare un messaggio di richiesta di accesso e inviarlo utilizzando il sistema di gestione delle richieste che preferiscono.
Questi messaggi in genere hanno il seguente formato:
user@example.com is requesting a role on the resource example.com:example-project.
Requestor's message:
"I need access to example-project to complete my work."
You may be able to resolve this request by granting access directly at:
ACCESS_REQUEST_PANEL_URL
Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:
POLICY_TROUBLESHOOTER_URL
Puoi rispondere a queste richieste nei seguenti modi:
Risolvi l'accesso direttamente: le richieste di accesso contengono un link a un pannello di richieste di accesso nella console Google Cloud . Se l'errore di autorizzazione è causato da un criterio di autorizzazione, puoi risolvere il problema di accesso direttamente da questo pannello.
Nel riquadro della richiesta di accesso, puoi esaminare i dettagli della richiesta e scegliere come rispondere. Puoi rispondere nei seguenti modi:
- Concedere il ruolo richiesto
- Aggiungi l'utente a un gruppo esistente che dispone già dell'accesso richiesto
- Rifiutare la richiesta
Visualizza ulteriori dettagli in Policy Troubleshooter: le richieste di accesso contengono un link a Policy Troubleshooter, che ti consente di vedere quali norme bloccano l'accesso dell'utente. Puoi utilizzare queste informazioni per decidere come risolvere il problema di accesso dell'utente. Per ulteriori informazioni, consulta Identificare le norme che causano errori di autorizzazione in questa pagina.
Risolvere i problemi di accesso con Policy Troubleshooter (anteprima): Le richieste di accesso contengono anche un link a un riepilogo della correzione dei criteri, che descrive i dettagli della richiesta, tra cui l'entità richiedente, la risorsa e l'autorizzazione. Dal riepilogo della correzione delle norme, puoi risolvere direttamente le richieste di accesso che coinvolgono le norme di autorizzazione e ottenere maggiori informazioni sulle norme che bloccano l'accesso degli utenti.
Per saperne di più sulla risoluzione delle richieste di accesso utilizzando il riepilogo della correzione delle norme, consulta Correggere i problemi di accesso.
Risolvere manualmente gli errori di autorizzazione
Se sei un amministratore con l'autorizzazione per modificare le policy relative all'accesso nella tua organizzazione, puoi utilizzare queste strategie per risolvere gli errori di autorizzazione, indipendentemente dal tipo di policy che causa l'errore.
Per risolvere gli errori di autorizzazione, devi prima determinare quali criteri (di autorizzazione, di negazione o di Principal Access Boundary) causano l'errore. A questo punto, potrai risolvere l'errore.
Identificare le norme che causano errori di autorizzazione
Per determinare quali criteri causano un errore di autorizzazione, utilizza Policy Troubleshooter.
Policy Troubleshooter ti aiuta a capire se un'entità può accedere a una risorsa. Dati un'entità, una risorsa e un'autorizzazione, Policy Troubleshooter esamina le policy di autorizzazione, di negazione e di Principal Access Boundary (PAB) che influiscono sull'accesso dell'entità. Poi, ti dice se, in base a queste policy, l'entità può utilizzare il permesso specificato per accedere alla risorsa. Inoltre, elenca le policy pertinenti e spiega in che modo influiscono sull'accesso dell'entità.Per scoprire come risolvere i problemi di accesso e interpretare i risultati di Policy Troubleshooter, consulta Risolvere i problemi delle autorizzazioni IAM.
I messaggi di errore nella console Google Cloud contengono un link a una pagina di risoluzione dei problemi relativi alle norme (anteprima) per il principal, le autorizzazioni e la risorsa coinvolti nella richiesta. Per visualizzare questo link, fai clic su Visualizza dettagli risoluzione dei problemi e poi su Policy Troubleshooter. Per maggiori informazioni, vedi Rimediare alle richieste di accesso.
Aggiornare l'accesso per risolvere gli errori di autorizzazione
Dopo aver individuato i criteri che causano un errore di autorizzazione, puoi adottare le misure per risolvere il problema.
Spesso, la risoluzione di un errore comporta la creazione o l'aggiornamento di policy di autorizzazione, di negazione o di Principal Access Boundary.
Tuttavia, esistono altre opzioni per risolvere gli errori che non prevedono l'aggiornamento dei criteri. Ad esempio, puoi aggiungere l'utente a un gruppo con le autorizzazioni richieste o aggiungere tag per esentare una risorsa da un criterio.
Per scoprire i diversi modi in cui puoi risolvere gli errori di autorizzazione causati da ciascuno dei diversi tipi di criteri, consulta quanto segue:
- Risolvere gli errori di autorizzazione della policy di autorizzazione
- Risolvere gli errori di autorizzazione della policy di negazione
Risolvi gli errori di autorizzazione della policy di autorizzazione
Per risolvere gli errori di autorizzazione causati dalle policy di autorizzazione, esegui una delle seguenti operazioni.
Concedere un ruolo con le autorizzazioni richieste
Per trovare e concedere un ruolo con le autorizzazioni richieste:
Identifica un ruolo IAM che contenga le autorizzazioni mancanti.
Per visualizzare tutti i ruoli in cui è inclusa una determinata autorizzazione, cerca l'autorizzazione nell'indice di autorizzazioni e ruoli IAM, quindi fai clic sul nome dell'autorizzazione.
Se nessun ruolo predefinito corrisponde al tuo caso d'uso, puoi creare un ruolo personalizzato.
Identifica un'entità a cui concedere il ruolo:
- Se l'utente è l'unica persona che ha bisogno dell'autorizzazione, concedi il ruolo direttamente all'utente.
- Se l'utente fa parte di un gruppo Google contenente utenti che hanno tutti bisogno di autorizzazioni simili, valuta la possibilità di concedere il ruolo al gruppo. Se concedi il ruolo al gruppo, tutti i membri del gruppo possono utilizzare questa autorizzazione, a meno che non sia stato esplicitamente negato l'utilizzo.
Concedi il ruolo all'entità.
Approvare una concessione per un diritto Privileged Access Manager
I diritti di Privileged Access Manager consentono agli utenti di richiedere la concessione di ruoli IAM specifici. Se approvi la richiesta di un utente per una concessione, i ruoli richiesti vengono concessi temporaneamente.
Se l'utente dispone già di un diritto Privileged Access Manager con un ruolo che contiene le autorizzazioni richieste, può richiedere una concessione in base a questo diritto. Dopo che l'utente ha richiesto la concessione, puoi approvare la concessione per risolvere l'errore di autorizzazione.
Se un utente non dispone di un diritto, puoi crearne uno nuovo per consentirgli di richiedere sovvenzioni.
Aggiungere l'utente a un gruppo Google
Se a un gruppo Google viene concesso un ruolo su una risorsa, tutti i membri del gruppo possono utilizzare le autorizzazioni del ruolo per accedere alla risorsa.
Se a un gruppo esistente è già stato concesso un ruolo con le autorizzazioni richieste, puoi concedere a un utente le autorizzazioni richieste aggiungendolo a quel gruppo:
Identifica un gruppo con un ruolo con le autorizzazioni richieste. Se hai già utilizzato Policy Troubleshooter per risolvere i problemi relativi alla richiesta, puoi esaminare i risultati di Policy Troubleshooter per identificare un gruppo con le autorizzazioni richieste.
In alternativa, puoi utilizzare Policy Analyzer per identificare un gruppo con le autorizzazioni richieste.
Risolvi gli errori di autorizzazione della policy di negazione
Per risolvere gli errori di autorizzazione relativi alle policy di negazione, esegui una delle seguenti operazioni.
Esonerarsi da una policy di negazione
Se una regola di negazione blocca l'accesso di un utente a una risorsa, puoi eseguire una delle seguenti operazioni per esentare l'utente dalla regola:
Aggiungi l'utente come entità di eccezione nella regola di negazione. Le entità di eccezione sono entità non interessate dalla regola di negazione, anche se fanno parte di un gruppo incluso nella regola di negazione.
Per aggiungere un'entità di eccezione a una regola di negazione, segui i passaggi per aggiornare la policy di negazione. Quando aggiorni la policy di negazione, trova la regola di negazione che blocca l'accesso, quindi aggiungi l'identificatore dell'entità utente come entità di eccezione.
Aggiungi l'utente a un gruppo esente dalla regola. Se un gruppo è elencato come entità di eccezione, tutti i membri del gruppo sono esenti dalla regola di negazione.
Per aggiungere l'utente a un gruppo esente:
- Utilizza lo strumento per la risoluzione dei problemi relativi alle norme per identificare le policy di negazione che bloccano l'accesso alla risorsa.
- Visualizza la policy di negazione.
- Controlla l'elenco delle entità di eccezione per i gruppi.
- Se identifichi un gruppo esente, aggiungi l'utente al gruppo.
Rimuovi l'autorizzazione dalla policy di negazione
Le regole di negazione impediscono alle entità elencate di utilizzare autorizzazioni specifiche. Se una regola di negazione blocca l'accesso di un utente a una risorsa, puoi rimuovere le autorizzazioni di cui ha bisogno dalla regola di negazione.
Per rimuovere le autorizzazioni da una regola di negazione, segui i passaggi per aggiornare la policy di negazione. Quando aggiorni la policy di negazione, trova la regola di negazione che blocca l'accesso, quindi esegui una delle seguenti operazioni:
- Se la policy di negazione elenca le autorizzazioni richieste singolarmente, trova le autorizzazioni richieste e rimuovile dalla regola di negazione.
- Se la regola di negazione utilizza gruppi di autorizzazioni, aggiungi le autorizzazioni richieste come autorizzazioni di eccezione. Le autorizzazioni di eccezione sono autorizzazioni non bloccate dalla regola di negazione, anche se fanno parte di un gruppo di autorizzazioni incluso nella regola.
Escludi la risorsa dalla policy di negazione
Puoi utilizzare le condizioni nelle policy di negazione per applicare una regola di negazione in base ai tag di una risorsa. Se i tag della risorsa non soddisfano la condizione nella regola di negazione, quest'ultima non viene applicata.
Se una regola di negazione blocca l'accesso a una risorsa, puoi modificare le condizioni nella regola di negazione o i tag nella risorsa per assicurarti che la regola di negazione non si applichi alla risorsa.
Per scoprire come utilizzare le condizioni in una regola di negazione, consulta Condizioni nelle policy di negazione.
Per scoprire come aggiornare le policy di negazione, consulta Aggiornare una policy di negazione.
Per scoprire come modificare i tag di una risorsa, consulta Creare e gestire i tag.
Risolvi gli errori di autorizzazione delle policy di Principal Access Boundary
Per impostazione predefinita, le entità sono idonee ad accedere a qualsiasi Google Cloud risorsa. Tuttavia, se sono soggette a una policy di Principal Access Boundary, possono accedere solo alle risorse elencate nelle policy di Principal Access Boundary a cui sono soggette. In questi casi, una policy di Principal Access Boundary potrebbe impedire a un'entità di accedere a una risorsa.
Per risolvere gli errori relativi alle policy di Principal Access Boundary, esegui una delle seguenti operazioni.
Aggiungi la risorsa a una policy di Principal Access Boundary
Se una risorsa è inclusa in una policy di Principal Access Boundary a cui è soggetto un utente, quest'ultimo è idoneo ad accedere alla risorsa.
Per aggiungere una risorsa a una policy di Principal Access Boundary, procedi in uno dei seguenti modi:
Crea una nuova policy di Principal Access Boundary:
- Crea una nuova policy di Principal Access Boundary che includa la risorsa.
Associa la policy a un set di entità in cui è incluso l'utente.
Per saperne di più sui set di entità, consulta Set di entità supportati.
Aggiorna una policy di Principal Access Boundary esistente:
- Elenca le associazioni delle policy di Principal Access Boundary per un insieme di entità in cui è incluso l'utente. Ogni associazione rappresenta una policy di Principal Access Boundary associata al set di entità.
- Dall'elenco delle associazioni, identifica una policy di Principal Access Boundary da modificare.
- (Facoltativo) Elenca le associazioni delle policy di Principal Access Boundary per la policy per vedere a quali insiemi di entità è associata. L'aggiornamento della policy influirà sull'accesso per tutti gli insiemi di entità a cui è associata.
- Modifica la policy di Principal Access Boundary in modo che includa la risorsa.
Aggiungi una condizione per esentare entità specifiche
Puoi utilizzare le condizioni nelle associazioni delle policy di Principal Access Boundary per perfezionare le entità per le quali viene applicata la policy di Principal Access Boundary.
Se non vuoi che un utente sia soggetto a criteri di Principal Access Boundary, utilizza le condizioni nelle associazioni dei criteri di Principal Access Boundary per esentare l'utente da questi criteri.
Affinché questo approccio risolva gli errori, devi esentare l'utente da ogni policy di Principal Access Boundary a cui è soggetto. In questo modo, l'utente potrà accedere a qualsiasi risorsa Google Cloud .
Non consigliamo questo approccio. Ti consigliamo invece di aggiungere la risorsa a una policy di Principal Access Boundary.
Per visualizzare le policy di Principal Access Boundary a cui è soggetto un utente, elenca le associazioni di policy per i set di entità in cui è incluso. Ogni associazione rappresenta una policy di Principal Access Boundary associata al set di entità.
Per scoprire come aggiungere condizioni alle associazioni delle policy di Principal Access Boundary, consulta Modificare le associazioni delle policy esistenti per le policy di Principal Access Boundary.
Passaggi successivi
- Testa le modifiche dei ruoli con Policy Simulator
- Testa le modifiche alle policy di negazione con Policy Simulator
- Testare le modifiche alla policy di Principal Access Boundary