Este documento descreve os diferentes métodos que os administradores podem usar para identificar e resolver erros de permissão para usuários na organização.
Resolver erros de permissão de solicitações de acesso
Se você for um administrador, poderá receber solicitações de acesso de usuários que encontraram erros de permissão no Google Cloud console. Essas solicitações geralmente são enviadas para as seguintes pessoas:
O contato técnico essencial da sua organização. Se a organização ativou os contatos essenciais e permite e-mails de solicitação de acesso gerados automaticamente, os usuários que encontrarem erros de permissão no Google Cloud console terão a opção de enviar uma solicitação de acesso gerada automaticamente para o contato técnico essencial da organização.
Contatos configurados no sistema de gerenciamento de solicitações preferido. Os usuários que encontrarem erros de permissão no Google Cloud console terão a opção de copiar uma mensagem de solicitação de acesso e enviá-la usando o sistema de gerenciamento de solicitações preferido.
Essas mensagens geralmente têm o seguinte formato:
user@example.com is requesting a role on the resource example.com:example-project.
Requestor's message:
"I need access to example-project to complete my work."
You may be able to resolve this request by granting access directly at:
ACCESS_REQUEST_PANEL_URL
Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:
POLICY_TROUBLESHOOTER_URL
Você pode atender a essas solicitações das seguintes maneiras:
Resolver o acesso diretamente: as solicitações de acesso contêm um link para um painel de solicitação de acesso no Google Cloud console. Se o erro de permissão for causado por uma política de permissão, você poderá resolver o acesso diretamente nesse painel.
No painel de solicitação de acesso, você pode analisar os detalhes da solicitação e escolher como responder. Você pode responder das seguintes maneiras:
- Conceder o papel solicitado
- Adicionar o usuário a um grupo que já tenha o acesso necessário
- Negar a solicitação
Conferir mais detalhes no Solucionador de problemas de políticas: as solicitações de acesso contêm um link para o Solucionador de problemas de políticas, que permite conferir quais políticas estão bloqueando o acesso do usuário. Você pode usar essas informações para decidir como resolver o problema de acesso do usuário. Para mais informações, consulte Identificar políticas que causam erros de permissão nesta página.
Corrigir problemas de acesso com o Solucionador de problemas de políticas: as solicitações de acesso também contêm um link para um resumo de correção de política, que descreve os detalhes da solicitação, incluindo o principal, o recurso e a permissão solicitados. No resumo de correção de política, você pode resolver diretamente as solicitações de acesso que envolvem políticas de permissão e receber mais informações sobre as políticas que estão bloqueando o acesso do usuário.
Para mais informações sobre como resolver solicitações de acesso usando o resumo de correção de política, consulte Corrigir problemas de acesso.
Resolver erros de permissão manualmente
Se você for um administrador com permissão para modificar as políticas relacionadas ao acesso na sua organização, poderá usar essas estratégias para resolver erros de permissão, independentemente do tipo de política que causa o erro.
Para resolver erros de permissão, primeiro determine quais políticas (permissão, negação ou limite de acesso de principal) estão causando o erro. Em seguida, você pode resolver o erro.
Identificar políticas que causam erros de permissão
Para determinar quais políticas estão causando um erro de permissão, use o Solucionador de problemas de políticas.
O solucionador de problemas de políticas ajuda a entender se uma conta principal pode acessar um recurso. Com um principal, um recurso e uma permissão, o Solucionador de problemas de políticas examina as políticas de permissão, negação e políticas de limite de acesso de principal (PAB) que afetam o acesso do principal. Em seguida, ele informa se, com base nessas políticas, o principal pode usar a permissão especificada para acessar o recurso. Ele também lista as políticas relevantes e explica como elas afetam o acesso do principal.Para saber como solucionar problemas de acesso e interpretar os resultados do Solucionador de problemas de políticas, consulte Resolver problemas de permissões do IAM.
As mensagens de erro no Google Cloud console contêm um link para uma página de correção do Solucionador de problemas de políticas (visualização) para o principal, as permissões e o recurso envolvido na solicitação. Para conferir esse link, clique em Conferir detalhes da solução de problemas e em Solucionador de problemas de políticas. Para mais informações, consulte Corrigir solicitações de acesso.
Atualizar o acesso para resolver erros de permissão
Depois de saber quais políticas estão causando um erro de permissão, você pode tomar medidas para resolver o erro.
Muitas vezes, a resolução de um erro envolve a criação ou atualização de políticas de permissão, negação ou limite de acesso principal.
No entanto, há outras opções para resolver erros que não envolvem a atualização de políticas. Por exemplo, você pode adicionar o usuário a um grupo que tenha as permissões necessárias ou adicionar tags para isentar um recurso de uma política.
Para saber as diferentes maneiras de resolver erros de permissão causados por cada um dos diferentes tipos de política, consulte o seguinte:
- Resolver erros de permissão de política de permissão
- Resolver erros de permissão de política de negação
Resolver erros de permissão de política de permissão
Para resolver erros de permissão causados por políticas de permissão, faça uma das seguintes ações.
Conceder um papel com as permissões necessárias
Para encontrar e conceder um papel com as permissões necessárias, faça o seguinte:
Identifique um papel do IAM que contenha as permissões ausentes.
Para conferir todos os papéis em que uma determinada permissão está incluída, pesquise a permissão no índice de papéis e permissões do IAM, clique no nome da permissão.
Se nenhum papel predefinido corresponder ao seu caso de uso, crie um papel personalizado.
Identifique um principal para conceder o papel:
- Se o usuário for a única pessoa que precisa da permissão, conceda o papel diretamente a ele.
- Se o usuário fizer parte de um Grupo do Google que contém usuários que precisam de permissões semelhantes, considere conceder o papel ao grupo. Se você conceder o papel ao grupo, todos os membros poderão usar essa permissão, a menos que tenham sido explicitamente negados.
Conceda o papel ao principal.
Aprovar uma concessão para um direito de acesso do Privileged Access Manager
Os direitos de acesso do Privileged Access Manager permitem que os usuários solicitem papéis específicos do IAM. Se você aprovar a solicitação de concessão de um usuário, ele receberá os papéis solicitados temporariamente.
Se o usuário já tiver um direito de acesso do Privileged Access Manager com um papel que contenha as permissões necessárias, ele poderá solicitar uma concessão para esse direito. Depois que ele solicitar a concessão, você poderá aprovar a concessão para resolver o erro de permissão.
Se um usuário não tiver um direito de acesso, você poderá criar um novo direito de acesso para que ele solicite concessões.
Adicionar o usuário a um Grupo do Google
Se um Grupo do Google receber um papel em um recurso, todos os membros desse grupo poderão usar as permissões nesse papel para acessar o recurso.
Se um grupo já tiver recebido um papel com as permissões necessárias, você poderá conceder as permissões necessárias a um usuário adicionando-o a esse grupo:
Identifique um grupo que tenha um papel com as permissões necessárias. Se você já usou o Solucionador de problemas de políticas para solucionar a solicitação, revise os resultados do Solucionador de problemas de políticas para identificar um grupo com as permissões necessárias.
Como alternativa, você pode usar a ferramenta Análise de políticas para identificar um grupo com as permissões necessárias.
Resolver erros de permissão de política de negação
Para resolver erros de permissão relacionados a políticas de negação, faça uma das seguintes ações.
Isentar-se de uma política de negação
Se uma regra de negação estiver bloqueando o acesso de um usuário a um recurso, faça uma das seguintes ações para isentar o usuário da regra:
Adicione o usuário como um principal de exceção na regra de negação. Os principais de exceção são principais que não são afetados pela regra de negação, mesmo que façam parte de um grupo incluído na regra de negação.
Para adicionar um principal de exceção a uma regra de negação, siga as etapas para atualizar a política de negação. Ao atualizar a política de negação, encontre a regra de negação que bloqueia o acesso e adicione o identificador principal do usuário como um principal de exceção.
Adicione o usuário a um grupo isento da regra. Se um grupo estiver listado como um principal de exceção, todos os membros desse grupo estarão isentos da regra de negação.
Para adicionar o usuário a um grupo isento, faça o seguinte:
- Use o Solucionador de problemas de políticas para identificar as políticas de negação que estão bloqueando o acesso ao recurso.
- Confira a política de negação.
- Confira a lista de principais de exceção para grupos.
- Se você identificar um grupo isento, adicione o usuário ao grupo.
Remover a permissão da política de negação
As regras de negação impedem que os principais listados usem permissões específicas. Se uma regra de negação estiver bloqueando o acesso de um usuário a um recurso, remova as permissões necessárias da regra de negação.
Para remover permissões de uma regra de negação, siga as etapas para atualizar a política de negação. Ao atualizar a política de negação, encontre a regra de negação que bloqueia o acesso e faça uma das seguintes ações:
- Se a política de negação listar as permissões necessárias individualmente, encontre as permissões necessárias e remova-as da regra de negação.
- Se a regra de negação usar grupos de permissões, adicione as permissões necessárias como permissões de exceção. As permissões de exceção são permissões que não são bloqueadas pela regra de negação, mesmo que façam parte de um grupo de permissões incluído na regra.
Excluir o recurso da política de negação
É possível usar condições em políticas de negação para aplicar uma regra de negação com base nas tags de um recurso. Se as tags do recurso não atenderem à condição na regra de negação, a regra de negação não será aplicada.
Se uma regra de negação estiver bloqueando o acesso a um recurso, edite as condições na regra de negação ou as tags no recurso para garantir que a regra de negação não seja aplicada ao recurso.
Para saber como usar condições em uma regra de negação, consulte Condições em políticas de negação.
Para saber como atualizar políticas de negação, consulte Atualizar uma política de negação.
Para saber como editar as tags de um recurso, consulte Como criar e gerenciar tags.
Resolver erros de permissão de política de limite de acesso principal
Por padrão, os principais podem acessar qualquer Google Cloud recurso. No entanto, se eles estiverem sujeitos a qualquer política de limite de acesso principal, só poderão acessar os recursos listados nas políticas de limite de acesso principal a que estão sujeitos. Nesses casos, uma política de limite de acesso principal pode impedir que um principal acesse um recurso.
Para resolver erros relacionados a políticas de limite de acesso principal, faça uma das seguintes ações.
Adicionar o recurso a uma política de limite de acesso principal
Se um recurso estiver incluído em uma política de limite de acesso principal a que um usuário está sujeito, ele poderá acessar esse recurso.
Para adicionar um recurso a uma política de limite de acesso principal, faça uma das seguintes ações:
Criar uma nova política de limite de acesso principal:
- Crie uma nova política de limite de acesso principal que inclua o recurso.
Vincule a política a um conjunto de principais em que o usuário esteja incluído em.
Para saber mais sobre conjuntos de principais, consulte Conjuntos de principais compatíveis.
Atualizar uma política de limite de acesso principal:
- Liste as vinculações de política de limite de acesso principal para um conjunto de principais em que o usuário esteja incluído. Cada vinculação representa uma política de limite de acesso principal vinculada ao conjunto de principais.
- Na lista de vinculações, identifique uma política de limite de acesso principal a ser modificada.
- Opcional: Liste as vinculações de política de limite de acesso principal para conferir a quais conjuntos de principais a política está vinculada. A atualização da política afetará o acesso de todos os conjuntos de principais a que a política está vinculada.
- Edite a política de limite de acesso principal para que ela inclua o recurso.
Adicionar uma condição para isentar principais específicos
É possível usar condições em vinculações de políticas de limite de acesso principal para refinar os principais para os quais a política de limite de acesso principal é aplicada.
Se você não quiser que um usuário esteja sujeito a políticas de limite de acesso principal, use condições em vinculações de políticas de limite de acesso principal para isentar o usuário de políticas de limite de acesso principal.
Para que essa abordagem resolva erros, você precisa isentar o usuário de todas as políticas de limite de acesso principal a que ele está sujeito. Isso vai qualificar o usuário para acessar qualquer Google Cloud recurso.
Não recomendamos essa abordagem. Em vez disso, considere adicionar o recurso a uma política de limite de acesso principal.
Para conferir as políticas de limite de acesso principal a que um usuário está sujeito, liste as vinculações de políticas para os conjuntos de principais em que ele está incluído. Cada vinculação representa uma política de limite de acesso principal vinculada ao conjunto de principais.
Para saber como adicionar condições a vinculações de políticas de limite de acesso principal, consulte Editar vinculações de políticas atuais para políticas de limite de acesso principal.
Desativar e-mails de solicitação de acesso gerados automaticamente
Você pode desativar as solicitações de acesso geradas automaticamente para impedir que os usuários as enviem diretamente ao contato técnico essencial da sua organização. Depois que esse recurso for desativado, os usuários que encontrarem erros de permissão ainda poderão copiar a solicitação de acesso e enviá-la a um administrador manualmente.
Para desativar as solicitações de acesso geradas automaticamente, faça o seguinte:
Noconsole, acesse a página Configurações. Google Cloud
Na seção Solicitações de correção automatizadas, selecione Desativado.
A seguir
- Testar mudanças de papéis com o Simulador de política
- Testar mudanças na política de negação com o Simulador de política
- Testar mudanças na política de limite de acesso principal