In der Google Cloud Console, der Google Cloud CLI und der REST API werden Fehlermeldungen angezeigt, wenn ein Nutzer versucht, auf eine Ressource zuzugreifen, für die er keine Berechtigung hat. Wenn ein Nutzer einen Berechtigungsfehler erhält, kann er Zugriff auf die Ressource anfordern. Dadurch wird eine E‑Mail generiert, die an den technischen wichtigen Kontakt Ihrer Organisation gesendet wird.
Wenn der Administrator auf den Link in der generierten E‑Mail klickt, wird er zur Zusammenfassung der Richtlinienkorrektur weitergeleitet. Administratoren können auch auf die Zusammenfassung der Richtlinienkorrektur zugreifen, indem sie in einer Fehlermeldung zu Berechtigungen auf Details zur Fehlerbehebung ansehen und dann auf Richtlinien-Fehlerbehebung klicken. Auf dieser Seite werden die Anfragedetails beschrieben, einschließlich des anfragenden Hauptkontos, der Ressource und der Berechtigungen, die das Hauptkonto anfordert.
Im Abschnitt Aktueller Zugriffsstatus werden die Ergebnisse für jeden Richtlinientyp (insbesondere Zulassungsrichtlinien, Ablehnungsrichtlinien und Principal Access Boundary-Richtlinien) zusammengefasst und das Gesamtergebnis angegeben. Das Ergebnis gibt an, ob das Hauptkonto gemäß den relevanten Richtlinien auf die Ressource zugreifen kann.
Wenn Sie auf Erweiterte Fehlerbehebung klicken, erhalten Sie weitere Informationen zu den Richtlinien, die den Zugriff des Nutzers blockieren.
Klicken Sie auf Beheben, um Optionen zur Behebung der Zugriffsprobleme dieses Nutzers aufzurufen. Informationen dazu, wie Sie Berechtigungsfehler, die durch die verschiedenen Richtlinientypen verursacht werden, mithilfe der Google Cloud -Konsole beheben können, finden Sie hier:
- Berechtigungsfehler in der Zulassungsrichtlinie beheben
- Berechtigungsfehler bei Ablehnungsrichtlinien beheben
- Berechtigungsfehler bei der Begrenzung des Hauptkontozugriffs beheben
Zulassungsrichtlinie korrigieren
Auf der Seite Zulassungsrichtlinie korrigieren werden die Berechtigungen angezeigt, die dem Nutzer fehlen. Wenn der Zugriff durch eine Zulassungsrichtlinie blockiert wird, können Sie dem Nutzer entweder Zugriff gewähren oder eine Privileged Access Manager-Berechtigung für den Nutzer erstellen. Nachdem Sie die Berechtigung erstellt haben, kann der Nutzer sie anfordern, um auf die Ressource zuzugreifen.
So gewähren Sie dem Nutzer Zugriff:
- Wählen Sie Rolle zuweisen aus.
- Klicken Sie auf Weiter.
- Wählen Sie eine entsprechende Rolle aus, um Details dazu aufzurufen.
- Klicken Sie auf Zugriff erlauben.
So erstellen Sie eine neue Berechtigung für den Privileged Access Manager:
- Wählen Sie Vorübergehenden Zugriff gewähren aus.
- Klicken Sie auf die entsprechende Rolle, um Details dazu aufzurufen.
Klicken Sie auf Anspruch erstellen.
Geben Sie im Bereich Neue Berechtigung erstellen die Details für die Berechtigung ein:
- Geben Sie einen Namen für die neue Berechtigung ein.
- Wählen Sie die maximale Dauer der Erteilung aus.
- Klicken Sie auf Weiter.
- Fügen Sie optional weitere Anforderer für diese Berechtigung hinzu.
- Klicken Sie auf Weiter.
- Fügen Sie mindestens ein Hauptkonto hinzu, um Berechtigungsanfragen zu genehmigen, oder wählen Sie Zugriff ohne Genehmigungen aktivieren aus.
- Klicken Sie auf Weiter.
- Geben Sie optional die E-Mail-Adressen der Administratoren ein, die benachrichtigt werden sollen.
- Klicken Sie auf Fertig und dann auf Anspruch erstellen.
Weitere Informationen zu Privileged Access Manager finden Sie unter Berechtigungen in Privileged Access Manager erstellen.
Wenn es keine Rolle gibt, die alle vom Nutzer benötigten Berechtigungen enthält, werden keine Rollen oder Berechtigungen vorgeschlagen.
Alternative Methoden zum Beheben des Nutzerzugriffs finden Sie unter Berechtigungsfehler in Zulassungsrichtlinien beheben.
Ablehnungsrichtlinie korrigieren
Ablehnungsrichtlinien sind mit einer Google Cloud Organisation, einem Ordner oder einem Projekt verknüpft. Eine Ablehnungsrichtlinie enthält Ablehnungsregeln, die Hauptkonten identifizieren und die Berechtigungen auflisten, die nicht von den Hauptkonten verwendet werden können.
Auf der Seite Ablehnungsrichtlinie beheben wird die Ablehnungsrichtlinie angezeigt, die verhindert, dass der Nutzer die Berechtigung verwendet. Außerdem werden mehrere Methoden zum Beheben des Zugriffs des Nutzers vorgeschlagen.
Die vorgeschlagenen Methoden zum Beheben von Zugriffsanfragen im Zusammenhang mit Ablehnungsrichtlinien umfassen Folgendes:
Entfernen Sie die Berechtigung aus der Ablehnungsrichtlinie.
Erstellen Sie ein Tag, um die Ressource von der Ablehnungsrichtlinie auszuschließen.
Problem mit Begrenzung des Hauptkontozugriffs beheben
Standardmäßig dürfen Hauptkonten auf jede Google Cloud Ressource zugreifen. Wenn sie jedoch einer Principal Access Boundary-Richtlinie unterliegen, dürfen sie nur auf die Ressourcen zugreifen, die in den Principal Access Boundary-Richtlinien aufgeführt sind, denen sie unterliegen. In diesen Fällen kann eine Principal Access Boundary-Richtlinie verhindern, dass ein Hauptkonto auf eine Ressource zugreift.
Auf der Seite Principal Access Boundary beheben wird die Richtlinie zur Begrenzung des Hauptkontozugriffs angezeigt, die den Nutzer daran hindert, auf die Ressource zuzugreifen. Außerdem werden mehrere Methoden zum Beheben des Nutzerzugriffs vorgeschlagen.
Die vorgeschlagenen Methoden zum Beheben von Zugriffsanfragen im Zusammenhang mit Principal Access Boundary-Richtlinien umfassen Folgendes:
Fügen Sie die Ressource einer vorhandenen Principal Access Boundary-Richtlinie hinzu, die an eine größere Gruppe von Identitäten angehängt ist.
Nicht empfohlen: Identität von der Erzwingung der Begrenzung des Hauptkontozugriffs ausnehmen.
Nächste Schritte
- Verwenden Sie die Berechtigungsreferenz oder die Referenz zu vordefinierten Rollen, um zu bestimmen, welche Rolle einem Nutzer ohne Berechtigungen zugewiesen werden soll.
- Mehr über die anderen Policy Intelligence-Tools erfahren, mit denen Sie Ihre Richtlinien nachvollziehen und verwalten können, um Ihre Sicherheitskonfiguration proaktiv zu verbessern.