Corregir problemas de acceso

La Google Cloud consola, la CLI de Google Cloud y la API REST muestran mensajes de error cuando un usuario intenta acceder a un recurso al que no tiene permiso para acceder. Cuando un usuario se encuentra con un error de permiso, puede solicitar acceso al recurso. De esta forma, se generará un correo que se enviará al contacto técnico esencial de tu organización.

Cuando el administrador hace clic en el enlace del correo generado, se le dirige al resumen de corrección de la política. Los administradores también pueden acceder al resumen de corrección de la política haciendo clic en Ver detalles de solución de problemas en un mensaje de error de permiso y, a continuación, en Solucionador de problemas de políticas. En esta página se describen los detalles de la solicitud, como la entidad principal que la envía, el recurso y los permisos que solicita la entidad principal.

En la sección Estado de acceso actual se resumen los resultados de cada tipo de política (en concreto, las políticas de permitir, las políticas de denegar y las políticas de límite de acceso de principales) y se indica el resultado general. El resultado indica si la entidad principal puede acceder al recurso, de acuerdo con las políticas pertinentes.

Para obtener más información sobre las políticas que impiden el acceso del usuario, haga clic en Solución de problemas avanzada.

Haz clic en Corregir para ver las opciones de corrección de los problemas de acceso de ese usuario. Para saber cómo resolver los errores de permisos causados por cada uno de los tipos de políticas mediante la consola Google Cloud , consulta los siguientes artículos:

• Corregir errores de permisos de políticas de permitir
• Corregir errores de permisos de políticas de denegación
• Corregir errores de permisos de límite de acceso de principales

Corregir la política de permitir

En la página Corregir política de permisos se muestran los permisos que le faltan al usuario. Para resolver el bloqueo del acceso por una política de permiso, puedes conceder acceso a ese usuario o crear un derecho de Privileged Access Manager para el usuario. Una vez que hayas creado el derecho, el usuario podrá solicitarlo para acceder al recurso.

Para conceder acceso al usuario, sigue estos pasos:

1. Selecciona Conceder rol.
2. Haz clic en Continuar.
3. Selecciona un rol aplicable para ver los detalles correspondientes.
4. Haz clic en Conceder acceso.

Para crear un nuevo derecho de Gestor de acceso privilegiado, sigue estos pasos:

1. Selecciona Conceder acceso temporal.
2. Haz clic en el rol correspondiente para ver los detalles sobre él.

3. Haz clic en Crear derecho.

   En el panel Crear derecho, introduce los detalles del derecho:

   1. Escribe un nombre para el nuevo derecho.
   2. Selecciona la duración máxima de la ayuda.
   3. Haz clic en Siguiente.
   4. También puedes añadir más solicitantes para este derecho.
   5. Haz clic en Siguiente.
   6. Añade al menos un principal para aprobar las solicitudes de derechos o selecciona Activar acceso sin aprobaciones.
   7. Haz clic en Siguiente.
   8. Si quiere, puede introducir las direcciones de correo de los administradores a los que quiera enviar una notificación.
   9. Haz clic en Hecho y, a continuación, en Crear derecho.

Para obtener más información sobre Privileged Access Manager, consulta el artículo Crear derechos en Privileged Access Manager.

Si no hay ningún rol que contenga todos los permisos que necesita el usuario, no se sugerirán roles ni derechos.

Para ver métodos alternativos para solucionar el acceso del usuario, consulta Resolver errores de permisos de políticas de permitir.

Corregir una política de denegación

Las políticas de denegación se adjuntan a una Google Cloud organización, una carpeta o un proyecto. Una política de denegación contiene reglas de denegación, que identifican las entidades principales y enumeran los permisos que no pueden usar.

La página Corregir política de denegación muestra la política de denegación que impide que el usuario utilice el permiso y sugiere varios métodos para corregir el acceso del usuario.

Estos son los métodos sugeridos para corregir las solicitudes de acceso relacionadas con las políticas de denegación:

• Exime al usuario de la política de denegación.

• Retire el permiso de la política de denegación.

• Añade el usuario a un grupo de exención.

• Crea una etiqueta para excluir el recurso de la política de denegación.

Corregir el límite de acceso de principales

De forma predeterminada, las entidades principales pueden acceder a cualquier Google Cloud recurso. Sin embargo, si están sujetos a alguna política de límites de acceso de principales, solo podrán acceder a los recursos que se incluyan en las políticas de límites de acceso de principales a las que estén sujetos. En estos casos, una política de límites de acceso de principales puede impedir que un principal acceda a un recurso.

La página Corregir límite de acceso de principal muestra la política de límite de acceso de principal que impide que el usuario acceda al recurso y sugiere varios métodos para corregir el acceso del usuario.

Estos son los métodos sugeridos para corregir las solicitudes de acceso relacionadas con las políticas de límite de acceso de principales:

• Añade el recurso a una política de límites de acceso de principales ya creada asociada a un conjunto más amplio de identidades.

• Añade el recurso a una política de límites de acceso de principales vinculada al usuario que necesita acceso.

• No se recomienda: eximir la identidad de la aplicación del límite de acceso de la entidad principal.

Siguientes pasos

• Consulta la documentación de referencia sobre permisos o la documentación de referencia sobre roles predefinidos para determinar qué rol debes asignar a un usuario que no tiene permisos.
• Consulta información sobre las otras herramientas de Inteligencia de políticas, que te ayudan a entender y gestionar tus políticas para mejorar de forma proactiva tu configuración de seguridad.