La Google Cloud console, Google Cloud CLI e l'API REST mostrano messaggi di errore quando un utente tenta di accedere a una risorsa per cui non ha l'autorizzazione. Quando un utente riscontra un errore di autorizzazione, può richiedere l'accesso alla risorsa. Viene creata un'email che l'utente può copiare e inviare a un amministratore o che viene inviata automaticamente al contatto tecnico essenzialedella tua organizzazione.
Quando l'amministratore fa clic sul link nell'email generata, viene indirizzato alla Google Cloud console, dove può scegliere di rifiutare la richiesta o procedere alla correzione.
Se sceglie di procedere alla correzione, la Google Cloud console mostra un riepilogo della correzione delle policy. Gli amministratori possono accedere al riepilogo della correzione delle policy anche facendo clic su Visualizza dettagli sulla risoluzione dei problemi in un messaggio di errore di autorizzazione e poi su Policy Troubleshooter oppure andando alla pagina Policy Troubleshooter e inserendo un ID errore.
La pagina di riepilogo della correzione descrive i dettagli della richiesta, tra cui l'entità richiedente, la risorsa e le autorizzazioni richieste dall'entità.
La sezione Stato dell'accesso attuale riepiloga i risultati per ogni tipo di policy (in particolare, policy di autorizzazione, policy di negazione e policy di Principal Access Boundary) e indica il risultato complessivo. Il risultato indica se l'entità può accedere alla risorsa, in base alle policy pertinenti.
Puoi ottenere ulteriori informazioni sulle policy che bloccano l'accesso dell'utente facendo clic su Risoluzione dei problemi avanzata.
Fai clic su Correggi per visualizzare le opzioni per correggere i problemi di accesso dell'utente. Per scoprire i diversi modi in cui puoi risolvere gli errori di autorizzazione causati da ciascuno dei diversi tipi di policy utilizzando la Google Cloud console, consulta le seguenti sezioni:
- Correggi gli errori di autorizzazione delle policy di autorizzazione
- Correggi gli errori di autorizzazione delle policy di negazione
- Correggi gli errori di autorizzazione del confine di accesso dell'entità
Correggi la policy di autorizzazione
La pagina Correggi la policy di autorizzazione mostra le autorizzazioni mancanti all'utente. Per risolvere il problema di accesso bloccato da una policy di autorizzazione, puoi concedere l'accesso all' utente o creare un diritto di Privileged Access Manager per l' utente. Dopo aver creato il diritto, l'utente può richiederlo per accedere alla risorsa.
Per concedere l'accesso all'utente:
- Seleziona Concedi ruolo.
- Fai clic su Continua.
- Seleziona un ruolo applicabile per visualizzarne i dettagli.
- Fai clic su Concedi l'accesso.
Per creare un nuovo diritto di Privileged Access Manager:
- Seleziona Concedi accesso temporaneo.
- Fai clic sul ruolo applicabile da concedere per visualizzarne i dettagli.
Fai clic su Crea diritto.
Nel riquadro Crea un nuovo diritto, inserisci i dettagli del diritto:
- Inserisci un nome per il nuovo diritto.
- Seleziona la durata massima della concessione.
- Fai clic su Avanti.
- (Facoltativo) Aggiungi altri richiedenti per questo diritto.
- Fai clic su Avanti.
- Aggiungi almeno un'entità per approvare le richieste di diritti o seleziona Attiva l'accesso senza approvazioni.
- Fai clic su Avanti.
- (Facoltativo) Inserisci gli indirizzi email degli amministratori che vuoi avvisare.
- Fai clic su Fine, quindi su Crea diritto.
Per saperne di più su Privileged Access Manager, consulta Creare diritti in Privileged Access Manager.
Se non esiste un ruolo che contenga tutte le autorizzazioni richieste dall'utente, non vengono suggeriti ruoli o diritti.
Per metodi alternativi di correzione dell'accesso dell'utente, consulta Risolvere gli errori di autorizzazione delle policy di autorizzazione.
Correggi la policy di negazione
Le policy di negazione sono associate a un' Google Cloud organizzazione, una cartella o un progetto. Una policy di negazione contiene regole di negazione, che identificano le entità ed elencano le autorizzazioni che le entità non possono utilizzare.
La pagina Correggi la policy di negazione mostra la policy di negazione che impedisce all'utente di utilizzare l'autorizzazione e suggerisce diversi metodi per correggere l'accesso dell'utente.
I metodi suggeriti per correggere le richieste di accesso correlate alle policy di negazione includono:
Esonera l'utente dalla policy di negazione.
Rimuovi l'autorizzazione dalla policy di negazione.
Crea un tag per escludere la risorsa dalla policy di negazione.
Correggi confine di accesso dell'entità
Per impostazione predefinita, le entità sono idonee ad accedere a qualsiasi Google Cloud risorsa. Tuttavia, se sono soggette a una policy di Principal Access Boundary, sono idonee ad accedere solo alle risorse elencate nelle policy di Principal Access Boundary a cui sono soggette. In questi casi, una policy di Principal Access Boundary potrebbe impedire a un'entità di accedere a una risorsa.
La pagina Correggi confine di accesso dell'entità mostra la policy sul confine di accesso dell'entità che impedisce all'utente di accedere alla risorsa e suggerisce diversi metodi per correggere l'accesso dell'utente.
I metodi suggeriti per correggere le richieste di accesso correlate alle policy di Principal Access Boundary includono:
Aggiungi la risorsa a una policy di Principal Access Boundary esistente collegata a un insieme più ampio di identità.
Non consigliato: esonera l'identità dall'applicazione del confine di accesso dell'entità
Passaggi successivi
- Utilizza il riferimento alle autorizzazioni o il riferimento ai ruoli predefiniti per determinare il ruolo da concedere a un utente a cui mancano le autorizzazioni.
- Scopri gli altri strumenti di Policy Intelligence, che ti aiutano a comprendere e gestire le tue policy per migliorare in modo proattivo la configurazione della sicurezza.