Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

アクセスに関する問題を解決する

コンソール、Google Cloud CLI、REST API はすべて、アクセス権のないリソースにアクセスしようとするとエラーメッセージを表示します。 Google Cloud ユーザーが権限エラーに遭遇した場合は、リソースへのアクセス権をリクエストできます。これにより、ユーザーがコピーして管理者に送信できるメールが作成されます。また、組織の技術的な重要な連絡先に自動的に送信されるメールも作成されます。

管理者が生成されたメール内のリンクをクリックすると、コンソールに移動し、リクエストを拒否するか、修復に進むかを選択できます。 Google Cloud

修復に進むことを選択すると、 Google Cloud コンソールにポリシー修復の概要が表示されます。管理者は、権限エラーメッセージで [トラブルシューティングの詳細を表示] をクリックし、[Policy Troubleshooter] をクリックするか、[Policy Troubleshooter] ページに移動してエラー ID を入力することで、ポリシー修復の概要にアクセスすることもできます。

修復の概要ページには、リクエストの詳細（リクエスト元のプリンシパル、リソース、プリンシパルがリクエストしている権限など）が表示されます。

リクエストの詳細を示すポリシー修復の概要ページ。

[現在のアクセス状態] セクションには、ポリシーの種類（許可ポリシー、拒否ポリシー、プリンシパルアクセス境界ポリシー）ごとの結果と、全体的な結果が要約されています。結果は、関連するポリシーに従って、プリンシパルがリソースにアクセスできるかどうかを示します。

ユーザーのアクセスをブロックしているポリシーの詳細については、[高度なトラブルシューティング] をクリックしてください。

[修復] をクリックすると、そのユーザーのアクセスに関する問題を修復するためのオプションが表示されます。コンソールを使用して、さまざまなポリシーの種類によって発生する権限エラーを解決する方法については、 Google Cloud 以下をご覧ください。

許可ポリシーの権限エラーを修復する
拒否ポリシーの権限エラーを修復する
プリンシパルアクセス境界の権限エラーを修復する

許可ポリシーを修復する

[許可ポリシーを修復する] ページには、ユーザーに付与されていない権限が表示されます。許可ポリシーによってブロックされたアクセスを解決するには、そのユーザーにアクセス権を付与するか、ユーザーの Privileged Access Manager の利用資格を作成します。利用資格を作成すると、ユーザーはリソースにアクセスするためのリクエストを送信できます。

許可ポリシーの詳細を示すポリシー修復の概要ページ。

ユーザーにアクセス権を付与する手順は次のとおりです。

[ロールを付与] を選択します。
[続行] をクリックします。
該当するロールを選択して、そのロールの詳細を表示します。
[アクセス権を付与] をクリックします。

新しい Privileged Access Manager の利用資格を作成する手順は次のとおりです。

[一時的なアクセス権を付与] を選択します。
付与する該当するロールをクリックして、そのロールの詳細を表示します。
[利用資格を作成] をクリックします。

[新しい利用資格を作成] ペインで、利用資格の詳細を入力します。
1. 新しい利用資格の名前を入力します。
2. 権限付与の最大期間を選択します。
3. [次へ] をクリックします。
4. 必要に応じて、この利用資格のリクエスタを追加します。
5. [次へ] をクリックします。
6. 利用資格リクエストを承認するプリンシパルを 1 つ以上追加するか、[承認なしでアクセスを有効化] を選択します。
7. [次へ] をクリックします。
8. 必要に応じて、通知する管理者のメールアドレスを入力します。
9. [完了] をクリックし、[利用資格を作成] をクリックします。

Privileged Access Manager の詳細については、 Privileged Access Manager で利用資格を作成するをご覧ください。

ユーザーに必要な権限がすべて含まれているロールがない場合、ロールや利用資格は提案されません。

ユーザーのアクセスを修復する別の方法については、許可ポリシーの権限エラーを解決するをご覧ください。

拒否ポリシーを修復する

拒否ポリシーは、 Google Cloud の組織、フォルダ、プロジェクトに関連付けられます。拒否ポリシーには拒否ルールが含まれています。このルールには、プリンシパルと、そのプリンシパルが使用できない権限のリストが記述されています。

[拒否ポリシーを修復する] ページには、ユーザーが権限を使用できないようにする拒否ポリシーが表示され、ユーザーのアクセスを修復するためのいくつかの方法が提案されます。

拒否ポリシーの詳細を示すポリシー修復の概要ページ。

拒否ポリシーに関連するアクセス権リクエストを修復する方法としては、次のものがあります。

プリンシパルアクセス境界を修復する

デフォルトでは、プリンシパルはすべての Google Cloud リソースにアクセスできます。ただし、プリンシパルアクセス境界ポリシーの対象となる場合、それらのプリンシパルは、対象となるプリンシパルアクセス境界ポリシーにリストされているリソースにのみアクセスできます。このような場合、プリンシパルアクセス境界ポリシーによって、プリンシパルがリソースにアクセスできなくなる可能性があります。

[プリンシパルアクセス境界を修復する] ページには、ユーザーがリソースにアクセスできないようにするプリンシパルアクセス境界ポリシーが表示され、ユーザーのアクセスを修復するためのいくつかの方法が提案されます。

プリンシパルアクセス境界の詳細を示すポリシー修復の概要ページ。

プリンシパルアクセス境界ポリシーに関連するアクセス権リクエストを修復する方法としては、次のものがあります。

より広範な ID セットにアタッチされている既存のプリンシパルアクセス境界ポリシーにリソースを追加する。
アクセス権を必要とするユーザーにアタッチされているプリンシパルアクセス境界ポリシーにリソースを追加する。
非推奨: ID をプリンシパルアクセス境界の適用から除外する。

次のステップ

権限のリファレンスまたは事前定義ロールのリファレンスを使用して、権限のないユーザーにどのロールを付与するかを判断する。
その他のポリシーインテリジェンスツールについて確認する。これらのツールを使用して、ポリシーを理解し管理することで、セキュリティ構成を事前に改善できます。