このページは Cloud Translation API によって翻訳されました。

アクセスに関する問題を解決する

Google Cloud コンソール、Google Cloud CLI、REST API はすべて、ユーザーがアクセス権のないリソースにアクセスしようとすると、エラーメッセージを表示します。ユーザーが権限エラーに遭遇した場合は、リソースへのアクセスをリクエストできます。これにより、組織の技術担当の重要な連絡先に送信されるメールが生成されます。

管理者が生成されたメールのリンクをクリックすると、ポリシーの修復の概要が表示されます。管理者は、権限エラーメッセージの [トラブルシューティングの詳細を表示] をクリックし、[Policy Troubleshooter] をクリックして、ポリシー修復の概要にアクセスすることもできます。このページでは、リクエストしたプリンシパル、リソース、プリンシパルがリクエストしている権限など、リクエストの詳細について説明します。

リクエストの詳細を示すポリシー修復の概要ページ。

[現在のアクセス状態] セクションには、ポリシータイプ（具体的には、許可ポリシー、拒否ポリシー、プリンシパルアクセス境界ポリシー）ごとの結果がまとめられ、全体的な結果が示されます。結果は、関連するポリシーに従って、プリンシパルがリソースにアクセスできるかどうかを示します。

[高度なトラブルシューティング] をクリックすると、ユーザーのアクセスをブロックしているポリシーの詳細を確認できます。

[修復] をクリックして、そのユーザーのアクセス問題を修復するためのオプションを表示します。 Google Cloud コンソールを使用して、さまざまなポリシータイプによって発生した権限エラーを解決する方法については、以下をご覧ください。

許可ポリシーの権限エラーを修復する
拒否ポリシーの権限エラーを修復する
プリンシパルアクセス境界の権限エラーを修復する

許可ポリシーを修復する

[許可ポリシーを修復] ページには、ユーザーに付与されていない権限が表示されます。許可ポリシーによってブロックされたアクセスを解決するには、そのユーザーにアクセス権を付与するか、そのユーザーの Privileged Access Manager 利用資格を作成します。利用資格を作成すると、ユーザーはリソースにアクセスするために利用資格をリクエストできます。

許可ポリシーの詳細を示すポリシー修復の概要ページ。

ユーザーにアクセス権を付与する手順は次のとおりです。

[ロールを付与] を選択します。
[続行] をクリックします。
該当するロールを選択して、そのロールの詳細を表示します。
[アクセス権を付与] をクリックします。

新しい Privileged Access Manager 利用資格を作成する手順は次のとおりです。

[一時的なアクセス権を付与] を選択します。
該当するロールをクリックして付与すると、そのロールの詳細が表示されます。
[利用資格を作成] をクリックします。

[Create a new entitlement] ペインで、利用資格の詳細を入力します。
1. 新しい利用資格の名前を入力します。
2. 権限付与の最大期間を選択します。
3. [次へ] をクリックします。
4. 必要に応じて、この利用資格の承認者をさらに追加します。
5. [次へ] をクリックします。
6. 利用資格リクエストを承認するプリンシパルを 1 つ以上追加するか、[承認なしでアクセスを有効化] を選択します。
7. [次へ] をクリックします。
8. 必要に応じて、通知する管理者のメールアドレスを入力します。
9. [完了]、[利用資格を作成] の順にクリックします。

Privileged Access Manager の詳細については、Privileged Access Manager で利用資格を作成するをご覧ください。

ユーザーに必要なすべての権限を含むロールがない場合、ロールや利用資格は提案されません。

ユーザーのアクセス権を修復する別の方法については、許可ポリシーの権限エラーを解決するをご覧ください。

拒否ポリシーを修復する

拒否ポリシーは、 Google Cloud 組織、フォルダ、プロジェクトに関連付けられます。拒否ポリシーには拒否ルールが含まれています。このルールには、プリンシパルと、そのプリンシパルが使用できない権限のリストが記述されています。

[拒否ポリシーを修復] ページには、ユーザーが権限を使用できないようにする拒否ポリシーが表示され、ユーザーのアクセスを修復するためのいくつかの方法が提案されます。

拒否ポリシーの詳細を示すポリシー修復の概要ページ。

拒否ポリシーに関連するアクセスリクエストを修正する方法は次のとおりです。

拒否ポリシーからユーザーを除外します。
拒否ポリシーから権限を削除します。
既存の除外グループにユーザーを追加します。
タグを作成して、拒否ポリシーからリソースを除外します。

プリンシパルアクセス境界を修復する

デフォルトでは、プリンシパルはすべての Google Cloud リソースにアクセスできます。ただし、プリンシパルアクセス境界ポリシーの対象となる場合、それらのプリンシパルは、対象となるプリンシパルアクセス境界ポリシーにリストされているリソースにのみアクセスできます。このような場合、プリンシパルアクセス境界ポリシーによって、プリンシパルがリソースにアクセスできなくなる可能性があります。

[プリンシパルアクセス境界を修復] ページには、ユーザーがリソースにアクセスできない原因となっているプリンシパルアクセス境界ポリシーが表示され、ユーザーのアクセスを修復するためのいくつかの方法が提案されます。

プリンシパルアクセス境界の詳細を示すポリシー修復の概要ページ。

プリンシパルアクセス境界ポリシーに関連するアクセスリクエストを修復する推奨の方法は次のとおりです。

より広範な ID セットにアタッチされている既存のプリンシパルアクセス境界ポリシーにリソースを追加します。
アクセス権を必要とするユーザーにアタッチされているプリンシパルアクセス境界ポリシーにリソースを追加します。
非推奨: プリンシパルアクセス境界の適用からID を除外します。

次のステップ

権限のリファレンスまたは事前定義ロールのリファレンスを使用して、権限のないユーザーにどのロールを付与するかを判断する。
その他のポリシーインテリジェンスツールについて確認する。これらのツールを使用して、ポリシーを理解し管理することで、セキュリティ構成を事前に改善できます。