如果使用者嘗試存取沒有權限的資源, Google Cloud 控制台、Google Cloud CLI 和 REST API 都會顯示錯誤訊息。如果使用者遇到權限錯誤,可以要求存取資源。系統會產生電子郵件,並傳送給貴機構的技術支援重要聯絡人。
管理員點選系統產生的電子郵件中的連結後,會前往政策補救摘要。管理員也可以按一下權限錯誤訊息中的「查看疑難排解詳細資料」,然後點選「政策疑難排解工具」,存取政策修正摘要。這個頁面會顯示要求詳細資料,包括要求主體、資源,以及主體要求使用的權限。
「目前的存取權狀態」部分會彙整各政策類型 (具體來說,是允許政策、拒絕政策和主體存取邊界政策) 的結果,並說明整體結果。結果會根據相關政策,指出主體是否可以存取資源。
如要進一步瞭解導致使用者無法存取服務的政策,請按一下「進階疑難排解」。
按一下「修正」,查看修正該使用者存取權問題的選項。 如要瞭解如何使用 Google Cloud 控制台,以不同方式解決各類型政策造成的權限錯誤,請參閱下列文章:
修復允許政策
「修正允許政策」頁面會顯示使用者缺少的權限。如要解決因允許政策而遭到封鎖的存取權,您可以授予該使用者存取權,或為該使用者建立 Privileged Access Manager 授權。建立授權後,使用者即可要求授權來存取資源。
如要授予使用者存取權,請按照下列步驟操作:
- 選取「授予角色」。
- 按一下「繼續」。
- 選取適用的角色,即可查看該角色的詳細資料。
- 按一下「授予存取權」。
如要建立新的 Privileged Access Manager 授權,請按照下列步驟操作:
- 選取「授予臨時存取權」。
- 按一下適用的角色,即可查看該角色的詳細資料。
按一下「建立授權」。
在「建立新授權」窗格中,輸入授權詳細資料:
- 輸入新授權的名稱。
- 選取授權的持續時間上限。
- 點選「下一步」。
- 視需要為這項授權新增更多要求者。
- 點選「下一步」。
- 新增至少一個主體來核准授權要求,或選取「無須核准即可啟用存取權」。
- 點選「下一步」。
- 視需要輸入要通知的管理員電子郵件地址。
- 依序點選「完成」和「建立授權」。
如要進一步瞭解 Privileged Access Manager,請參閱「在 Privileged Access Manager 中建立授權」。
如果沒有任何角色包含使用者所需的所有權限,系統就不會建議任何角色或授權。
如需其他解決使用者存取權問題的方法,請參閱「解決允許政策權限錯誤」。
修復拒絕政策
拒絕政策會附加至 Google Cloud 機構、資料夾或專案。 拒絕政策包含拒絕規則,可識別主體並列出主體不得使用的權限。
「補救拒絕政策」頁面會顯示禁止使用者使用權限的拒絕政策,並提供幾種方法來補救使用者的存取權。
建議您採取下列方法,解決與拒絕政策相關的存取要求:
修復主體存取邊界
根據預設,主體可以存取任何 Google Cloud 資源。 不過,如果主體受到任何主體存取邊界政策的限制,就只能存取所屬主體存取邊界政策中列出的資源。在這些情況下,主體存取邊界政策可能會禁止主體存取資源。
「修正主體存取權範圍」頁面會顯示導致使用者無法存取資源的主體存取權範圍政策,並提供幾種方法,協助使用者修正存取權。
建議您採取下列方法,解決與主體存取權範圍政策相關的存取要求:
後續步驟
- 使用權限參考資料或預先定義的角色參考資料,判斷要授予缺少權限的使用者哪個角色。
- 請參閱其他政策智慧工具,瞭解如何管理政策,主動改善安全設定。