Soluciona el acceso denegado con la solución de políticas

En esta página, se muestra cómo habilitar y usar el Solucionador de políticas de Chrome Enterprise Premium.

Cuando los usuarios intentan acceder a un recurso Google Cloud , pero no cumplen con la política de acceso del recurso, se les deniega el acceso y reciben un mensaje de error general 403. Puedes usar el Solucionador de políticas para proporcionar a los usuarios pasos prácticos que puedan seguir para solucionar su problema antes de comunicarse con un administrador para obtener ayuda adicional. Las acciones de solución específicas dependen de las políticas de acceso, pero pueden incluir acciones como habilitar el bloqueo de pantalla, actualizar la versión del sistema operativo (SO) o acceder a una app desde una red permitida por tu empresa.

Habilita el corrector de políticas

  1. Ejecuta los siguientes comandos en la CLI de Google Cloud para otorgar al administrador de tu organización el rol roles/policyremediatormanager.policyRemediatorAdmin a nivel de la organización:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: El Google Cloud ID de la organización.
    • PRINCIPAL: Es el identificador para la principal o el miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

  2. Ejecuta el siguiente comando para habilitar la API de Policy Remediator Manager:

    gcloud services enable policyremediatormanager.googleapis.com

  3. Llama al Administrador de Policy Remediator para habilitar Policy Remediator para los proyectos de una organización. Esto crea un agente de servicio.

    curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: El Google Cloud ID de la organización.
    • ACCESS_TOKEN: Usa el siguiente comando para generar el token de acceso. 
      gcloud auth print-access-token
    • PROJECT_ID: El Google Cloud ID del proyecto.

    A continuación, se muestra una respuesta de ejemplo, que contiene los detalles del agente de servicio:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

    En el que ORGANIZATION_ID es el Google Cloud ID de la organización.

  4. En Google Cloud CLI, ejecuta el siguiente comando para acceder al agente de servicio que creaste:

    curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: El Google Cloud ID de la organización.
    • ACCESS_TOKEN: Usa el siguiente comando para generar el token de acceso. 
      gcloud auth print-access-token
    • PROJECT_ID: El Google Cloud ID del proyecto.

    Deberías recibir el correo electrónico del agente de servicio en el siguiente formato:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

    En el que ORGANIZATION_ID es el Google Cloud ID de la organización.

Asigna el rol de agente de servicio en la Consola del administrador de Google

  1. Accede a la Consola del administrador de Google.

    Ir a la Consola del administrador de Google

  2. Ve a Cuenta > Roles de administrador y, luego, haz clic en Crear rol nuevo.

    • Ingresa un nombre y una descripción (opcional) para el rol y, luego, haz clic en Continuar.

    • En Privilegios de la Consola del administrador, ve a Servicios > Administración de dispositivos móviles y extremos y selecciona el permiso Administra dispositivos y configuración.

    • En Privilegios de la API de Admin, ve a Grupos y, luego, selecciona el permiso Leer.

    • Haz clic en Continuar, confirma tus entradas y completa la creación del rol.

    • Ve a Asignar cuentas de servicio y, luego, ingresa la dirección de correo electrónico del agente de servicio que acabas de crear.

    • Haz clic en Agregar > Asignar rol.

  3. En Google Cloud CLI, ejecuta los siguientes comandos para otorgar el rol de agente de servicio (policyremediator.serviceAgent) al agente de servicio a nivel de la organización. Esto le otorga al agente de servicio permiso para leer Identity and Access Management y otras políticas de acceso de tu organización.

    gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'

    Reemplaza ORGANIZATION_ID por el Google Cloud ID de la organización.

Habilita la solución de políticas para un recurso de IAP

Debes tener una licencia de Chrome Enterprise Premium para usar esta función.

  1. Ve a la página Identity-Aware Proxy (IAP).
    Ir a IAP

  2. Selecciona un recurso y, luego, haz clic en Configuración.

  3. Ve a Remediar acceso y, luego, selecciona Generar acciones de solución.

Otorga el rol de encargado de la solución

Para otorgarles a los usuarios permiso para solucionar el acceso denegado a los recursos de IAP, ejecuta el siguiente comando en Google Cloud CLI:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Reemplaza PRINCIPAL por un identificador para la principal o el miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

Para obtener más información, consulta gcloud iap web add-iam-policy-binding.

Para otorgarles a los usuarios permiso para corregir el acceso a los recursos de IAP a nivel del proyecto, ejecuta el siguiente comando en Google Cloud CLI:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Reemplaza lo siguiente:

  • PROJECT_ID: El Google Cloud ID del proyecto.
  • PRINCIPAL: Es el identificador para la principal o el miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

Soluciona el problema con el departamento de ayuda

Cuando se les niega el acceso a los usuarios finales, se los redirecciona a una página de Chrome Enterprise Premium que contiene información para solucionar problemas, como una URL de solución de problemas y un token de solución. Si los usuarios no tienen permiso para abrir el token de solución, pueden copiarlo y enviarlo al departamento de ayuda para obtener más ayuda.

Atributos de la política y mensajes asociados

En la siguiente tabla, se proporciona la lista de atributos que admite el Solucionador de políticas.

Atributo Mensaje predeterminado
ip_address Estás accediendo a la app desde una red
que no está permitida por tu empresa.
region_code Accede a esta app desde una región
que permita tu empresa.
is_secured_with_screenlock Establece una contraseña de pantalla en tu dispositivo.
Desactiva la contraseña de pantalla en tu dispositivo.
verified_chrome_os Usa un dispositivo con un [tipo de SO] verificado.
Usar un dispositivo sin [tipo de SO] verificado
is_admin_approved_device Usa un dispositivo aprobado por el administrador de tu organización.
Usar un dispositivo que no esté aprobado por el administrador de tu organización
is_corp_owned_device Usa un dispositivo que sea propiedad de tu organización.
Usa un dispositivo que no sea propiedad de tu organización.
encryption_status Usa un dispositivo encriptado.
Usa un dispositivo sin encriptar.
os_type Cambia a un dispositivo [tipo de SO].
Los dispositivos [tipo de SO] no pueden acceder a esta app.
os_version Actualiza a una versión del SO que sea al menos [versión].
Cambia el SO a una versión anterior a [version].

Soluciona problemas

El Solucionador de políticas no puede generar correcciones cuando ocurre alguna de las siguientes situaciones:

  • Un recurso tiene políticas en conflicto, por ejemplo, un usuario debe conectarse con Windows y macOS.
  • El atributo no es compatible con el Solucionador de políticas.
  • El agente de servicio no tiene permiso para corregir el problema.