Soluciona el problema de acceso denegado con el corrector de políticas

En esta página, se muestra cómo habilitar y usar el corrector de políticas de Chrome Enterprise Premium.

Cuando los usuarios intentan acceder a un recurso de Google Cloud, pero no cumplen con la política de acceso del recurso, se les niega el acceso y reciben un mensaje de error general 403. Puedes usar el corrector de políticas para proporcionar a los usuarios pasos prácticos que pueden seguir a fin de solucionar su problema antes de comunicarse con un administrador para obtener ayuda adicional. Las acciones de solución específicas dependen de las políticas de acceso, pero pueden incluir acciones como habilitar el bloqueo de pantalla, actualizar la versión del sistema operativo (SO) o acceder a una app desde una red permitida por tu empresa.

Habilitar el corrector de políticas

1. Otorga al administrador de la organización la función roles/policyremediatormanager.policyRemediatorAdmin a nivel de la organización mediante la ejecución de los siguientes comandos en Google Cloud CLI:

   gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
       --member PRINCIPAL \
       --role roles/policyremediatormanager.policyRemediatorAdmin
   

   Reemplaza lo siguiente:

   • ORGANIZATION_ID: Es el ID de la organización de Google Cloud.
   • PRINCIPAL: Es el identificador de la principal o miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

2. Para habilitar la API de Policy Remediator Manager, ejecuta el siguiente comando:

   gcloud services enable policyremediatormanager.googleapis.com
   

3. Llama al administrador del corrector de políticas a fin de habilitar el corrector de políticas para los proyectos de una organización, lo que crea un agente de servicio.

   curl -X POST \
   "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
   --header 'Authorization: Bearer ACCESS_TOKEN' \
   --header 'X-Goog-User-Project:PROJECT_ID'
   

   Reemplaza lo siguiente:

   • ORGANIZATION_ID: Es el ID de la organización de Google Cloud.
   • ACCESS_TOKEN: Usa el siguiente comando para generar el token de acceso.

     gcloud auth print-access-token
     

   • PROJECT_ID: el ID del proyecto de Google Cloud.

   A continuación, se muestra una respuesta de ejemplo, que contiene los detalles del agente de servicio:

   {
   "name": "organizations/ORGANIZATION_ID/locations/global/operations/",
   "metadata": {
     "@type":
   "type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
   a.OperationMetadata",
      "createTime": "",
      "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
      "verb": "update",
      "requestedCancellation": false,
      "apiVersion": "v1alpha"
    },
    "done": false
   }
   

   En el ejemplo anterior, ORGANIZATION_ID es el ID de la organización de Google Cloud.

4. En Google Cloud CLI, ejecuta el siguiente comando para acceder al agente de servicio que creaste:

   curl -X GET \
   "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
   --header 'Authorization: Bearer ACCESS_TOKEN' \
   --header 'X-Goog-User-Project:PROJECT_ID'
   

   Reemplaza lo siguiente:

   • ORGANIZATION_ID: Es el ID de la organización de Google Cloud.
   • ACCESS_TOKEN: Usa el siguiente comando para generar el token de acceso.

     gcloud auth print-access-token
     

   • PROJECT_ID: el ID del proyecto de Google Cloud.

   Deberías recibir el correo electrónico del agente de servicio en el siguiente formato:

   {
   "name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "state": "ENABLED",
   "serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
   }
   

   En el ejemplo anterior, ORGANIZATION_ID es el ID de la organización de Google Cloud.

Asignar el rol del agente de servicio en la Consola del administrador de Google

1. Accede a la Consola del administrador de Google.

   Ir a la Consola del administrador de Google

2. Ve a Cuenta > Roles de administrador y, luego, haz clic en Crear rol nuevo.

   • Ingresa un nombre y una descripción (opcional) para la función y, luego, haz clic en Continuar.

   • En Privilegios de la Consola del administrador, ve a Servicios > Administración de dispositivos móviles y dispositivos y selecciona el permiso Administra dispositivos y configuración.

   • En Privilegios de la API de administrador, ve a Grupos y, luego, selecciona el permiso de lectura.

   • Haz clic en Continuar, confirma tus entradas y completa la creación del rol.

   • Ve a Asignar cuentas de servicio y, luego, ingresa la dirección de correo electrónico del agente de servicio recién creado.

   • Haz clic en Agregar > Asignar rol.

3. En Google Cloud CLI, ejecuta los siguientes comandos para otorgar la función de agente de servicio (policyremediator.serviceAgent) al agente de servicio a nivel de la organización. Esto le da al agente de servicio permiso para leer Identity and Access Management y otras políticas de acceso de tu organización.

   gcloud organizations add-iam-policy-binding 'organizations/' \
      --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
      --role='roles/policyremediator.serviceAgent'
   

   Reemplaza ORGANIZATION_ID por el ID de la organización de Google Cloud.

Habilitar el corrector de políticas para un recurso de IAP

Debes tener una licencia de Chrome Enterprise Premium para usar esta función.

1. Ve a la página Identity-Aware Proxy (IAP).
   Ir a IAP

2. Selecciona un recurso y, luego, haz clic en Configuración.

3. Ve a Corregir acceso y, luego, selecciona Generar acciones de corrección.

Otorga el rol de corrector

A fin de otorgar a los usuarios permiso para solucionar el acceso denegado a los recursos de IAP, ejecuta el siguiente comando en Google Cloud CLI:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Reemplaza PRINCIPAL por un identificador para la principal o el miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

Para obtener información adicional, consulta gcloud iap web add-iam-policy-binding.

Si quieres otorgar permiso a los usuarios para solucionar el acceso a los recursos de IAP a nivel de proyecto, ejecuta el siguiente comando en Google Cloud CLI:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Reemplaza lo siguiente:

• PROJECT_ID: el ID del proyecto de Google Cloud.
• PRINCIPAL: Es el identificador de la principal o miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

Soluciona los problemas con el departamento de ayuda

Cuando se deniega el acceso a los usuarios finales, se los redirecciona a una página de Chrome Enterprise Premium que contiene información de solución de problemas, como una URL de solución de problemas y un token de corrección. Si los usuarios no tienen permiso para abrir el token de corrección, pueden copiarlo y enviarlo al Departamento de ayuda para obtener ayuda adicional.

Atributos de la política y mensajes asociados

En la siguiente tabla, se proporciona la lista de atributos que admite el corrector de políticas.

Atributo	Mensaje predeterminado
ip_address	Estás accediendo a la app desde una red que tu empresa no permite.
region_code	Accede a esta app desde una región que permite tu empresa.
is_secured_with_screenlock	Establece una contraseña de pantalla en tu dispositivo. Desactiva la contraseña de pantalla del dispositivo.
verified_chrome_os	Usa un dispositivo con [tipo de SO] verificado. Usa un dispositivo sin [tipo de SO] verificado.
is_admin_approved_device	Usa un dispositivo aprobado por el administrador de tu organización. Usa un dispositivo que no esté aprobado por el administrador de tu organización.
is_corp_owned_device	Usa un dispositivo de tu organización. Usa un dispositivo que no sea propiedad de tu organización.
encryption_status	Usa un dispositivo encriptado. Usa un dispositivo no encriptado.
os_type	Cambia a un dispositivo [tipo de SO]. Los dispositivos de [tipo de SO] no pueden acceder a esta app.
os_version	Actualiza a una versión del SO que sea al menos [version]. Cambia el SO a una versión inferior a [version].

Soluciona problemas

El corrector de políticas no puede generar correcciones cuando ocurre alguna de las siguientes situaciones:

• Un recurso tiene políticas en conflicto, por ejemplo, un usuario debe conectarse mediante Windows y macOS.
• El atributo no es compatible con el corrector de políticas.
• El agente de servicio no tiene permiso para solucionar el problema.