Soluciona el acceso denegado con la solución de políticas

En esta página, se muestra cómo habilitar y usar el Corrector de políticas.

Cuando los usuarios intentan acceder a un recurso de Google Cloud , pero no cumplen con la política de acceso del recurso, se les deniega el acceso y reciben un mensaje de error 403 general. Puedes usar el Corrector de políticas para proporcionar a los usuarios pasos prácticos que pueden seguir para solucionar su problema antes de comunicarse con un administrador para obtener ayuda adicional. Las acciones de corrección específicas dependen de las políticas de acceso, pero pueden incluir acciones como habilitar el bloqueo de pantalla, actualizar la versión del sistema operativo (SO) o acceder a una app desde una red permitida por tu empresa.

Habilita el corrector de políticas

  1. Ejecuta los siguientes comandos en Google Cloud CLI para otorgarle a tu administrador de la organización el rol de roles/policyremediatormanager.policyRemediatorAdmin a nivel de la organización:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: El Google Cloud ID de la organización.
    • PRINCIPAL: Es el identificador de la principal o el miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

  2. Ejecuta el siguiente comando para habilitar la API de Policy Remediation Manager:

    gcloud services enable policyremediatormanager.googleapis.com

  3. Llama al Administrador de Policy Remediator para habilitar Policy Remediator en los proyectos de una organización. Esto crea un agente de servicio.

    curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: El Google Cloud ID de la organización.
    • ACCESS_TOKEN: Usa el siguiente comando para generar el token de acceso. 
      gcloud auth print-access-token
    • PROJECT_ID: El ID del proyecto de Google Cloud .

    A continuación, se muestra un ejemplo de respuesta que contiene los detalles del agente de servicio:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

    En el ejemplo anterior, ORGANIZATION_ID es el Google Cloud ID de la organización.

  4. En Google Cloud CLI, ejecuta el siguiente comando para acceder al agente de servicio que creaste:

    curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: El Google Cloud ID de la organización.
    • ACCESS_TOKEN: Usa el siguiente comando para generar el token de acceso. 
      gcloud auth print-access-token
    • PROJECT_ID: El ID del proyecto de Google Cloud .

    Deberías recibir el correo electrónico del agente de servicio en el siguiente formato:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

    En el ejemplo anterior, ORGANIZATION_ID es el Google Cloud ID de la organización.

Asigna el rol de agente de servicio en la Consola del administrador de Google

  1. Acceda a la Consola del administrador de Google.

    Ir a la Consola del administrador de Google

  2. Ve a Cuenta > Roles de administrador y, luego, haz clic en Crear rol nuevo.

    • Ingresa un nombre y una descripción (opcional) para el rol y, luego, haz clic en Continuar.

    • En Privilegios de la Consola del administrador, ve a Servicios > Administración de dispositivos móviles y selecciona el permiso Administrar dispositivos y configuración.

    • En Privilegios de la API de Admin, ve a Grupos y, luego, selecciona el permiso de Lectura.

    • Haz clic en Continuar, confirma tus entradas y termina de crear el rol.

    • Ve a Assign Service Accounts y, luego, ingresa la dirección de correo electrónico del agente de servicio que acabas de crear.

    • Haz clic en Agregar > Asignar rol.

  3. En Google Cloud CLI, ejecuta los siguientes comandos para otorgar el rol de agente de servicio (policyremediator.serviceAgent) al agente de servicio a nivel de la organización. Esto le otorga permiso al agente de servicio para leer las políticas de Identity and Access Management y otras políticas de acceso de tu organización.

    gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'

    Reemplaza ORGANIZATION_ID por el Google Cloud ID de la organización.

Habilita el solucionador de políticas para un recurso de IAP

  1. Ve a la página de Identity-Aware Proxy (IAP).
    Ir a IAP

  2. Selecciona un recurso y, luego, haz clic en Configuración.

  3. Ve a Remediate access y, luego, selecciona Generate remediation actions.

Otorga el rol de remediador

Para otorgarles a los usuarios permiso para corregir el acceso denegado a los recursos de IAP, ejecuta el siguiente comando en Google Cloud CLI:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Reemplaza PRINCIPAL por un identificador para la principal o el miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

Para obtener más información, consulta gcloud IAP web add-iam-policy-binding.

Para otorgar a los usuarios permiso para corregir el acceso a los recursos protegidos por IAP a nivel del proyecto, ejecuta el siguiente comando en Google Cloud CLI:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud .
  • PRINCIPAL: Es el identificador de la principal o el miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

Cómo solucionar problemas con la mesa de ayuda

Cuando se les niega el acceso a los usuarios finales, se los redirecciona a una página de Chrome Enterprise Premium que contiene información para solucionar problemas, incluida una URL para solucionar problemas y un token de corrección. Si los usuarios no tienen permiso para abrir el token de corrección, pueden copiarlo y enviarlo a la mesa de ayuda para obtener asistencia adicional.

Atributos de la política y mensajes asociados

En la siguiente tabla, se proporciona la lista de atributos que admite el Corrector de políticas.

Atributo Mensaje predeterminado
ip_address Estás accediendo a la app desde una red
que tu empresa no permite.
region_code Accede a esta app desde una región
permitida por tu empresa.
is_secured_with_screenlock Establece una contraseña de pantalla en tu dispositivo.
Desactiva la contraseña de pantalla en tu dispositivo.
verified_chrome_os Usa un dispositivo con un [tipo de SO] verificado.
Usa un dispositivo sin [tipo de SO] verificado.
is_admin_approved_device Usa un dispositivo aprobado por el administrador de tu organización.
Usar un dispositivo que no esté aprobado por el administrador de tu organización
is_corp_owned_device Usa un dispositivo que sea propiedad de tu organización.
Usa un dispositivo que no sea propiedad de tu organización.
encryption_status Usa un dispositivo encriptado.
Usar un dispositivo sin encriptar
os_type Cambia a un dispositivo [tipo de SO].
Los dispositivos [tipo de SO] no pueden acceder a esta app.
os_version Actualiza a una versión del SO que sea al menos [versión].
Cambia el SO a una versión inferior a [versión].

Soluciona problemas

El Corrector de políticas no puede generar correcciones en los siguientes casos:

  • Un recurso tiene políticas en conflicto, como que un usuario debe conectarse con Windows y macOS.
  • El atributo no es compatible con el Corrector de políticas.
  • El agente de servicio no tiene permiso para corregir el problema.