Soluciona el problema de acceso denegado con el corrector de políticas

En esta página, se muestra cómo habilitar y usar el Solucionador de políticas de Chrome Enterprise Premium.

Cuando los usuarios intentan acceder a un recurso de Google Cloud, pero no cumplen con la política de acceso del recurso, se les deniega el acceso y reciben un mensaje de error general 403. Puedes usar el Corrector de políticas para proporcionar a los usuarios medidas viables que pueden tomar para solucionar su problema antes de comunicarse a un administrador para obtener ayuda adicional. Las acciones de solución específicas dependen de las políticas de acceso, pero pueden incluir acciones como habilitar el bloqueo de pantalla, actualizar la versión del sistema operativo (SO) o acceder a una app desde una red permitida por tu empresa.

Habilita el corrector de políticas

  1. Ejecuta los siguientes comandos en la CLI de Google Cloud para otorgar al administrador de tu organización el rol roles/policyremediatormanager.policyRemediatorAdmin a nivel de la organización:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: Es el ID de la organización de Google Cloud.
    • PRINCIPAL: Es el identificador para la principal o el miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

  2. Para habilitar la API de Policy Remediator Manager, ejecuta el siguiente comando:

    gcloud services enable policyremediatormanager.googleapis.com

  3. Llama al administrador del corrector de políticas para habilitar el corrector de políticas en proyectos en una organización, se crea un agente de servicio.

    curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: Es el ID de la organización de Google Cloud.
    • ACCESS_TOKEN: Usa el siguiente comando para generar el token de acceso. 
      gcloud auth print-access-token
    • PROJECT_ID: el ID del proyecto de Google Cloud.

    A continuación, se muestra un ejemplo de respuesta, que contiene los detalles del agente de servicio:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

    En el ejemplo anterior, ORGANIZATION_ID es el ID de la organización de Google Cloud.

  4. En Google Cloud CLI, ejecuta el siguiente comando para acceder al agente de servicio que creaste:

    curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: Es el ID de la organización de Google Cloud.
    • ACCESS_TOKEN: Usa el siguiente comando para generar el token de acceso. 
      gcloud auth print-access-token
    • PROJECT_ID: el ID del proyecto de Google Cloud.

    Deberías recibir el correo electrónico del agente de servicio en el siguiente formato:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

    En el que ORGANIZATION_ID es el ID de la organización de Google Cloud.

Asigna el rol de agente de servicio en la Consola del administrador de Google

  1. Accede a la Consola del administrador de Google.

    Ir a la Consola del administrador de Google

  2. Ve a Cuenta > Roles de administrador y, luego, haz clic en Crear rol nuevo.

    • Ingresa un nombre y una descripción (opcional) para el rol y, luego, haz clic en Continuar.

    • En Privilegios de la Consola del administrador, ve a Servicios > Administración de dispositivos móviles y dispositivos y selecciona el permiso Administra dispositivos y configuración.

    • En Privilegios de la API de Admin, ve a Grupos y, luego, selecciona el permiso Leer.

    • Haz clic en Continuar, confirma tus entradas y completa la creación del rol.

    • Ve a Asignar cuentas de servicio y, luego, ingresa la dirección de correo electrónico de la creó un agente de servicio.

    • Haz clic en Agregar > Asignar rol.

  3. En Google Cloud CLI, ejecuta los siguientes comandos para otorgar al agente de servicio (policyremediator.serviceAgent) para el agente de servicio en la a nivel de la organización. Esto le otorga al agente de servicio permiso para leer Identity and Access Management y otras políticas de acceso de tu organización.

    gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'

    Reemplaza ORGANIZATION_ID por el ID de la organización de Google Cloud.

Habilita la solución de políticas para un recurso de IAP

Debes tener una licencia de Chrome Enterprise Premium para usar esta función.

  1. Ve a la página Identity-Aware Proxy (IAP).
    Ir a IAP

  2. Selecciona un recurso y, luego, haz clic en Configuración.

  3. Ve a Corregir acceso y, luego, selecciona Generar acciones de corrección.

Otorga el rol de corrector

Para otorgarles a los usuarios permiso para solucionar el acceso denegado a los recursos de IAP, ejecuta el siguiente comando en Google Cloud CLI:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Reemplaza PRINCIPAL por un identificador para la principal o el miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

Para obtener más información, consulta gcloud iap web add-iam-policy-binding.

Para otorgarles a los usuarios permiso para corregir el acceso a los recursos de IAP a nivel del proyecto, ejecuta el siguiente comando en Google Cloud CLI:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Reemplaza lo siguiente:

  • PROJECT_ID: el ID del proyecto de Google Cloud.
  • PRINCIPAL: Es el identificador para la principal o el miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

Soluciona el problema con el departamento de ayuda

Cuando se deniega el acceso a los usuarios finales, se los redirecciona a una página de Chrome Enterprise Premium que contiene información de solución de problemas, incluida una URL de solución de problemas y una token de corrección. Si los usuarios no tienen permiso para abrir el token de corrección, puede copiar el token de corrección y enviarlo al departamento de ayuda para obtener ayuda.

Atributos de la política y mensajes asociados

En la siguiente tabla, se proporciona la lista de atributos que admite el corrector de políticas.

Atributo Mensaje predeterminado
ip_address Estás accediendo a la app desde una red
que tu empresa no permite.
region_code Accede a esta app desde una región
que permita tu empresa.
is_secured_with_screenlock Establece una contraseña de pantalla en tu dispositivo.
Desactiva la contraseña de pantalla en tu dispositivo.
verified_chrome_os Usa un dispositivo con [tipo de SO] verificado.
Usar un dispositivo sin [tipo de SO] verificado
is_admin_approved_device Usa un dispositivo aprobado por el administrador de tu organización.
Usa un dispositivo que no haya aprobado el administrador de tu organización.
is_corp_owned_device Usa un dispositivo que sea propiedad de tu organización.
Usa un dispositivo que no sea propiedad de tu organización.
encryption_status Usa un dispositivo encriptado.
Usa un dispositivo sin encriptar.
os_type Cambia a un dispositivo [tipo de SO].
Los dispositivos [tipo de SO] no pueden acceder a esta app.
os_version Actualiza a una versión del SO que sea al menos [version].
Cambia tu SO a una versión anterior a [version].

Soluciona problemas

El corrector de políticas no puede generar correcciones cuando ocurre alguna de las siguientes situaciones:

  • Un recurso tiene políticas en conflicto, por ejemplo, un usuario debe conectarse mediante Windows y macOS.
  • El atributo no es compatible con el corrector de políticas.
  • El agente de servicio no tiene permiso para solucionar el problema.