Cette page vous explique comment activer et utiliser Policy Remediator.
Lorsque des utilisateurs tentent d'accéder à une ressource Google Cloud , mais ne respectent pas la règle d'accès à la ressource, l'accès leur est refusé et ils reçoivent un message d'erreur 403 général. Vous pouvez utiliser l'outil de correction des règles pour fournir aux utilisateurs des étapes concrètes à suivre pour résoudre leur problème avant de contacter un administrateur pour obtenir de l'aide supplémentaire. Les actions de correction spécifiques dépendent des règles d'accès, mais peuvent inclure l'activation du verrouillage de l'écran, la mise à jour de la version du système d'exploitation ou l'accès à une application à partir d'un réseau autorisé par votre entreprise.
Activer le correcteur de stratégies
Accordez à l'administrateur de votre organisation le rôle
roles/policyremediatormanager.policyRemediatorAdmin
au niveau de l'organisation en exécutant les commandes suivantes dans Google Cloud CLI :gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \ --member PRINCIPAL \ --role roles/policyremediatormanager.policyRemediatorAdmin
Remplacez les éléments suivants :
- ORGANIZATION_ID : ID de l'organisation Google Cloud .
- PRINCIPAL : identifiant du compte principal ou du membre, qui se présente généralement sous la forme suivante :
PRINCIPAL_TYPE:ID
. Exemple :user:my-user@example.com
.
Activez l'API Policy Remediator Manager en exécutant la commande suivante :
gcloud services enable policyremediatormanager.googleapis.com
Appelez le gestionnaire Policy Remediator pour activer Policy Remediator pour les projets d'une organisation. Cela crée un agent de service.
curl -X POST \ "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable" \ --header 'Authorization: Bearer ACCESS_TOKEN' \ --header 'X-Goog-User-Project:PROJECT_ID'
Remplacez les éléments suivants :
- ORGANIZATION_ID : ID de l'organisation Google Cloud .
- ACCESS_TOKEN : utilisez la commande suivante pour générer le jeton d'accès.
gcloud auth print-access-token
- PROJECT_ID : ID du projet Google Cloud .
Voici un exemple de réponse contenant les informations sur l'agent de service :
{ "name": "organizations/ORGANIZATION_ID/locations/global/operations/
", "metadata": { "@type": "type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph a.OperationMetadata", "createTime": " ", "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService", "verb": "update", "requestedCancellation": false, "apiVersion": "v1alpha" }, "done": false } où ORGANIZATION_ID est l'ID de l'organisation Google Cloud .
Dans la Google Cloud CLI, exécutez la commande suivante pour accéder à l'agent de service que vous avez créé :
curl -X GET \ "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \ --header 'Authorization: Bearer ACCESS_TOKEN' \ --header 'X-Goog-User-Project:PROJECT_ID'
Remplacez les éléments suivants :
- ORGANIZATION_ID : ID de l'organisation Google Cloud .
- ACCESS_TOKEN : utilisez la commande suivante pour générer le jeton d'accès.
gcloud auth print-access-token
- PROJECT_ID : ID du projet Google Cloud .
Vous devriez recevoir l'e-mail de l'agent de service au format suivant :
{ "name": "organizations/ORGANIZATION_ID/locations/global/remediatorService", "state": "ENABLED", "serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com" }
où ORGANIZATION_ID est l'ID de l'organisation Google Cloud .
Attribuer le rôle d'agent de service dans la console d'administration Google
Inscrivez-vous à la console d'administration Google.
Accédez à Compte > Rôles d'administrateur, puis cliquez sur Créer un rôle.
Saisissez le nom et la description (facultative) du rôle, puis cliquez sur Continuer.
Dans Droits pour la console d'administration, accédez à Services > Gestion des appareils mobiles et sélectionnez l'autorisation Gérer les appareils et les paramètres.
Dans Droits pour l'API Admin, accédez à Groupes, puis sélectionnez l'autorisation Lecture.
Cliquez sur Continuer, confirmez vos saisies, puis terminez la création du rôle.
Accédez à Assigner des comptes de service et saisissez l'adresse e-mail de l'agent de service que vous venez de créer.
Cliquez sur Ajouter > Attribuer un rôle.
Dans la Google Cloud CLI, exécutez les commandes suivantes pour attribuer le rôle d'agent de service (
policyremediator.serviceAgent
) à l'agent de service au niveau de l'organisation. Cela permet à l'agent de service de lire les stratégies Identity and Access Management et les autres stratégies d'accès de votre organisation.gcloud organizations add-iam-policy-binding 'organizations/
' \ --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \ --role='roles/policyremediator.serviceAgent' Remplacez ORGANIZATION_ID par l'ID Google Cloud de l'organisation.
Activer le correcteur de stratégies pour une ressource IAP
Accédez à la page Identity-Aware Proxy (IAP).
Accéder à IAPSélectionnez une ressource, puis cliquez sur Paramètres.
Accédez à Corriger l'accès, puis sélectionnez Générer des actions de correction.
Attribuer le rôle de responsable de la correction
Pour autoriser les utilisateurs à corriger l'accès refusé aux ressources IAP, exécutez la commande suivante dans la Google Cloud CLI :
gcloud iap web add-iam-policy-binding \ --member='PRINCIPAL' \ --role='roles/iap.remediatorUser'
Remplacez PRINCIPAL par l'identifiant du compte principal ou du membre, qui se présente généralement sous la forme suivante : PRINCIPAL_TYPE:ID
. Exemple : user:my-user@example.com
.
Pour en savoir plus, consultez gcloud IAP web add-iam-policy-binding.
Pour autoriser les utilisateurs à corriger l'accès aux ressources IAP au niveau du projet, exécutez la commande suivante dans Google Cloud CLI :
gcloud projects add-iam-policy-binding PROJECT_ID \ --member PRINCIPAL \ --role roles/iap.remediatorUser
Remplacez les éléments suivants :
- PROJECT_ID : ID du projet Google Cloud .
- PRINCIPAL : identifiant du compte principal ou du membre, qui se présente généralement sous la forme suivante :
PRINCIPAL_TYPE:ID
. Exemple :user:my-user@example.com
.
Résoudre les problèmes avec le centre d'assistance
Lorsque l'accès des utilisateurs finaux est refusé, ils sont redirigés vers une page Chrome Enterprise Premium contenant des informations de dépannage, y compris une URL de dépannage et un jeton de correction. Si les utilisateurs n'ont pas l'autorisation d'ouvrir le jeton de correction, ils peuvent le copier et l'envoyer au service d'assistance pour obtenir de l'aide supplémentaire.
Attributs de règles et messages associés
Le tableau suivant fournit la liste des attributs compatibles avec l'outil de correction des règles.
Attribut | Message par défaut |
---|---|
ip_address
|
Vous accédez à l'application depuis un réseau non autorisé par votre entreprise. |
region_code
|
Accédez à cette application depuis une région autorisée par votre entreprise. |
is_secured_with_screenlock
|
Définissez un mot de passe pour l'écran de votre appareil. Désactivez le mot de passe de l'écran sur votre appareil. |
verified_chrome_os
|
Utilisez un appareil avec [type d'OS] validé. Utilisez un appareil sans [type d'OS] validé. |
is_admin_approved_device
|
Utilisez un appareil approuvé par l'administrateur de votre organisation. Utilisez un appareil non approuvé par l'administrateur de votre organisation. |
is_corp_owned_device
|
Utilisez un appareil appartenant à votre organisation. Utilisez un appareil qui n'appartient pas à votre organisation. |
encryption_status
|
Utilisez un appareil chiffré. Utilisez un appareil non chiffré. |
os_type
|
Passez à un appareil [type d'OS]. Les appareils [type d'OS] ne peuvent pas accéder à cette application. |
os_version
|
Mettez à jour votre appareil vers une version d'OS au moins égale à [version]. Revenez à une version d'OS antérieure à [version]. |
Dépannage
L'outil de correction des règles ne peut pas générer de corrections dans les cas suivants :
- Une ressource possède des règles contradictoires, par exemple un utilisateur doit se connecter à l'aide de Windows et de macOS.
- L'attribut n'est pas compatible avec l'outil de correction des problèmes liés aux règles.
- L'agent de service n'est pas autorisé à corriger le problème.