Corriger l'accès refusé avec le correcteur de stratégies

Cette page vous explique comment activer et utiliser le correcteur de règles Chrome Enterprise Premium.

Lorsque des utilisateurs tentent d'accéder à une ressource Google Cloud, mais qu'ils ne sont pas conformes à la stratégie d'accès associée, l'accès leur est refusé et ils reçoivent un message d'erreur général 403. Vous pouvez utiliser le correcteur de stratégie pour fournir aux utilisateurs des mesures concrètes à prendre pour résoudre leur problème avant de contacter un administrateur pour obtenir de l'aide. Les mesures correctives spécifiques dépendent des règles d'accès, mais peuvent inclure des éléments tels que l'activation du verrouillage de l'écran, la mise à jour de la version du système d'exploitation ou l'accès à une application depuis un réseau autorisé par votre entreprise.

Activer le correcteur de stratégies

1. Attribuez à l'administrateur de votre organisation le rôle roles/policyremediatormanager.policyRemediatorAdmin au niveau de l'organisation en exécutant les commandes suivantes dans la Google Cloud CLI:

   gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
       --member PRINCIPAL \
       --role roles/policyremediatormanager.policyRemediatorAdmin
   

   Remplacez les éléments suivants :

   • ORGANIZATION_ID: ID de l'organisation Google Cloud.
   • PRINCIPAL: identifiant du compte principal, ou membre, qui se présente généralement sous la forme suivante: PRINCIPAL_TYPE:ID. Exemple : user:my-user@example.com.

2. Activez l'API Policy Remediator Manager en exécutant la commande suivante:

   gcloud services enable policyremediatormanager.googleapis.com
   

3. Appelez le gestionnaire du correcteur de stratégies pour activer le correcteur de stratégies pour les projets d'une organisation, ce qui crée un agent de service.

   curl -X POST \
   "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
   --header 'Authorization: Bearer ACCESS_TOKEN' \
   --header 'X-Goog-User-Project:PROJECT_ID'
   

   Remplacez les éléments suivants :

   • ORGANIZATION_ID: ID de l'organisation Google Cloud.
   • ACCESS_TOKEN: utilisez la commande suivante pour générer le jeton d'accès.

     gcloud auth print-access-token
     

   • PROJECT_ID : ID de projet Google Cloud.

   Voici un exemple de réponse contenant les détails de l'agent de service:

   {
   "name": "organizations/ORGANIZATION_ID/locations/global/operations/",
   "metadata": {
     "@type":
   "type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
   a.OperationMetadata",
      "createTime": "",
      "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
      "verb": "update",
      "requestedCancellation": false,
      "apiVersion": "v1alpha"
    },
    "done": false
   }
   

   Où ORGANIZATION_ID correspond à l'ID de l'organisation Google Cloud.

4. Dans la Google Cloud CLI, exécutez la commande suivante pour accéder à l'agent de service que vous avez créé:

   curl -X GET \
   "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
   --header 'Authorization: Bearer ACCESS_TOKEN' \
   --header 'X-Goog-User-Project:PROJECT_ID'
   

   Remplacez les éléments suivants :

   • ORGANIZATION_ID: ID de l'organisation Google Cloud.
   • ACCESS_TOKEN: utilisez la commande suivante pour générer le jeton d'accès.

     gcloud auth print-access-token
     

   • PROJECT_ID : ID de projet Google Cloud.

   Vous devriez recevoir l'e-mail de l'agent de service au format suivant:

   {
   "name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "state": "ENABLED",
   "serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
   }
   

   Où ORGANIZATION_ID correspond à l'ID de l'organisation Google Cloud.

Attribuer le rôle d'agent de service dans la console d'administration Google

1. Connectez-vous à la console d'administration Google.

   Accéder à la console d'administration Google

2. Accédez à Compte > Rôles d'administrateur, puis cliquez sur Créer un rôle.

   • Saisissez le nom et la description (facultatif) du rôle, puis cliquez sur Continuer.

   • Dans Droits relatifs à la console d'administration, accédez à Services > Gestion des appareils mobiles et des appareils, puis sélectionnez l'autorisation Gérer les appareils et les paramètres.

   • Dans Droits pour l'API Admin, accédez à Groupes, puis sélectionnez l'autorisation Lire.

   • Cliquez sur Continuer, confirmez vos entrées et finalisez la création du rôle.

   • Accédez à Attribuer des comptes de service, puis saisissez l'adresse e-mail de l'agent de service que vous venez de créer.

   • Cliquez sur Ajouter > Attribuer un rôle.

3. Dans la Google Cloud CLI, exécutez les commandes suivantes pour attribuer le rôle d'agent de service (policyremediator.serviceAgent) à l'agent de service au niveau de l'organisation. Cela permet à l'agent de service de lire Identity and Access Management et d'autres règles d'accès de votre organisation.

   gcloud organizations add-iam-policy-binding 'organizations/' \
      --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
      --role='roles/policyremediator.serviceAgent'
   

   Remplacez ORGANIZATION_ID par l'ID de l'organisation Google Cloud.

Activer le correcteur de stratégies pour une ressource IAP

Vous devez disposer d'une licence Chrome Enterprise Premium pour utiliser cette fonctionnalité.

1. Accédez à la page Identity-Aware Proxy (IAP).
   Accéder à IAP

2. Sélectionnez une ressource, puis cliquez sur Paramètres.

3. Accédez à Corriger l'accès, puis sélectionnez Générer des actions de résolution.

Attribuer le rôle de correcteur

Pour autoriser les utilisateurs à remédier au refus d'accès aux ressources IAP, exécutez la commande suivante dans la Google Cloud CLI:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Remplacez PRINCIPAL par l'identifiant du compte principal ou membre, qui se présente généralement sous la forme suivante: PRINCIPAL_TYPE:ID. Exemple : user:my-user@example.com.

Pour en savoir plus, consultez la section gcloud iap web add-iam-policy-binding.

Pour autoriser les utilisateurs à corriger l'accès aux ressources IAP au niveau du projet, exécutez la commande suivante dans la Google Cloud CLI:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Remplacez les éléments suivants :

• PROJECT_ID : ID de projet Google Cloud.
• PRINCIPAL: identifiant du compte principal, ou membre, qui se présente généralement sous la forme suivante: PRINCIPAL_TYPE:ID. Exemple : user:my-user@example.com.

Résoudre les problèmes à l'aide du centre d'assistance

Lorsque les utilisateurs finaux se voient refuser l'accès, ils sont redirigés vers une page Chrome Enterprise Premium contenant des informations de dépannage, y compris une URL de dépannage et un jeton de résolution. Si les utilisateurs ne sont pas autorisés à ouvrir le jeton de correction, ils peuvent le copier et l'envoyer au centre d'assistance pour obtenir de l'aide.

Attributs de stratégie et messages associés

Le tableau suivant fournit la liste des attributs compatibles avec le correcteur de stratégies.

Attribut	Message par défaut
ip_address	Vous accédez à l'application à partir d'un réseau non autorisé par votre entreprise.
region_code	Accédez à cette application depuis une région autorisée par votre entreprise.
is_secured_with_screenlock	Définissez un mot de passe pour l'écran de votre appareil. Désactivez le mot de passe de l'écran sur votre appareil.
verified_chrome_os	Utilisez un appareil dont le [type d'OS] a été validé. Utilisez un appareil non validé [type d'OS].
is_admin_approved_device	Utilisez un appareil approuvé par l'administrateur de votre organisation. Utilisez un appareil non approuvé par l'administrateur de votre organisation.
is_corp_owned_device	utiliser un appareil appartenant à votre organisation ; Utilisez un appareil qui n'appartient pas à votre organisation.
encryption_status	Utilisez un appareil chiffré. Utilisez un appareil non chiffré.
os_type	Passez à un appareil de [type d'OS]. Les appareils [type d'OS] ne peuvent pas accéder à cette application.
os_version	Effectuez la mise à jour vers une version de l'OS supérieure ou égale à [version]. Vous devez revenir à une version d'OS antérieure à [version].

Dépannage

Le correcteur de stratégies ne peut pas générer de corrections dans les cas suivants:

• Une ressource comporte des règles en conflit (par exemple, un utilisateur doit se connecter à l'aide de Windows et macOS).
• L'attribut n'est pas compatible avec le correcteur de règles.
• L'agent de service n'est pas autorisé à corriger.