Cette page vous explique comment activer et utiliser le correcteur de règles Chrome Enterprise Premium.
Lorsque les utilisateurs tentent d'accéder à une ressource Google Cloud , mais qu'ils ne respectent pas la stratégie d'accès de la ressource, leur accès est refusé et ils reçoivent un message d'erreur général 403. Vous pouvez utiliser le résolveur de problèmes de stratégie pour indiquer aux utilisateurs les mesures à prendre pour résoudre leur problème avant de contacter un administrateur pour obtenir de l'aide supplémentaire. Les actions de correction spécifiques dépendent des règles d'accès, mais peuvent inclure l'activation du verrouillage de l'écran, la mise à jour de la version du système d'exploitation ou l'accès à une application à partir d'un réseau autorisé par votre entreprise.
Activer le correcteur de stratégies
Attribuez le rôle
roles/policyremediatormanager.policyRemediatorAdmin
à l'administrateur de votre organisation au niveau de l'organisation en exécutant les commandes suivantes dans Google Cloud CLI:gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \ --member PRINCIPAL \ --role roles/policyremediatormanager.policyRemediatorAdmin
Remplacez les éléments suivants :
- ORGANIZATION_ID: Google Cloud ID de l'organisation.
- PRINCIPAL: identifiant du compte principal ou membre, se présentant généralement sous la forme suivante:
PRINCIPAL_TYPE:ID
. Exemple :user:my-user@example.com
.
Activez l'API Policy Remediator Manager en exécutant la commande suivante:
gcloud services enable policyremediatormanager.googleapis.com
Appelez le Gestionnaire du correcteur de règles pour activer le correcteur de règles pour les projets d'une organisation. Un agent de service est alors créé.
curl -X POST \ "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable" \ --header 'Authorization: Bearer ACCESS_TOKEN' \ --header 'X-Goog-User-Project:PROJECT_ID'
Remplacez les éléments suivants :
- ORGANIZATION_ID: Google Cloud ID de l'organisation.
- ACCESS_TOKEN: utilisez la commande suivante pour générer le jeton d'accès.
gcloud auth print-access-token
- PROJECT_ID: ID Google Cloud du projet.
Voici un exemple de réponse contenant les informations sur l'agent de service:
{ "name": "organizations/ORGANIZATION_ID/locations/global/operations/
", "metadata": { "@type": "type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph a.OperationMetadata", "createTime": " ", "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService", "verb": "update", "requestedCancellation": false, "apiVersion": "v1alpha" }, "done": false } où ORGANIZATION_ID est l' Google Cloud ID de l'organisation.
Dans la Google Cloud CLI, exécutez la commande suivante pour accéder à l'agent de service que vous avez créé:
curl -X GET \ "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \ --header 'Authorization: Bearer ACCESS_TOKEN' \ --header 'X-Goog-User-Project:PROJECT_ID'
Remplacez les éléments suivants :
- ORGANIZATION_ID: Google Cloud ID de l'organisation.
- ACCESS_TOKEN: utilisez la commande suivante pour générer le jeton d'accès.
gcloud auth print-access-token
- PROJECT_ID: ID Google Cloud du projet.
Vous devriez recevoir l'e-mail de l'agent de service au format suivant:
{ "name": "organizations/ORGANIZATION_ID/locations/global/remediatorService", "state": "ENABLED", "serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com" }
où ORGANIZATION_ID est l' Google Cloud ID de l'organisation.
Attribuer le rôle d'agent de service dans la console d'administration Google
Connectez-vous à la console d'administration Google.
Accédez à Compte > Rôles d'administrateur, puis cliquez sur Créer un rôle.
Saisissez un nom et une description (facultatif) pour le rôle, puis cliquez sur Continuer.
Dans Droits pour la console d'administration, accédez à Services > Gestion des appareils mobiles et des appareils, puis sélectionnez l'autorisation Gère les appareils et les paramètres.
Dans Droits pour l'API Admin, accédez à Groupes, puis sélectionnez l'autorisation Read (Lire).
Cliquez sur Continuer, confirmez vos entrées, puis terminez de créer le rôle.
Accédez à Attribuer des comptes de service et saisissez l'adresse e-mail de l'agent de service nouvellement créé.
Cliquez sur Ajouter > Attribuer un rôle.
Dans la Google Cloud CLI, exécutez les commandes suivantes pour attribuer le rôle Agent de service (
policyremediator.serviceAgent
) à l'agent de service au niveau de l'organisation. Cela permet à l'agent de service de lire les règles Identity and Access Management et d'autres règles d'accès de votre organisation.gcloud organizations add-iam-policy-binding 'organizations/
' \ --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \ --role='roles/policyremediator.serviceAgent' Remplacez ORGANIZATION_ID par l' Google Cloud ID de l'organisation.
Activer le correcteur de stratégie pour une ressource IAP
Vous devez disposer d'une licence Chrome Enterprise Premium pour utiliser cette fonctionnalité.
Accédez à la page "Identity-Aware Proxy" (IAP).
Accéder à IAPSélectionnez une ressource, puis cliquez sur Paramètres.
Accédez à Corriger l'accès, puis sélectionnez Générer des actions de correction.
Attribuer le rôle de réparateur
Pour autoriser les utilisateurs à corriger l'accès refusé aux ressources IAP, exécutez la commande suivante dans la Google Cloud CLI:
gcloud iap web add-iam-policy-binding \ --member='PRINCIPAL' \ --role='roles/iap.remediatorUser'
Remplacez PRINCIPAL par l'identifiant du compte principal, qui se présente généralement sous la forme suivante: PRINCIPAL_TYPE:ID
. Exemple : user:my-user@example.com
.
Pour en savoir plus, consultez gcloud iap web add-iam-policy-binding.
Pour autoriser les utilisateurs à corriger l'accès aux ressources IAP au niveau d'un projet, exécutez la commande suivante dans la Google Cloud CLI:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member PRINCIPAL \ --role roles/iap.remediatorUser
Remplacez les éléments suivants :
- PROJECT_ID: ID Google Cloud du projet.
- PRINCIPAL: identifiant du compte principal ou membre, se présentant généralement sous la forme suivante:
PRINCIPAL_TYPE:ID
. Exemple :user:my-user@example.com
.
Résoudre le problème avec le centre d'assistance
Lorsque l'accès est refusé aux utilisateurs finaux, ils sont redirigés vers une page Chrome Enterprise Premium contenant des informations de dépannage, y compris une URL de dépannage et un jeton de correction. Si les utilisateurs ne sont pas autorisés à ouvrir le jeton de résolution, ils peuvent le copier et l'envoyer au centre d'assistance pour obtenir de l'aide supplémentaire.
Attributs de règles et messages associés
Le tableau suivant liste les attributs compatibles avec le correcteur de non-conformité.
Attribut | Message par défaut |
---|---|
ip_address
|
Vous accédez à l'application à partir d'un réseau non autorisé par votre entreprise. |
region_code
|
Accédez à cette application depuis une région autorisée par votre entreprise. |
is_secured_with_screenlock
|
Définissez un mot de passe pour l'écran de votre appareil. Désactivez le mot de passe de l'écran de votre appareil. |
verified_chrome_os
|
Utiliser un appareil avec un [type d'OS] validé Utiliser un appareil sans [type d'OS] validé |
is_admin_approved_device
|
Utilisez un appareil approuvé par l'administrateur de votre organisation. Utiliser un appareil non approuvé par l'administrateur de votre organisation |
is_corp_owned_device
|
Utilisez un appareil appartenant à votre organisation. Utilisez un appareil qui n'appartient pas à votre organisation. |
encryption_status
|
Utiliser un appareil chiffré Utiliser un appareil non chiffré. |
os_type
|
Passez à un appareil [type d'OS]. Les appareils [type d'OS] ne peuvent pas accéder à cette application. |
os_version
|
Mettez à jour vers une version d'OS d'au moins [version]. Revenez à une version d'OS antérieure à [version]. |
Dépannage
Le correcteur de règles ne peut pas générer de correctifs lorsque l'un des événements suivants se produit:
- Une ressource comporte des règles contradictoires, par exemple un utilisateur doit se connecter à l'aide de Windows et de macOS.
- L'attribut n'est pas compatible avec le correcteur de stratégie.
- L'agent de service n'est pas autorisé à résoudre le problème.