Memperbaiki akses yang ditolak dengan Policy Remediator

Halaman ini menunjukkan cara mengaktifkan dan menggunakan Policy Remediator.

Saat pengguna mencoba mengakses resource Google Cloud tetapi tidak mematuhi kebijakan akses untuk resource tersebut, mereka akan ditolak aksesnya dan menerima pesan error 403 umum. Anda dapat menggunakan Policy Remediator untuk memberikan langkah-langkah yang dapat dilakukan pengguna untuk menyelesaikan masalah mereka sebelum menghubungi administrator untuk mendapatkan bantuan tambahan. Tindakan perbaikan khusus bergantung pada kebijakan akses, tetapi dapat mencakup hal-hal seperti mengaktifkan kunci layar, mengupdate versi sistem operasi (OS), atau mengakses aplikasi dari jaringan yang diizinkan oleh perusahaan Anda.

Mengaktifkan Perbaikan Kebijakan

  1. Beri administrator organisasi Anda peran roles/policyremediatormanager.policyRemediatorAdmin di tingkat organisasi dengan menjalankan perintah berikut di Google Cloud CLI:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
        --member PRINCIPAL \
        --role roles/policyremediatormanager.policyRemediatorAdmin
    

    Ganti kode berikut:

    • ORGANIZATION_ID: Google Cloud ID organisasi.
    • PRINCIPAL: ID untuk akun utama, atau anggota, yang biasanya memiliki bentuk berikut: PRINCIPAL_TYPE:ID. Contohnya, user:my-user@example.com.
  2. Aktifkan Policy Remediator Manager API dengan menjalankan perintah berikut:

    gcloud services enable policyremediatormanager.googleapis.com
    
  3. Panggil Policy Remediator Manager untuk mengaktifkan Policy Remediator bagi project dalam organisasi. Tindakan ini akan membuat agen layanan.

    curl -X POST \
    "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
    --header 'Authorization: Bearer ACCESS_TOKEN' \
    --header 'X-Goog-User-Project:PROJECT_ID'
    

    Ganti kode berikut:

    • ORGANIZATION_ID: Google Cloud ID organisasi.
    • ACCESS_TOKEN: gunakan perintah berikut untuk membuat token akses.
      gcloud auth print-access-token
      
    • PROJECT_ID: Google Cloud project ID.

    Berikut adalah contoh respons, yang berisi detail agen layanan:

    {
    "name": "organizations/ORGANIZATION_ID/locations/global/operations/",
    "metadata": {
      "@type":
    "type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
    a.OperationMetadata",
       "createTime": "",
       "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
       "verb": "update",
       "requestedCancellation": false,
       "apiVersion": "v1alpha"
     },
     "done": false
    }
    

    Dengan ORGANIZATION_ID sebagai ID organisasi Google Cloud .

  4. Di Google Cloud CLI, jalankan perintah berikut untuk mengakses agen layanan yang Anda buat:

    curl -X GET \
    "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
    --header 'Authorization: Bearer ACCESS_TOKEN' \
    --header 'X-Goog-User-Project:PROJECT_ID'
    

    Ganti kode berikut:

    • ORGANIZATION_ID: Google Cloud ID organisasi.
    • ACCESS_TOKEN: gunakan perintah berikut untuk membuat token akses.
      gcloud auth print-access-token
      
    • PROJECT_ID: Google Cloud project ID.

    Anda akan menerima email agen layanan dalam format berikut:

    {
    "name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
    "state": "ENABLED",
    "serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator."
    }
    

    Dengan ORGANIZATION_ID sebagai ID organisasi Google Cloud .

Menetapkan peran agen layanan di konsol Google Admin

  1. Login ke konsol Google Admin.

    Buka konsol Google Admin

  2. Buka Akun > Peran admin, lalu klik Buat peran baru.

    • Masukkan nama dan deskripsi (opsional) untuk peran, lalu klik Lanjutkan.

    • Di Hak istimewa konsol Admin, buka Layanan > Pengelolaan Perangkat dan Seluler lalu pilih izin Mengelola Perangkat dan Setelan.

    • Di Hak istimewa Admin API, buka Grup, lalu pilih izin Baca.

    • Klik Lanjutkan, konfirmasi entri Anda, dan selesaikan pembuatan peran.

    • Buka Tetapkan Akun Layanan dan masukkan alamat email agen layanan yang baru dibuat.

    • Klik Tambahkan > Tetapkan Peran.

  3. Di Google Cloud CLI, jalankan perintah berikut untuk memberikan peran Agen Layanan (policyremediator.serviceAgent) kepada agen layanan di tingkat organisasi. Tindakan ini memberikan izin kepada agen layanan untuk membaca Identity and Access Management dan kebijakan akses lainnya untuk organisasi Anda.

    gcloud organizations add-iam-policy-binding 'organizations/' \
       --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.' \
       --role='roles/policyremediator.serviceAgent'
    

    Ganti ORGANIZATION_ID dengan Google Cloud ID organisasi.

Mengaktifkan Perbaikan Kebijakan untuk resource IAP

  1. Buka halaman Identity-Aware Proxy (IAP).
    Buka IAP

  2. Pilih aset, lalu klik Setelan.

  3. Buka Perbaiki akses, lalu pilih Buat tindakan perbaikan.

Memberikan peran perbaikan

Untuk memberi pengguna izin untuk memperbaiki akses yang ditolak ke resource IAP, jalankan perintah berikut di Google Cloud CLI:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Ganti PRINCIPAL dengan ID untuk akun utama, atau anggota, yang biasanya memiliki bentuk berikut: PRINCIPAL_TYPE:ID. Contohnya, user:my-user@example.com.

Untuk informasi tambahan, lihat gcloud IAP web add-iam-policy-binding.

Untuk memberi pengguna izin untuk memulihkan akses ke resource IAP di tingkat project, jalankan perintah berikut di Google Cloud CLI:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Ganti kode berikut:

  • PROJECT_ID: Google Cloud project ID.
  • PRINCIPAL: ID untuk akun utama, atau anggota, yang biasanya memiliki bentuk berikut: PRINCIPAL_TYPE:ID. Contohnya, user:my-user@example.com.

Memperbaiki dengan Layanan Bantuan

Jika pengguna akhir ditolak aksesnya, mereka akan dialihkan ke halaman Chrome Enterprise Premium yang berisi informasi pemecahan masalah, termasuk URL pemecahan masalah dan token perbaikan. Jika pengguna tidak memiliki izin untuk membuka token perbaikan, mereka dapat menyalin token perbaikan dan mengirimkannya ke Help Desk untuk mendapatkan bantuan tambahan.

Atribut kebijakan dan pesan terkait

Tabel berikut berisi daftar atribut yang didukung oleh Policy Remediator.

Atribut Pesan default
ip_address Anda mengakses aplikasi dari jaringan
yang tidak diizinkan oleh perusahaan Anda.
region_code Akses aplikasi ini dari wilayah
yang diizinkan oleh perusahaan Anda.
is_secured_with_screenlock Siapkan sandi layar di perangkat Anda.
Nonaktifkan sandi layar di perangkat Anda.
verified_chrome_os Gunakan perangkat dengan [Jenis OS] terverifikasi.
Menggunakan perangkat tanpa [jenis OS] terverifikasi.
is_admin_approved_device Gunakan perangkat yang disetujui oleh administrator organisasi Anda.
Menggunakan perangkat yang tidak disetujui oleh administrator organisasi Anda.
is_corp_owned_device Gunakan perangkat yang dimiliki oleh organisasi Anda.
Menggunakan perangkat yang tidak dimiliki oleh organisasi Anda.
encryption_status Gunakan perangkat terenkripsi.
Menggunakan perangkat yang tidak dienkripsi.
os_type Beralih ke perangkat [Jenis OS].
Perangkat [jenis OS] tidak dapat mengakses aplikasi ini.
os_version Update ke versi OS minimal [versi].
Downgrade OS Anda ke versi yang lebih rendah dari [versi].

Pemecahan masalah

Policy Remediator tidak dapat membuat perbaikan jika salah satu hal berikut terjadi:

  • Resource memiliki kebijakan yang bertentangan, seperti pengguna harus terhubung menggunakan Windows dan macOS.
  • Atribut tidak didukung oleh Perbaikan Kebijakan.
  • Agen layanan tidak memiliki izin untuk melakukan perbaikan.