Memperbaiki akses yang ditolak dengan Remediator Kebijakan

Halaman ini menunjukkan cara mengaktifkan dan menggunakan BeyondCorp Enterprise Policy Remediator.

Saat pengguna mencoba mengakses resource Google Cloud, tetapi tidak mematuhi kebijakan akses untuk resource, mereka akan ditolak aksesnya dan menerima pesan error 403 umum. Anda dapat menggunakan Policy Remediator untuk memberi pengguna langkah-langkah yang dapat ditindaklanjuti yang dapat mereka lakukan untuk memperbaiki masalah sebelum menghubungi admin untuk mendapatkan bantuan tambahan. Tindakan perbaikan yang spesifik bergantung pada kebijakan akses, tetapi dapat mencakup hal-hal seperti mengaktifkan kunci layar, mengupdate versi sistem operasi (OS), atau mengakses aplikasi dari jaringan yang diizinkan oleh perusahaan Anda.

Aktifkan Perbaikan Kebijakan

  1. Beri admin organisasi Anda peran roles/policyremediatormanager.policyRemediatorAdmin di tingkat organisasi dengan menjalankan perintah berikut di Google Cloud CLI:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi Google Cloud.
    • PRINCIPAL: ID untuk akun utama, atau anggota, yang biasanya memiliki bentuk berikut: PRINCIPAL_TYPE:ID. Contohnya, user:my-user@example.com.

  2. Aktifkan Policy Remediator Manager API dengan menjalankan perintah berikut:

    gcloud services enable policyremediatormanager.googleapis.com

  3. Panggil Pengelola Remediator Kebijakan guna mengaktifkan Remediator Kebijakan untuk project di organisasi, tindakan ini akan membuat agen layanan.

    curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi Google Cloud.
    • ACCESS_TOKEN: gunakan perintah berikut untuk membuat token akses. 
      gcloud auth print-access-token
    • PROJECT_ID: ID project Google Cloud.

    Berikut adalah contoh respons, yang berisi detail agen layanan:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

    Dengan ORGANIZATION_ID adalah ID organisasi Google Cloud.

  4. Di Google Cloud CLI, jalankan perintah berikut untuk mengakses agen layanan yang Anda buat:

    curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi Google Cloud.
    • ACCESS_TOKEN: gunakan perintah berikut untuk membuat token akses. 
      gcloud auth print-access-token
    • PROJECT_ID: ID project Google Cloud.

    Anda akan menerima email agen layanan dalam format berikut:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

    Dengan ORGANIZATION_ID sebagai ID organisasi Google Cloud.

Menetapkan peran agen layanan di konsol Google Admin

  1. Login ke konsol Google Admin.

    Buka konsol Google Admin

  2. Buka Akun > Peran admin, lalu klik Buat peran baru.

    • Masukkan nama dan deskripsi (opsional) untuk peran tersebut, lalu klik Lanjutkan.

    • Di Hak istimewa konsol Admin, buka Services > Mobile and Device Management, lalu pilih izin Manages Devices and Settings.

    • Di Hak istimewa Admin API, buka Grup, lalu pilih izin Baca.

    • Klik Lanjutkan, konfirmasi entri Anda, dan selesaikan pembuatan peran.

    • Buka Tetapkan Akun Layanan, lalu masukkan alamat email agen layanan yang baru dibuat.

    • Klik Tambahkan > Tetapkan Peran.

  3. Di Google Cloud CLI, jalankan perintah berikut untuk memberikan peran Agen Layanan (policyremediator.serviceAgent) kepada agen layanan di tingkat organisasi. Tindakan ini akan memberikan izin kepada agen layanan untuk membaca Identity and Access Management dan kebijakan akses lainnya untuk organisasi Anda.

    gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'

    Ganti ORGANIZATION_ID dengan ID organisasi Google Cloud.

Mengaktifkan Remediator Kebijakan untuk resource IAP

Anda harus memiliki lisensi BeyondCorp Enterprise untuk menggunakan fitur ini.

  1. Buka halaman Identity-Aware Proxy (IAP).
    Buka IAP

  2. Pilih fasilitas, lalu klik Setelan.

  3. Buka Perbaiki akses, lalu pilih Buat tindakan perbaikan.

Memberikan peran perbaikan

Guna memberi pengguna izin untuk memperbaiki masalah akses yang ditolak ke resource IAP, jalankan perintah berikut di Google Cloud CLI:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Ganti PRINCIPAL dengan ID untuk akun utama, atau anggota, yang biasanya memiliki bentuk berikut: PRINCIPAL_TYPE:ID. Contohnya, user:my-user@example.com.

Untuk mengetahui informasi tambahan, lihat gcloud iap web add-iam-policy-binding.

Untuk memberi pengguna izin guna memulihkan akses ke resource IAP pada level project, jalankan perintah berikut di Google Cloud CLI:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • PRINCIPAL: ID untuk akun utama, atau anggota, yang biasanya memiliki bentuk berikut: PRINCIPAL_TYPE:ID. Contohnya, user:my-user@example.com.

Perbaiki masalah dengan Layanan Bantuan

Jika akses pengguna akhir ditolak, mereka akan dialihkan ke halaman BeyondCorp Enterprise yang berisi informasi pemecahan masalah, termasuk URL pemecahan masalah dan token perbaikan. Jika tidak memiliki izin untuk membuka token perbaikan, pengguna dapat menyalin token perbaikan dan mengirimkannya ke Layanan Bantuan untuk mendapatkan bantuan tambahan.

Atribut kebijakan dan pesan terkait

Tabel berikut menyediakan daftar atribut yang didukung oleh Perbaikan Kebijakan.

Atribut Pesan default
ip_address Anda mengakses aplikasi dari jaringan
yang tidak diizinkan oleh perusahaan Anda.
region_code Akses aplikasi ini dari region
yang diizinkan oleh perusahaan Anda.
is_secured_with_screenlock Siapkan sandi layar di perangkat Anda.
Menonaktifkan sandi layar di perangkat.
verified_chrome_os Gunakan perangkat dengan [jenis OS] terverifikasi.
Gunakan perangkat tanpa [jenis OS] yang terverifikasi.
is_admin_approved_device Gunakan perangkat yang disetujui oleh administrator organisasi Anda.
Menggunakan perangkat yang tidak disetujui oleh administrator organisasi.
is_corp_owned_device Gunakan perangkat milik organisasi Anda.
Gunakan perangkat yang bukan milik organisasi Anda.
encryption_status Gunakan perangkat terenkripsi.
Gunakan perangkat yang tidak dienkripsi.
os_type Beralihlah ke perangkat [jenis OS].
Perangkat [jenis OS] tidak dapat mengakses aplikasi ini.
os_version Update ke versi OS minimal [version].
Downgrade OS Anda ke versi yang lebih rendah dari [version].

Pemecahan masalah

Perbaikan Kebijakan tidak dapat membuat perbaikan jika salah satu dari hal berikut terjadi:

  • Resource memiliki kebijakan yang bertentangan, misalnya pengguna harus terhubung menggunakan Windows dan macOS.
  • Atribut ini tidak didukung oleh Perbaikan Kebijakan.
  • Agen layanan tidak memiliki izin untuk memperbaiki.