Memperbaiki akses yang ditolak dengan Policy Remediator

Halaman ini menunjukkan cara mengaktifkan dan menggunakan Penyelesai Kebijakan Chrome Enterprise Premium.

Saat pengguna mencoba mengakses resource Google Cloud , tetapi tidak mematuhi kebijakan akses untuk resource tersebut, mereka akan ditolak aksesnya dan menerima pesan error 403 umum. Anda dapat menggunakan Policy Remediator untuk memberi pengguna langkah-langkah yang dapat ditindaklanjuti yang dapat mereka lakukan untuk memperbaiki masalah mereka sebelum menghubungi admin untuk mendapatkan bantuan tambahan. Tindakan perbaikan tertentu bergantung pada kebijakan akses, tetapi dapat mencakup hal-hal seperti mengaktifkan kunci layar, mengupdate versi sistem operasi (OS), atau mengakses aplikasi dari jaringan yang diizinkan oleh perusahaan Anda.

Mengaktifkan Policy Remediator

  1. Berikan peran roles/policyremediatormanager.policyRemediatorAdmin kepada admin organisasi Anda di tingkat organisasi dengan menjalankan perintah berikut di Google Cloud CLI:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin

    Ganti kode berikut:

    • ORGANIZATION_ID: Google Cloud ID organisasi.
    • PRINCIPAL: ID untuk akun utama, atau anggota, yang biasanya memiliki bentuk berikut: PRINCIPAL_TYPE:ID. Contohnya, user:my-user@example.com.

  2. Aktifkan Policy Remediator Manager API dengan menjalankan perintah berikut:

    gcloud services enable policyremediatormanager.googleapis.com

  3. Panggil Pengelola Policy Remediator untuk mengaktifkan Policy Remediator bagi project di organisasi, tindakan ini akan membuat agen layanan.

    curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Ganti kode berikut:

    • ORGANIZATION_ID: Google Cloud ID organisasi.
    • ACCESS_TOKEN: gunakan perintah berikut untuk membuat token akses. 
      gcloud auth print-access-token
    • PROJECT_ID: Google Cloud project ID.

    Berikut adalah contoh respons, yang berisi detail agen layanan:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

    Dengan ORGANIZATION_ID adalah Google Cloud ID organisasi.

  4. Di Google Cloud CLI, jalankan perintah berikut untuk mengakses agen layanan yang Anda buat:

    curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Ganti kode berikut:

    • ORGANIZATION_ID: Google Cloud ID organisasi.
    • ACCESS_TOKEN: gunakan perintah berikut untuk membuat token akses. 
      gcloud auth print-access-token
    • PROJECT_ID: Google Cloud project ID.

    Anda akan menerima email agen layanan dalam format berikut:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

    Dengan ORGANIZATION_ID adalah Google Cloud ID organisasi.

Menetapkan peran agen layanan di konsol Google Admin

  1. Login ke konsol Google Admin.

    Buka konsol Google Admin

  2. Buka Akun > Peran admin, lalu klik Buat peran baru.

    • Masukkan nama dan deskripsi (opsional) untuk peran, lalu klik Lanjutkan.

    • Di Hak istimewa konsol Admin, buka Layanan > Pengelolaan Perangkat dan Seluler, lalu pilih izin Mengelola Perangkat dan Setelan.

    • Di Hak istimewa Admin API, buka Grup, lalu pilih izin Baca.

    • Klik Lanjutkan, konfirmasi entri Anda, dan selesaikan pembuatan peran.

    • Buka Tetapkan Akun Layanan dan masukkan alamat email agen layanan yang baru dibuat.

    • Klik Tambahkan > Tetapkan Peran.

  3. Di Google Cloud CLI, jalankan perintah berikut untuk memberikan peran Agen Layanan (policyremediator.serviceAgent) kepada agen layanan di tingkat organisasi. Tindakan ini memberi agen layanan izin untuk membaca Identity and Access Management dan kebijakan akses lainnya untuk organisasi Anda.

    gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'

    Ganti ORGANIZATION_ID dengan Google Cloud ID organisasi.

Mengaktifkan Policy Remediator untuk resource IAP

Anda harus memiliki lisensi Chrome Enterprise Premium untuk menggunakan fitur ini.

  1. Buka halaman Identity-Aware Proxy (IAP).
    Buka IAP

  2. Pilih resource, lalu klik Setelan.

  3. Buka Perbaiki akses, lalu pilih Buat tindakan perbaikan.

Memberikan peran remediator

Untuk memberi pengguna izin guna memperbaiki akses yang ditolak ke resource IAP, jalankan perintah berikut di Google Cloud CLI:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Ganti PRINCIPAL dengan ID untuk akun utama, atau anggota, yang biasanya memiliki bentuk berikut: PRINCIPAL_TYPE:ID. Contohnya, user:my-user@example.com.

Untuk informasi tambahan, lihat gcloud iap web add-iam-policy-binding.

Untuk memberi pengguna izin guna memperbaiki akses ke resource IAP di tingkat project, jalankan perintah berikut di Google Cloud CLI:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Ganti kode berikut:

  • PROJECT_ID: Google Cloud project ID.
  • PRINCIPAL: ID untuk akun utama, atau anggota, yang biasanya memiliki bentuk berikut: PRINCIPAL_TYPE:ID. Contohnya, user:my-user@example.com.

Memperbaiki dengan Layanan Bantuan

Jika akses ditolak, pengguna akhir akan dialihkan ke halaman Chrome Enterprise Premium yang berisi informasi pemecahan masalah, termasuk URL pemecahan masalah dan token perbaikan. Jika tidak memiliki izin untuk membuka token perbaikan, pengguna dapat menyalin token perbaikan dan mengirimkannya ke Layanan Bantuan untuk bantuan tambahan.

Atribut kebijakan dan pesan terkait

Tabel berikut berisi daftar atribut yang didukung oleh Policy Remediator.

Atribut Pesan default
ip_address Anda mengakses aplikasi dari jaringan
yang tidak diizinkan oleh perusahaan Anda.
region_code Akses aplikasi ini dari wilayah
yang diizinkan oleh perusahaan Anda.
is_secured_with_screenlock Tetapkan sandi layar di perangkat Anda.
Nonaktifkan sandi layar di perangkat Anda.
verified_chrome_os Gunakan perangkat dengan [jenis OS] terverifikasi.
Menggunakan perangkat tanpa [jenis OS] terverifikasi.
is_admin_approved_device Gunakan perangkat yang disetujui oleh administrator organisasi Anda.
Menggunakan perangkat yang tidak disetujui oleh administrator organisasi Anda.
is_corp_owned_device Gunakan perangkat yang dimiliki oleh organisasi Anda.
Menggunakan perangkat yang tidak dimiliki oleh organisasi Anda.
encryption_status Menggunakan perangkat terenkripsi.
Menggunakan perangkat yang tidak dienkripsi.
os_type Beralih ke perangkat [jenis OS]. Perangkat
[jenis OS] tidak dapat mengakses aplikasi ini.
os_version Update ke versi OS minimal [versi].
Downgrade OS Anda ke versi yang lebih rendah dari [version].

Pemecahan masalah

Policy Remediator tidak dapat membuat perbaikan jika salah satu hal berikut terjadi:

  • Resource memiliki kebijakan yang bertentangan, seperti pengguna harus terhubung menggunakan Windows dan macOS.
  • Atribut ini tidak didukung oleh Policy Remediator.
  • Agen layanan tidak memiliki izin untuk melakukan perbaikan.