Risolvere i problemi di accesso negato con Policy Remediator

Questa pagina mostra come attivare e utilizzare Policy Remediator.

Quando gli utenti tentano di accedere a una risorsa Google Cloud , ma non rispettano i criteri di accesso per la risorsa, l'accesso viene negato e viene visualizzato un messaggio di errore 403 generico. Puoi utilizzare Policy Remediator per fornire agli utenti passaggi pratici che possono seguire per risolvere il problema prima di contattare un amministratore per ulteriore assistenza. Le azioni correttive specifiche dipendono dalle norme di accesso, ma possono includere operazioni come l'attivazione del blocco schermo, l'aggiornamento della versione del sistema operativo o l'accesso a un'app da una rete consentita dalla tua azienda.

Abilita Policy Remediator

  1. Concedi all'amministratore dell'organizzazione il ruolo roles/policyremediatormanager.policyRemediatorAdmin a livello di organizzazione eseguendo i seguenti comandi in Google Cloud CLI:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l' Google Cloud ID organizzazione.
    • PRINCIPAL: l'identificatore dell'entità o del membro, che di solito ha il seguente formato: PRINCIPAL_TYPE:ID. Ad esempio user:my-user@example.com.

  2. Abilita l'API Policy Remediation Manager eseguendo il seguente comando:

    gcloud services enable policyremediatormanager.googleapis.com

  3. Chiama Policy Remediator Manager per attivare Policy Remediator per i progetti di un'organizzazione. In questo modo viene creato un service agent.

    curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l' Google Cloud ID organizzazione.
    • ACCESS_TOKEN: utilizza il seguente comando per generare il token di accesso. 
      gcloud auth print-access-token
    • PROJECT_ID: l' Google Cloud ID progetto.

    Di seguito è riportato un esempio di risposta, che contiene i dettagli dell'agente di servizio:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

    Dove ORGANIZATION_ID è l' Google Cloud ID organizzazione.

  4. In Google Cloud CLI, esegui questo comando per accedere al service agent che hai creato:

    curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l' Google Cloud ID organizzazione.
    • ACCESS_TOKEN: utilizza il seguente comando per generare il token di accesso. 
      gcloud auth print-access-token
    • PROJECT_ID: l' Google Cloud ID progetto.

    Dovresti ricevere l'email dell'agente di servizio nel seguente formato:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

    Dove ORGANIZATION_ID è l' Google Cloud ID organizzazione.

Assegnare il ruolo di agente di servizio nella Console di amministrazione Google

  1. Accedi alla Console di amministrazione Google.

    Vai alla Console di amministrazione Google

  2. Vai ad Account > Ruoli amministratore e fai clic su Crea nuovo ruolo.

    • Inserisci un nome e una descrizione (facoltativa) per il ruolo, quindi fai clic su Continua.

    • In Privilegi della Console di amministrazione, vai a Servizi > Gestione di dispositivi mobili e dispositivi e seleziona l'autorizzazione Gestisce dispositivi e impostazioni.

    • In Privilegi delle API amministrative, vai a Gruppi e seleziona l'autorizzazione Lettura.

    • Fai clic su Continua, conferma le voci e completa la creazione del ruolo.

    • Vai ad Assegna service account e inserisci l'indirizzo email dell'agente di servizio appena creato.

    • Fai clic su Aggiungi > Assegna ruolo.

  3. In Google Cloud CLI, esegui questi comandi per concedere il ruolo Agente di servizio (policyremediator.serviceAgent) all'agente di servizio a livello di organizzazione. In questo modo, l'agente di servizio ha l'autorizzazione per leggere Identity and Access Management e altre policy di accesso per la tua organizzazione.

    gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'

    Sostituisci ORGANIZATION_ID con l' Google Cloud ID organizzazione.

Abilitare Policy Remediator per una risorsa IAP

  1. Vai alla pagina Identity-Aware Proxy (IAP).
    Vai a IAP

  2. Seleziona una risorsa, quindi fai clic su Impostazioni.

  3. Vai a Correggi accesso e seleziona Genera azioni di correzione.

Concedere il ruolo di correttore

Per concedere agli utenti l'autorizzazione a correggere l'accesso negato alle risorse IAP, esegui questo comando nella Google Cloud CLI:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Sostituisci PRINCIPAL con un identificatore per l'entità o il membro, che di solito ha il seguente formato: PRINCIPAL_TYPE:ID. Ad esempio user:my-user@example.com.

Per ulteriori informazioni, consulta gcloud IAP web add-iam-policy-binding.

Per concedere agli utenti l'autorizzazione a correggere l'accesso alle risorse IAP a livello di progetto, esegui il seguente comando nella Google Cloud CLI:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Sostituisci quanto segue:

  • PROJECT_ID: l' Google Cloud ID progetto.
  • PRINCIPAL: l'identificatore dell'entità o del membro, che di solito ha il seguente formato: PRINCIPAL_TYPE:ID. Ad esempio user:my-user@example.com.

Risolvere il problema con l'help desk

Quando agli utenti finali viene negato l'accesso, vengono reindirizzati a una pagina di Chrome Enterprise Premium che contiene informazioni per la risoluzione dei problemi, tra cui un URL per la risoluzione dei problemi e un token di correzione. Se gli utenti non dispongono dell'autorizzazione per aprire il token di correzione, possono copiarlo e inviarlo all'Help Desk per ulteriore assistenza.

Attributi delle norme e messaggi associati

La tabella seguente fornisce l'elenco degli attributi supportati da Policy Remediator.

Attributo Messaggio predefinito
ip_address Stai accedendo all'app da una rete
non consentita dalla tua azienda.
region_code Accedi a questa app da una regione
consentita dalla tua azienda.
is_secured_with_screenlock Imposta una password di blocco dello schermo sul tuo dispositivo.
Disattiva la password di blocco dello schermo sul tuo dispositivo.
verified_chrome_os Utilizza un dispositivo con [tipo di sistema operativo] verificato.
Utilizza un dispositivo senza [tipo di sistema operativo] verificato.
is_admin_approved_device Utilizza un dispositivo approvato dall'amministratore della tua organizzazione.
Utilizza un dispositivo non approvato dall'amministratore della tua organizzazione.
is_corp_owned_device Utilizza un dispositivo di proprietà della tua organizzazione.
Utilizza un dispositivo non di proprietà della tua organizzazione.
encryption_status Utilizza un dispositivo criptato.
Utilizza un dispositivo non criptato.
os_type Passa a un dispositivo [tipo di sistema operativo].
I dispositivi [tipo di sistema operativo] non possono accedere a questa app.
os_version Esegui l'aggiornamento a una versione del sistema operativo almeno [versione].
Esegui il downgrade del sistema operativo a una versione precedente a [versione].

Risoluzione dei problemi

Policy Remediator non può generare correzioni quando si verifica uno dei seguenti eventi:

  • Una risorsa ha criteri in conflitto, ad esempio un utente deve connettersi utilizzando Windows e macOS.
  • L'attributo non è supportato da Policy Remediator.
  • L'agente di servizio non dispone dell'autorizzazione per la correzione.