Questa pagina mostra come attivare e utilizzare Policy Remediator.
Quando gli utenti tentano di accedere a una risorsa Google Cloud , ma non rispettano i criteri di accesso per la risorsa, l'accesso viene negato e viene visualizzato un messaggio di errore 403 generico. Puoi utilizzare Policy Remediator per fornire agli utenti passaggi pratici che possono seguire per risolvere il problema prima di contattare un amministratore per ulteriore assistenza. Le azioni correttive specifiche dipendono dalle norme di accesso, ma possono includere operazioni come l'attivazione del blocco schermo, l'aggiornamento della versione del sistema operativo o l'accesso a un'app da una rete consentita dalla tua azienda.
Abilita Policy Remediator
Concedi all'amministratore dell'organizzazione il ruolo
roles/policyremediatormanager.policyRemediatorAdmin
a livello di organizzazione eseguendo i seguenti comandi in Google Cloud CLI:gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \ --member PRINCIPAL \ --role roles/policyremediatormanager.policyRemediatorAdmin
Sostituisci quanto segue:
- ORGANIZATION_ID: l' Google Cloud ID organizzazione.
- PRINCIPAL: l'identificatore dell'entità o del membro, che
di solito ha il seguente formato:
PRINCIPAL_TYPE:ID
. Ad esempiouser:my-user@example.com
.
Abilita l'API Policy Remediation Manager eseguendo il seguente comando:
gcloud services enable policyremediatormanager.googleapis.com
Chiama Policy Remediator Manager per attivare Policy Remediator per i progetti di un'organizzazione. In questo modo viene creato un service agent.
curl -X POST \ "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable" \ --header 'Authorization: Bearer ACCESS_TOKEN' \ --header 'X-Goog-User-Project:PROJECT_ID'
Sostituisci quanto segue:
- ORGANIZATION_ID: l' Google Cloud ID organizzazione.
- ACCESS_TOKEN: utilizza il seguente comando per generare il token di accesso.
gcloud auth print-access-token
- PROJECT_ID: l' Google Cloud ID progetto.
Di seguito è riportato un esempio di risposta, che contiene i dettagli dell'agente di servizio:
{ "name": "organizations/ORGANIZATION_ID/locations/global/operations/
", "metadata": { "@type": "type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph a.OperationMetadata", "createTime": " ", "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService", "verb": "update", "requestedCancellation": false, "apiVersion": "v1alpha" }, "done": false } Dove ORGANIZATION_ID è l' Google Cloud ID organizzazione.
In Google Cloud CLI, esegui questo comando per accedere al service agent che hai creato:
curl -X GET \ "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \ --header 'Authorization: Bearer ACCESS_TOKEN' \ --header 'X-Goog-User-Project:PROJECT_ID'
Sostituisci quanto segue:
- ORGANIZATION_ID: l' Google Cloud ID organizzazione.
- ACCESS_TOKEN: utilizza il seguente comando per generare il token di accesso.
gcloud auth print-access-token
- PROJECT_ID: l' Google Cloud ID progetto.
Dovresti ricevere l'email dell'agente di servizio nel seguente formato:
{ "name": "organizations/ORGANIZATION_ID/locations/global/remediatorService", "state": "ENABLED", "serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com" }
Dove ORGANIZATION_ID è l' Google Cloud ID organizzazione.
Assegnare il ruolo di agente di servizio nella Console di amministrazione Google
Accedi alla Console di amministrazione Google.
Vai ad Account > Ruoli amministratore e fai clic su Crea nuovo ruolo.
Inserisci un nome e una descrizione (facoltativa) per il ruolo, quindi fai clic su Continua.
In Privilegi della Console di amministrazione, vai a Servizi > Gestione di dispositivi mobili e dispositivi e seleziona l'autorizzazione Gestisce dispositivi e impostazioni.
In Privilegi delle API amministrative, vai a Gruppi e seleziona l'autorizzazione Lettura.
Fai clic su Continua, conferma le voci e completa la creazione del ruolo.
Vai ad Assegna service account e inserisci l'indirizzo email dell'agente di servizio appena creato.
Fai clic su Aggiungi > Assegna ruolo.
In Google Cloud CLI, esegui questi comandi per concedere il ruolo Agente di servizio (
policyremediator.serviceAgent
) all'agente di servizio a livello di organizzazione. In questo modo, l'agente di servizio ha l'autorizzazione per leggere Identity and Access Management e altre policy di accesso per la tua organizzazione.gcloud organizations add-iam-policy-binding 'organizations/
' \ --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \ --role='roles/policyremediator.serviceAgent' Sostituisci ORGANIZATION_ID con l' Google Cloud ID organizzazione.
Abilitare Policy Remediator per una risorsa IAP
Vai alla pagina Identity-Aware Proxy (IAP).
Vai a IAPSeleziona una risorsa, quindi fai clic su Impostazioni.
Vai a Correggi accesso e seleziona Genera azioni di correzione.
Concedere il ruolo di correttore
Per concedere agli utenti l'autorizzazione a correggere l'accesso negato alle risorse IAP, esegui questo comando nella Google Cloud CLI:
gcloud iap web add-iam-policy-binding \ --member='PRINCIPAL' \ --role='roles/iap.remediatorUser'
Sostituisci PRINCIPAL con un identificatore per l'entità o il membro,
che di solito ha il seguente formato: PRINCIPAL_TYPE:ID
. Ad esempio
user:my-user@example.com
.
Per ulteriori informazioni, consulta gcloud IAP web add-iam-policy-binding.
Per concedere agli utenti l'autorizzazione a correggere l'accesso alle risorse IAP a livello di progetto, esegui il seguente comando nella Google Cloud CLI:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member PRINCIPAL \ --role roles/iap.remediatorUser
Sostituisci quanto segue:
- PROJECT_ID: l' Google Cloud ID progetto.
- PRINCIPAL: l'identificatore dell'entità o del membro, che
di solito ha il seguente formato:
PRINCIPAL_TYPE:ID
. Ad esempiouser:my-user@example.com
.
Risolvere il problema con l'help desk
Quando agli utenti finali viene negato l'accesso, vengono reindirizzati a una pagina di Chrome Enterprise Premium che contiene informazioni per la risoluzione dei problemi, tra cui un URL per la risoluzione dei problemi e un token di correzione. Se gli utenti non dispongono dell'autorizzazione per aprire il token di correzione, possono copiarlo e inviarlo all'Help Desk per ulteriore assistenza.
Attributi delle norme e messaggi associati
La tabella seguente fornisce l'elenco degli attributi supportati da Policy Remediator.
Attributo | Messaggio predefinito |
---|---|
ip_address
|
Stai accedendo all'app da una rete non consentita dalla tua azienda. |
region_code
|
Accedi a questa app da una regione consentita dalla tua azienda. |
is_secured_with_screenlock
|
Imposta una password di blocco dello schermo sul tuo dispositivo. Disattiva la password di blocco dello schermo sul tuo dispositivo. |
verified_chrome_os
|
Utilizza un dispositivo con [tipo di sistema operativo] verificato. Utilizza un dispositivo senza [tipo di sistema operativo] verificato. |
is_admin_approved_device
|
Utilizza un dispositivo approvato dall'amministratore della tua organizzazione. Utilizza un dispositivo non approvato dall'amministratore della tua organizzazione. |
is_corp_owned_device
|
Utilizza un dispositivo di proprietà della tua organizzazione. Utilizza un dispositivo non di proprietà della tua organizzazione. |
encryption_status
|
Utilizza un dispositivo criptato. Utilizza un dispositivo non criptato. |
os_type
|
Passa a un dispositivo [tipo di sistema operativo]. I dispositivi [tipo di sistema operativo] non possono accedere a questa app. |
os_version
|
Esegui l'aggiornamento a una versione del sistema operativo almeno [versione]. Esegui il downgrade del sistema operativo a una versione precedente a [versione]. |
Risoluzione dei problemi
Policy Remediator non può generare correzioni quando si verifica uno dei seguenti eventi:
- Una risorsa ha criteri in conflitto, ad esempio un utente deve connettersi utilizzando Windows e macOS.
- L'attributo non è supportato da Policy Remediator.
- L'agente di servizio non dispone dell'autorizzazione per la correzione.