Esta página foi traduzida pela API Cloud Translation.

Corrigir o acesso negado com o remediador de políticas

Nesta página, mostramos como ativar e usar o remediador de políticas do Chrome Enterprise Premium.

Quando os usuários tentam acessar um recurso do Google Cloud, mas não estão em conformidade com a política de acesso desse recurso, o acesso deles é negado e eles recebem uma mensagem de erro 403 geral. Use o Remediador de políticas para fornecer aos usuários etapas acionáveis para corrigir o problema antes de entrar em contato com um administrador para receber mais ajuda. As ações específicas de correção dependem das políticas de acesso, mas podem incluir ações como ativar o bloqueio de tela, atualizar a versão do sistema operacional (SO) ou acessar um app de uma rede permitida pela sua empresa.

Ativar o remediador de políticas

Conceda ao administrador da organização o papel roles/policyremediatormanager.policyRemediatorAdmin no nível da organização executando os seguintes comandos na Google Cloud CLI:
```
gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin
```
Substitua:
- ORGANIZATION_ID: o ID da organização do Google Cloud.
- PRINCIPAL: o identificador do principal ou membro, que geralmente tem o seguinte formato: PRINCIPAL_TYPE:ID. Por exemplo, user:my-user@example.com.
Ative a API Policy Remediator Manager executando o seguinte comando:
```
gcloud services enable policyremediatormanager.googleapis.com
```

Chame o gerenciador do remediador de políticas para ativar o remediador de políticas para os projetos em uma organização. Isso cria um agente de serviço.

curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

Substitua:

ORGANIZATION_ID: o ID da organização do Google Cloud.
ACCESS_TOKEN: use o seguinte comando para gerar o token de acesso.
```
gcloud auth print-access-token
```
PROJECT_ID: o ID do projeto do Google Cloud.

Veja a seguir um exemplo de resposta, que contém os detalhes do agente de serviço:

{
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

Em que ORGANIZATION_ID é o ID da organização do Google Cloud.

Na Google Cloud CLI, execute o seguinte comando para acessar o agente de serviço que você criou:

curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

Substitua:

ORGANIZATION_ID: o ID da organização do Google Cloud.
ACCESS_TOKEN: use o seguinte comando para gerar o token de acesso.
```
gcloud auth print-access-token
```
PROJECT_ID: o ID do projeto do Google Cloud.

Você receberá o e-mail do agente de serviço no seguinte formato:

{
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

Em que ORGANIZATION_ID é o ID da organização do Google Cloud.

Atribuir o papel de agente de serviço no Google Admin Console

Faça login no Google Admin Console.

Acessar o Google Admin Console
Acesse Conta > Funções do administrador e clique em Criar nova função.
- Insira um nome e uma descrição (opcional) para o papel e clique em Continuar.
- Em Privilégios do Admin Console, acesse Serviços > Gerenciamento de dispositivos móveis e de dispositivos e selecione a permissão Gerenciar dispositivos e configurações.
- Em Privilégios da API Admin, acesse Grupos e selecione a permissão Leitura.
- Clique em Continuar, confirme as informações e conclua a criação da função.
- Acesse Atribuir contas de serviço e insira o endereço de e-mail do agente de serviço recém-criado.
- Clique em Adicionar > Atribuir função.
Na Google Cloud CLI, execute os seguintes comandos para conceder o papel de agente de serviço (policyremediator.serviceAgent) a ele no nível da organização. Isso dá ao agente de serviço permissão para ler o Identity and Access Management e outras políticas de acesso da sua organização.
```
gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'
```
Substitua ORGANIZATION_ID pelo ID da organização do Google Cloud.

Ativar o remediador de políticas para um recurso do IAP

Você precisa ter uma licença do Chrome Enterprise Premium para usar esse recurso.

Acesse a página do Identity-Aware Proxy (IAP).
Acessar o IAP
Selecione um recurso e clique em Configurações.
Acesse Corrigir acesso e selecione Gerar ações de correção.

Conceder o papel de remediador

Para conceder aos usuários permissão para corrigir o acesso negado aos recursos do IAP, execute o seguinte comando na Google Cloud CLI:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Substitua PRINCIPAL por um identificador para o principal ou membro, que geralmente tem o seguinte formato: PRINCIPAL_TYPE:ID. Por exemplo, user:my-user@example.com.

Para mais informações, consulte gcloud iap web add-iam-policy-binding.

Para conceder aos usuários permissão para corrigir o acesso aos recursos do IAP no nível do projeto, execute o seguinte comando na Google Cloud CLI:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Substitua:

PROJECT_ID: o ID do projeto do Google Cloud.
PRINCIPAL: o identificador do principal ou membro, que geralmente tem o seguinte formato: PRINCIPAL_TYPE:ID. Por exemplo, user:my-user@example.com.

Corrigir com a help desk

Quando o acesso dos usuários finais é negado, eles são redirecionados para uma página do Chrome Enterprise Premium que contém informações sobre solução de problemas, incluindo um URL e um token de correção. Se os usuários não tiverem permissão para abrir o token de correção, eles poderão copiá-lo e enviá-lo à help desk para receber mais ajuda.

Atributos de política e mensagens associadas

A tabela a seguir apresenta a lista de atributos compatíveis com o Remediador de políticas.

Atributo	Mensagem padrão
`ip_address`	Você está acessando o app por uma rede não permitida pela sua empresa.
`region_code`	Acesse o app em uma região permitida pela sua empresa.
`is_secured_with_screenlock`	Defina uma senha de bloqueio de tela no dispositivo. Desative a senha de bloqueio de tela no dispositivo.
`verified_chrome_os`	Use um dispositivo com [tipo de SO] verificado. Use um dispositivo sem [tipo de SO] verificado.
`is_admin_approved_device`	Use um dispositivo aprovado pelo administrador da organização. Use um dispositivo não aprovado pelo administrador da organização.
`is_corp_owned_device`	Use um dispositivo da sua organização. Use um dispositivo que não seja da sua organização.
`encryption_status`	Use um dispositivo criptografado. Use um dispositivo sem criptografia.
`os_type`	Troque para um dispositivo [tipo de SO]. Os dispositivos de [tipo de SO] não podem acessar este app.
`os_version`	Atualize para uma versão do SO que seja pelo menos [version]. Faça downgrade do seu SO para uma versão anterior à [version].

Solução de problemas

O remediador de políticas não pode gerar correções quando uma das seguintes situações ocorre:

Um recurso tem políticas conflitantes, como o usuário precisa se conectar usando o Windows e o macOS.
O atributo não é compatível com o remediador de políticas.
O agente de serviço não tem permissão para fazer a correção.