Nesta página, mostramos como ativar e usar o remediador de políticas do Chrome Enterprise Premium.
Quando os usuários tentam acessar um recurso do Google Cloud, mas não estão em conformidade com a política de acesso desse recurso, o acesso deles é negado e eles recebem uma mensagem de erro 403 geral. Use o Remediador de políticas para fornecer aos usuários etapas acionáveis para corrigir o problema antes de entrar em contato com um administrador para receber mais ajuda. As ações específicas de correção dependem das políticas de acesso, mas podem incluir ações como ativar o bloqueio de tela, atualizar a versão do sistema operacional (SO) ou acessar um app de uma rede permitida pela sua empresa.
Ativar o remediador de políticas
Conceda ao administrador da organização o papel
roles/policyremediatormanager.policyRemediatorAdmin
no nível da organização executando os seguintes comandos na Google Cloud CLI:gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \ --member PRINCIPAL \ --role roles/policyremediatormanager.policyRemediatorAdmin
Substitua:
- ORGANIZATION_ID: o ID da organização do Google Cloud.
- PRINCIPAL: o identificador do principal ou membro, que
geralmente tem o seguinte formato:
PRINCIPAL_TYPE:ID
. Por exemplo,user:my-user@example.com
.
Ative a API Policy Remediator Manager executando o seguinte comando:
gcloud services enable policyremediatormanager.googleapis.com
Chame o gerenciador do remediador de políticas para ativar o remediador de políticas para os projetos em uma organização. Isso cria um agente de serviço.
curl -X POST \ "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable" \ --header 'Authorization: Bearer ACCESS_TOKEN' \ --header 'X-Goog-User-Project:PROJECT_ID'
Substitua:
- ORGANIZATION_ID: o ID da organização do Google Cloud.
- ACCESS_TOKEN: use o seguinte comando para gerar o token de acesso.
gcloud auth print-access-token
- PROJECT_ID: o ID do projeto do Google Cloud.
Veja a seguir um exemplo de resposta, que contém os detalhes do agente de serviço:
{ "name": "organizations/ORGANIZATION_ID/locations/global/operations/
", "metadata": { "@type": "type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph a.OperationMetadata", "createTime": " ", "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService", "verb": "update", "requestedCancellation": false, "apiVersion": "v1alpha" }, "done": false } Em que ORGANIZATION_ID é o ID da organização do Google Cloud.
Na Google Cloud CLI, execute o seguinte comando para acessar o agente de serviço que você criou:
curl -X GET \ "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \ --header 'Authorization: Bearer ACCESS_TOKEN' \ --header 'X-Goog-User-Project:PROJECT_ID'
Substitua:
- ORGANIZATION_ID: o ID da organização do Google Cloud.
- ACCESS_TOKEN: use o seguinte comando para gerar o token de acesso.
gcloud auth print-access-token
- PROJECT_ID: o ID do projeto do Google Cloud.
Você receberá o e-mail do agente de serviço no seguinte formato:
{ "name": "organizations/ORGANIZATION_ID/locations/global/remediatorService", "state": "ENABLED", "serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com" }
Em que ORGANIZATION_ID é o ID da organização do Google Cloud.
Atribuir o papel de agente de serviço no Google Admin Console
Faça login no Google Admin Console.
Acesse Conta > Funções do administrador e clique em Criar nova função.
Insira um nome e uma descrição (opcional) para o papel e clique em Continuar.
Em Privilégios do Admin Console, acesse Serviços > Gerenciamento de dispositivos móveis e de dispositivos e selecione a permissão Gerenciar dispositivos e configurações.
Em Privilégios da API Admin, acesse Grupos e selecione a permissão Leitura.
Clique em Continuar, confirme as informações e conclua a criação da função.
Acesse Atribuir contas de serviço e insira o endereço de e-mail do agente de serviço recém-criado.
Clique em Adicionar > Atribuir função.
Na Google Cloud CLI, execute os seguintes comandos para conceder o papel de agente de serviço (
policyremediator.serviceAgent
) a ele no nível da organização. Isso dá ao agente de serviço permissão para ler o Identity and Access Management e outras políticas de acesso da sua organização.gcloud organizations add-iam-policy-binding 'organizations/
' \ --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \ --role='roles/policyremediator.serviceAgent' Substitua ORGANIZATION_ID pelo ID da organização do Google Cloud.
Ativar o remediador de políticas para um recurso do IAP
Você precisa ter uma licença do Chrome Enterprise Premium para usar esse recurso.
Acesse a página do Identity-Aware Proxy (IAP).
Acessar o IAPSelecione um recurso e clique em Configurações.
Acesse Corrigir acesso e selecione Gerar ações de correção.
Conceder o papel de remediador
Para conceder aos usuários permissão para corrigir o acesso negado aos recursos do IAP, execute o seguinte comando na Google Cloud CLI:
gcloud iap web add-iam-policy-binding \ --member='PRINCIPAL' \ --role='roles/iap.remediatorUser'
Substitua PRINCIPAL por um identificador para o principal ou membro,
que geralmente tem o seguinte formato: PRINCIPAL_TYPE:ID
. Por exemplo,
user:my-user@example.com
.
Para mais informações, consulte gcloud iap web add-iam-policy-binding.
Para conceder aos usuários permissão para corrigir o acesso aos recursos do IAP no nível do projeto, execute o seguinte comando na Google Cloud CLI:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member PRINCIPAL \ --role roles/iap.remediatorUser
Substitua:
- PROJECT_ID: o ID do projeto do Google Cloud.
- PRINCIPAL: o identificador do principal ou membro, que
geralmente tem o seguinte formato:
PRINCIPAL_TYPE:ID
. Por exemplo,user:my-user@example.com
.
Corrigir com a help desk
Quando o acesso dos usuários finais é negado, eles são redirecionados para uma página do Chrome Enterprise Premium que contém informações sobre solução de problemas, incluindo um URL e um token de correção. Se os usuários não tiverem permissão para abrir o token de correção, eles poderão copiá-lo e enviá-lo à help desk para receber mais ajuda.
Atributos de política e mensagens associadas
A tabela a seguir apresenta a lista de atributos compatíveis com o Remediador de políticas.
Atributo | Mensagem padrão |
---|---|
ip_address
|
Você está acessando o app por uma rede não permitida pela sua empresa. |
region_code
|
Acesse o app em uma região permitida pela sua empresa. |
is_secured_with_screenlock
|
Defina uma senha de bloqueio de tela no dispositivo. Desative a senha de bloqueio de tela no dispositivo. |
verified_chrome_os
|
Use um dispositivo com [tipo de SO] verificado. Use um dispositivo sem [tipo de SO] verificado. |
is_admin_approved_device
|
Use um dispositivo aprovado pelo administrador da organização. Use um dispositivo não aprovado pelo administrador da organização. |
is_corp_owned_device
|
Use um dispositivo da sua organização. Use um dispositivo que não seja da sua organização. |
encryption_status
|
Use um dispositivo criptografado. Use um dispositivo sem criptografia. |
os_type
|
Troque para um dispositivo [tipo de SO]. Os dispositivos de [tipo de SO] não podem acessar este app. |
os_version
|
Atualize para uma versão do SO que seja pelo menos [version]. Faça downgrade do seu SO para uma versão anterior à [version]. |
Solução de problemas
O remediador de políticas não pode gerar correções quando uma das seguintes situações ocorre:
- Um recurso tem políticas conflitantes, como o usuário precisa se conectar usando o Windows e o macOS.
- O atributo não é compatível com o remediador de políticas.
- O agente de serviço não tem permissão para fazer a correção.