使用政策修复程序来解决被拒绝访问权限的问题

本页面介绍了如何启用和使用 Policy Remediator。

如果用户尝试访问 Google Cloud 资源,但不符合该资源的访问政策,则会被拒绝访问并收到一般性 403 错误消息。您可以使用政策补救工具为用户提供可行的步骤,以便他们在寻求管理员的进一步帮助之前自行解决问题。具体的补救措施取决于访问政策,但可能包括启用屏幕锁定、更新操作系统 (OS) 版本或从公司允许的网络访问应用等。

启用 Policy Remediator

  1. 在 Google Cloud CLI 中运行以下命令,以在组织级层向组织管理员授予 roles/policyremediatormanager.policyRemediatorAdmin 角色:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
        --member PRINCIPAL \
        --role roles/policyremediatormanager.policyRemediatorAdmin
    

    替换以下内容:

    • ORGANIZATION_ID: Google Cloud 组织 ID。
    • PRINCIPAL:主账号(或成员)的标识符,通常其格式如下:PRINCIPAL_TYPE:ID。例如 user:my-user@example.com
  2. 运行以下命令,启用 Policy Remediator Manager API:

    gcloud services enable policyremediatormanager.googleapis.com
    
  3. 调用 Policy Remediator Manager 为组织中的项目启用 Policy Remediator,这会创建一个服务代理

    curl -X POST \
    "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
    --header 'Authorization: Bearer ACCESS_TOKEN' \
    --header 'X-Goog-User-Project:PROJECT_ID'
    

    替换以下内容:

    • ORGANIZATION_ID: Google Cloud 组织 ID。
    • ACCESS_TOKEN:使用以下命令生成访问令牌。
      gcloud auth print-access-token
      
    • PROJECT_ID: Google Cloud 项目 ID。

    以下是包含服务代理详细信息的响应示例:

    {
    "name": "organizations/ORGANIZATION_ID/locations/global/operations/",
    "metadata": {
      "@type":
    "type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
    a.OperationMetadata",
       "createTime": "",
       "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
       "verb": "update",
       "requestedCancellation": false,
       "apiVersion": "v1alpha"
     },
     "done": false
    }
    

    其中,ORGANIZATION_ID 是 Google Cloud 组织 ID。

  4. 在 Google Cloud CLI 中,运行以下命令以访问您创建的服务代理:

    curl -X GET \
    "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
    --header 'Authorization: Bearer ACCESS_TOKEN' \
    --header 'X-Goog-User-Project:PROJECT_ID'
    

    替换以下内容:

    • ORGANIZATION_ID: Google Cloud 组织 ID。
    • ACCESS_TOKEN:使用以下命令生成访问令牌。
      gcloud auth print-access-token
      
    • PROJECT_ID: Google Cloud 项目 ID。

    您应该会收到以下格式的服务代理电子邮件:

    {
    "name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
    "state": "ENABLED",
    "serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
    }
    

    其中,ORGANIZATION_ID 是 Google Cloud 组织 ID。

在 Google 管理控制台中分配服务代理角色

  1. 登录 Google 管理控制台。

    前往 Google 管理控制台

  2. 依次前往账号 > 管理员角色,然后点击创建新角色

    • 输入角色的名称和说明(可选),然后点击继续

    • 管理控制台权限中,依次前往服务 > 移动设备和设备管理,然后选择管理设备和设置权限。

    • Admin API 权限中,前往群组,然后选择读取权限。

    • 点击继续,确认您的输入内容,然后完成角色创建。

    • 前往分配服务账号,然后输入新创建的服务代理的电子邮件地址。

    • 依次点击添加 > 分配角色

  3. 在 Google Cloud CLI 中,运行以下命令,在组织级层向服务代理授予服务代理 (policyremediator.serviceAgent) 角色。这样,服务代理便有权读取您组织的 Identity and Access Management 和其他访问政策。

    gcloud organizations add-iam-policy-binding 'organizations/' \
       --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
       --role='roles/policyremediator.serviceAgent'
    

    ORGANIZATION_ID 替换为 Google Cloud 组织 ID。

为 IAP 资源启用 Policy Remediator

  1. 前往 Identity-Aware Proxy (IAP) 页面。
    前往 IAP

  2. 选择资源,然后点击设置

  3. 前往修复访问权限,然后选择生成修复操作

授予修复者角色

如需向用户授予修复对 IAP 资源的拒绝访问权限的权限,请在 Google Cloud CLI 中运行以下命令:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

PRINCIPAL 替换为主账号(或成员)的标识符,通常其格式如下:PRINCIPAL_TYPE:ID。例如 user:my-user@example.com

如需了解详情,请参阅 gcloud IAP web add-iam-policy-binding

如需授予用户在项目级层修正对 IAP 资源的访问权限,请在 Google Cloud CLI 中运行以下命令:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

替换以下内容:

  • PROJECT_ID: Google Cloud 项目 ID。
  • PRINCIPAL:主账号(或成员)的标识符,通常其格式如下:PRINCIPAL_TYPE:ID。例如 user:my-user@example.com

通过帮助台进行补救

如果最终用户被拒绝访问,系统会将他们重定向到 Chrome 企业进阶版页面,其中包含问题排查信息,包括问题排查网址和补救令牌。如果用户没有打开补救令牌的权限,可以复制补救令牌并将其发送给帮助台以获取更多帮助。

政策属性和关联的消息

下表列出了 Policy Remediator 支持的属性。

属性 默认消息
ip_address 您正在通过公司不允许的网络
访问该应用。
region_code 从公司允许的区域
访问此应用。
is_secured_with_screenlock 在您的设备上设置屏幕锁定密码。
关闭设备上的屏幕锁定密码。
verified_chrome_os 使用经过验证的 [操作系统类型] 设备。
使用未经过验证的 [操作系统类型] 设备。
is_admin_approved_device 使用经组织管理员批准的设备。
使用未经组织管理员批准的设备。
is_corp_owned_device 使用贵组织拥有的设备。
使用不归贵组织所有的设备。
encryption_status 使用加密设备。
使用未加密的设备。
os_type 改用 [操作系统类型] 设备。
[操作系统类型] 设备无法访问此应用。
os_version 更新到至少 [版本] 的操作系统版本。
将操作系统降级为低于 [版本] 的版本。

问题排查

在发生以下任一情况时,政策修正器无法生成修正:

  • 资源具有冲突的政策,例如用户必须使用 Windows 和 macOS 进行连接。
  • 政策修正器不支持该属性。
  • 服务代理无权进行补救。