此页面由 Cloud Translation API 翻译。

使用政策修复程序来解决被拒绝访问权限的问题

本页介绍了如何启用和使用 Chrome 企业进阶版政策修复程序。

当用户尝试访问 Google Cloud 资源但不符合访问政策时，他们将被拒绝访问，并收到常规 403 错误消息。您可以使用 Policy Remediator 向用户提供在联系客户之前，他们可以采取哪些切实可行的措施来解决问题以获取更多帮助。具体补救措施取决于访问权限政策，但可能包括启用屏幕锁定、更新操作系统 (OS) 版本或通过贵公司允许的网络访问应用等。

启用 Policy Remediator

向您的组织管理员授予 roles/policyremediatormanager.policyRemediatorAdmin担任在 Google Cloud CLI 中运行以下命令，确认组织层级：
```
gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin
```
替换以下内容：
- ORGANIZATION_ID：Google Cloud 组织 ID。
- PRINCIPAL：主账号（或成员）的标识符，通常其格式如下：PRINCIPAL_TYPE:ID。例如 user:my-user@example.com。

运行以下命令，启用 Policy Remediator Manager API：

gcloud services enable policyremediatormanager.googleapis.com

调用 Policy Remediator Manager 可为组织中的项目启用 Policy Remediator，这会创建一个服务代理。

curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

替换以下内容：

ORGANIZATION_ID：Google Cloud 组织 ID。
ACCESS_TOKEN：使用以下命令生成访问令牌。
```
gcloud auth print-access-token
```
PROJECT_ID：Google Cloud 项目 ID。

以下是包含服务人员详细信息的示例响应：

{
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

其中，ORGANIZATION_ID 是 Google Cloud 组织 ID。

在 Google Cloud CLI 中，运行以下命令以访问您创建的服务代理：

curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

替换以下内容：

ORGANIZATION_ID：Google Cloud 组织 ID。
ACCESS_TOKEN：使用以下命令生成访问令牌。
```
gcloud auth print-access-token
```
PROJECT_ID：Google Cloud 项目 ID。

您应该会收到采用以下格式的服务代理电子邮件：

{
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

其中，ORGANIZATION_ID 是 Google Cloud 组织 ID。

在 Google 管理控制台中分配服务代理角色

登录 Google 管理控制台。

前往 Google 管理控制台
依次前往账号 > 管理员角色，然后点击创建新角色。
- 为角色输入名称和说明（可选），然后点击继续。
- 在管理控制台权限中，转到服务 >移动设备管理 并选择管理设备和设置权限。
- 在 Admin API 权限中，转到群组，然后选择读取权限。
- 点击继续，确认您的输入，然后完成角色的创建。
- 前往分配服务账号页面，输入新成员的电子邮件地址已创建服务代理。
- 依次点击添加 > 分配角色。
在 Google Cloud CLI 中，运行以下命令可在组织级别向服务代理授予“Service Agent”(policyremediator.serviceAgent) 角色。这将授予服务代理读取适用于贵组织的 Identity and Access Management 和其他访问权限政策。
```
gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'
```
将 ORGANIZATION_ID 替换为 Google Cloud 组织 ID。

为 IAP 资源启用 Policy Remediator

您必须拥有 Chrome Enterprise Premium 许可才能使用此功能。

转到 Identity-Aware Proxy (IAP) 页面。
前往 IAP
选择资源，然后点击设置。
前往修复访问权限，然后选择生成修复措施。

授予“修复者”角色

如需授予用户权限来修复对 IAP 资源的访问遭拒，在 Google Cloud CLI 中运行以下命令：

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

将 PRINCIPAL 替换为主账号（或成员）的标识符，通常其格式如下：PRINCIPAL_TYPE:ID。例如 user:my-user@example.com。

如需了解详情，请参阅 gcloud iap web add-iam-policy-binding。

要授权用户在项目级别修复对 IAP 资源的访问权限，在 Google Cloud CLI 中运行以下命令：

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

替换以下内容：

PROJECT_ID：Google Cloud 项目 ID。
PRINCIPAL：主账号或成员的标识符，通常采用以下形式：PRINCIPAL_TYPE:ID。例如 user:my-user@example.com。

通过帮助台进行补救

当最终用户访问遭拒时，系统会将其重定向到 Chrome Enterprise Premium 页面其中包含问题排查信息，其中包括问题排查网址和修复令牌如果用户无权打开修复令牌他们可以复制修复令牌并将其发送至帮助台帮助。

政策属性和关联的消息

下表列出了政策修复程序支持的属性。

属性	默认消息
`ip_address`	您正在通过公司不允许的网络访问该应用。
`region_code`	从区域访问此应用。
`is_secured_with_screenlock`	在您的设备上设置屏幕锁定密码。关闭设备上的屏幕密码。
`verified_chrome_os`	使用已验证的 [OS 类型] 的设备。使用未经验证的 [OS type] 的设备。
`is_admin_approved_device`	请使用贵组织管理员批准的设备。使用未经贵组织管理员批准的设备。
`is_corp_owned_device`	请使用贵组织拥有的设备。使用不归贵组织所有的设备。
`encryption_status`	使用已加密的设备。使用未加密的设备。
`os_type`	切换到 [操作系统类型] 设备。 [操作系统类型] 设备无法访问此应用。
`os_version`	请更新至操作系统版本至少为 [version] 的版本。将操作系统降级到低于 [version] 的版本。

问题排查

出现以下任一情况时，Policy Remediator 无法生成修复方案：

某项资源的政策存在冲突，例如用户必须使用 Windows 和 macOS 进行连接。
Policy Remediator 不支持此属性。
服务代理无权修复。