本頁面說明如何啟用及使用政策修正工具。
如果使用者嘗試存取 Google Cloud 資源,但不符合資源的存取政策,系統就會拒絕存取要求,並顯示一般 403 錯誤訊息。您可以透過政策修正工具,為使用者提供可執行的步驟,讓他們在向管理員尋求額外協助前,先自行修正問題。具體補救措施取決於存取政策,但可能包括啟用螢幕鎖定、更新作業系統 (OS) 版本,或透過公司允許的網路存取應用程式。
啟用政策修復工具
在 Google Cloud CLI 中執行下列指令,在機構層級將
roles/policyremediatormanager.policyRemediatorAdmin角色授予機構管理員:gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \ --member PRINCIPAL \ --role roles/policyremediatormanager.policyRemediatorAdmin更改下列內容:
- ORGANIZATION_ID: Google Cloud 機構 ID。
- PRINCIPAL:主體或成員的 ID,通常採用以下格式:
PRINCIPAL_TYPE:ID。例如:user:my-user@example.com。
執行下列指令,啟用 Policy Remediation Manager API:
gcloud services enable policyremediatormanager.googleapis.com
呼叫 Policy Remediator Manager,為機構中的專案啟用 Policy Remediator,這會建立服務代理程式。
curl -X POST \ "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable" \ --header 'Authorization: Bearer ACCESS_TOKEN' \ --header 'X-Goog-User-Project:PROJECT_ID'
更改下列內容:
- ORGANIZATION_ID: Google Cloud 機構 ID。
- ACCESS_TOKEN:使用下列指令產生存取權杖。
gcloud auth print-access-token
- PROJECT_ID:專案 ID。 Google Cloud
以下是包含服務代理詳細資料的回應範例:
{ "name": "organizations/ORGANIZATION_ID/locations/global/operations/", "metadata": { "@type": "type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph a.OperationMetadata", "createTime": " ", "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService", "verb": "update", "requestedCancellation": false, "apiVersion": "v1alpha" }, "done": false } 其中 ORGANIZATION_ID 是 Google Cloud 機構 ID。
在 Google Cloud CLI 中執行下列指令,存取您建立的服務代理程式:
curl -X GET \ "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \ --header 'Authorization: Bearer ACCESS_TOKEN' \ --header 'X-Goog-User-Project:PROJECT_ID'
更改下列內容:
- ORGANIZATION_ID: Google Cloud 機構 ID。
- ACCESS_TOKEN:使用下列指令產生存取權杖。
gcloud auth print-access-token
- PROJECT_ID:專案 ID。 Google Cloud
您應該會收到以下格式的服務專員電子郵件:
{ "name": "organizations/ORGANIZATION_ID/locations/global/remediatorService", "state": "ENABLED", "serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com" }其中 ORGANIZATION_ID 是 Google Cloud 機構 ID。
在 Google 管理控制台中指派服務代理人角色
登入 Google 管理控制台。
依序前往「帳戶」>「管理員角色」,然後按一下「建立新角色」。
輸入角色名稱和說明 (選用),然後按一下「繼續」。
在「管理控制台權限」中,依序前往「服務」>「行動裝置和裝置管理」,然後選取「管理裝置和設定」權限。
在「Admin API privileges」(Admin API 權限) 中,前往「Groups」(群組),然後選取「Read」(讀取) 權限。
按一下「繼續」,確認輸入內容,然後完成角色建立程序。
前往「指派服務帳戶」,然後輸入新建立的服務代理程式電子郵件地址。
依序點選「新增」>「指派角色」。
在 Google Cloud CLI 中執行下列指令,在機構層級將服務代理 (
policyremediator.serviceAgent) 角色授予服務代理。這項權限可讓服務代理讀取貴機構的 Identity and Access Management 和其他存取權政策。gcloud organizations add-iam-policy-binding 'organizations/
' \ --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \ --role='roles/policyremediator.serviceAgent' 將 ORGANIZATION_ID 替換為 Google Cloud 機構 ID。
為 IAP 資源啟用政策矯正者
前往 Identity-Aware Proxy (IAP) 頁面。
前往 IAP選取資源,然後按一下「設定」。
前往「修復存取權」,然後選取「產生修復動作」。
授予修復者角色
如要授予使用者權限,以修正遭拒絕存取 IAP 資源的問題,請在 Google Cloud CLI 中執行下列指令:
gcloud iap web add-iam-policy-binding \
--member='PRINCIPAL' \
--role='roles/iap.remediatorUser'
將 PRINCIPAL 替換為主體或成員的 ID,通常採用 PRINCIPAL_TYPE:ID 形式。例如:user:my-user@example.com。
詳情請參閱 gcloud IAP web add-iam-policy-binding。
如要授予使用者在專案層級修正 IAP 資源存取權的權限,請在 Google Cloud CLI 中執行下列指令:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member PRINCIPAL \
--role roles/iap.remediatorUser
更改下列內容:
- PROJECT_ID:專案 ID。 Google Cloud
- PRINCIPAL:主體或成員的 ID,通常採用以下格式:
PRINCIPAL_TYPE:ID。例如:user:my-user@example.com。
透過服務台補救
如果使用者遭拒存取,系統會將他們重新導向至 Chrome Enterprise Premium 頁面,其中包含疑難排解資訊,包括疑難排解網址和補救權杖。如果使用者沒有開啟補救權杖的權限,可以複製補救權杖並傳送給服務台,以取得額外協助。
政策屬性和相關訊息
下表列出政策修正工具支援的屬性。
| 屬性 | 預設訊息 |
|---|---|
ip_address
|
您是透過公司不允許的網路存取應用程式。 |
region_code
|
從公司允許的地區存取這個應用程式。 |
is_secured_with_screenlock
|
在裝置上設定螢幕密碼。 關閉裝置的螢幕密碼。 |
verified_chrome_os
|
使用已驗證 [OS 類型] 的裝置。 使用未經驗證的 [作業系統類型]裝置。 |
is_admin_approved_device
|
使用貴機構管理員核准的裝置。 使用未經貴機構管理員核准的裝置。 |
is_corp_owned_device
|
使用貴機構擁有的裝置。 使用不屬於貴機構的裝置。 |
encryption_status
|
使用加密裝置。 使用未加密的裝置。 |
os_type
|
改用 [作業系統類型] 裝置。 [OS type] 裝置無法存取這個應用程式。 |
os_version
|
更新至 [版本] 以上的 OS 版本。 將 OS 降級至低於 [版本] 的版本。 |
疑難排解
發生下列任一情況時,政策修正工具就無法生成修正內容:
- 資源的政策發生衝突,例如使用者必須透過 Windows 和 macOS 連線。
- 政策修正工具不支援這項屬性。
- 服務代理沒有補救權限。