Corregir el acceso denegado con Policy Remediator

En esta página se explica cómo habilitar y usar Policy Remediator.

Cuando los usuarios intentan acceder a un recurso de Google Cloud , pero no cumplen la política de acceso del recurso, se les deniega el acceso y reciben un mensaje de error 403 general. Puedes usar Policy Remediator para proporcionar a los usuarios pasos prácticos que pueden seguir para solucionar su problema antes de ponerse en contacto con un administrador para obtener más ayuda. Las acciones de corrección específicas dependen de las políticas de acceso, pero pueden incluir medidas como habilitar el bloqueo de pantalla, actualizar la versión del sistema operativo o acceder a una aplicación desde una red permitida por tu empresa.

Habilitar Policy Remediator

  1. Concede a tu administrador de la organización el rol roles/policyremediatormanager.policyRemediatorAdmin a nivel de organización ejecutando los siguientes comandos en la CLI de Google Cloud:

    gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin

    Haz los cambios siguientes:

    • ORGANIZATION_ID: el Google Cloud ID de la organización.
    • PRINCIPAL: el identificador de la entidad principal o del miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

  2. Habilita la API Policy Remediation Manager ejecutando el siguiente comando:

    gcloud services enable policyremediatormanager.googleapis.com

  3. Llama al gestor de corrección de políticas para habilitar la corrección de políticas en los proyectos de una organización. De esta forma, se crea un agente de servicio.

    curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Haz los cambios siguientes:

    • ORGANIZATION_ID: el Google Cloud ID de la organización.
    • ACCESS_TOKEN: usa el siguiente comando para generar el token de acceso. 
      gcloud auth print-access-token
    • PROJECT_ID: el ID del proyecto. Google Cloud

    A continuación, se muestra un ejemplo de respuesta que contiene los detalles del agente del servicio:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

    Donde ORGANIZATION_ID es el Google Cloud ID de la organización.

  4. En Google Cloud CLI, ejecuta el siguiente comando para acceder al agente de servicio que has creado:

    curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

    Haz los cambios siguientes:

    • ORGANIZATION_ID: el Google Cloud ID de la organización.
    • ACCESS_TOKEN: usa el siguiente comando para generar el token de acceso. 
      gcloud auth print-access-token
    • PROJECT_ID: el ID del proyecto. Google Cloud

    Deberías recibir el correo del agente de asistencia con el siguiente formato:

    {
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

    Donde ORGANIZATION_ID es el Google Cloud ID de la organización.

Asignar el rol de agente de servicio en la consola de administración de Google

  1. Inicia sesión en la consola de administración de Google.

    Ve a la consola de administración de Google.

  2. Ve a Cuenta > Roles de administrador y, a continuación, haz clic en Crear rol.

    • Escribe un nombre y una descripción (opcional) para el rol y, a continuación, haz clic en Continuar.

    • En Privilegios de la consola de administración, ve a Servicios > Gestión de dispositivos móviles y dispositivos y selecciona el permiso Gestiona dispositivos y ajustes.

    • En Privilegios de la API de administración, ve a Grupos y, a continuación, selecciona el permiso Lectura.

    • Haz clic en Continuar, confirma las entradas y completa la creación del rol.

    • Ve a Asignar cuentas de servicio e introduce la dirección de correo del agente de servicio que acabas de crear.

    • Haz clic en Añadir > Asignar rol.

  3. En Google Cloud CLI, ejecuta los siguientes comandos para asignar el rol de agente de servicio (policyremediator.serviceAgent) al agente de servicio a nivel de organización. De esta forma, el agente de servicio tiene permiso para leer las políticas de Gestión de Identidades y Accesos y otras políticas de acceso de tu organización.

    gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'

    Sustituye ORGANIZATION_ID por el Google Cloud ID de la organización.

Habilitar Policy Remediation en un recurso de IAP

  1. Ve a la página Identity-Aware Proxy (IAP).
    Ir a IAP

  2. Selecciona un recurso y, a continuación, haz clic en Configuración.

  3. Ve a Solucionar acceso y, a continuación, selecciona Generar acciones de solución.

Conceder el rol de remediador

Para dar a los usuarios permiso para corregir el acceso denegado a los recursos de IAP, ejecuta el siguiente comando en la CLI de Google Cloud:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Sustituye PRINCIPAL por un identificador de la entidad principal o del miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

Para obtener más información, consulta gcloud IAP web add-iam-policy-binding.

Para dar permiso a los usuarios para que corrijan el acceso a los recursos de IAP a nivel de proyecto, ejecuta el siguiente comando en la CLI de Google Cloud:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Haz los cambios siguientes:

  • PROJECT_ID: el ID del proyecto. Google Cloud
  • PRINCIPAL: el identificador de la entidad principal o del miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com.

Corregir problemas con el centro de asistencia

Cuando se deniega el acceso a los usuarios finales, se les redirige a una página de Chrome Enterprise Premium que contiene información para solucionar problemas, como una URL para solucionar problemas y un token de corrección. Si los usuarios no tienen permiso para abrir el token de corrección, pueden copiarlo y enviarlo al servicio de asistencia para obtener más ayuda.

Atributos de las políticas y mensajes asociados

En la siguiente tabla se muestra la lista de atributos que admite Policy Remediator.

Atributo Mensaje predeterminado
ip_address Estás accediendo a la aplicación desde una red
que no permite tu empresa.
region_code Accede a esta aplicación desde una región
permitida por tu empresa.
is_secured_with_screenlock Configura un bloqueo de pantalla en tu dispositivo.
Desactiva el bloqueo de pantalla en tu dispositivo.
verified_chrome_os Usa un dispositivo con [tipo de SO] verificado.
Usa un dispositivo sin [tipo de SO] verificado.
is_admin_approved_device Usa un dispositivo aprobado por el administrador de tu organización.
Usa un dispositivo que no haya aprobado el administrador de tu organización.
is_corp_owned_device Usa un dispositivo propiedad de tu organización.
Usa un dispositivo que no sea propiedad de tu organización.
encryption_status Usa un dispositivo cifrado.
Usa un dispositivo sin cifrar.
os_type Cambia a un dispositivo [tipo de SO].
Los dispositivos [tipo de SO] no pueden acceder a esta aplicación.
os_version Actualiza a una versión del SO que sea al menos [versión].
Cambia el SO a una versión anterior a [versión].

Solución de problemas

Policy Remediator no puede generar correcciones cuando se produce alguna de las siguientes situaciones:

  • Un recurso tiene políticas contradictorias, como que un usuario debe conectarse mediante Windows y macOS.
  • El atributo no es compatible con el corrector de políticas.
  • El agente del servicio no tiene permiso para corregir el problema.