Esta página mostra como ativar e usar o remediador de políticas.
Quando os utilizadores tentam aceder a um recurso Google Cloud , mas não estão em conformidade com a política de acesso ao recurso, o acesso é recusado e recebem uma mensagem de erro 403 geral. Pode usar o remediador de políticas para fornecer aos utilizadores passos acionáveis que podem seguir para resolver o respetivo problema antes de contactar um administrador para receber ajuda adicional. As ações de remediação específicas dependem das políticas de acesso, mas podem incluir ações como ativar o bloqueio de ecrã, atualizar a versão do sistema operativo (SO) ou aceder a uma app a partir de uma rede permitida pela sua empresa.
Ative o remediador de políticas
Conceda ao administrador da sua organização a função
roles/policyremediatormanager.policyRemediatorAdminao nível da organização executando os seguintes comandos na CLI Google Cloud:gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \ --member PRINCIPAL \ --role roles/policyremediatormanager.policyRemediatorAdminSubstitua o seguinte:
- ORGANIZATION_ID: o Google Cloud ID da organização.
- PRINCIPAL: o identificador do principal ou membro, que
normalmente tem o seguinte formato:
PRINCIPAL_TYPE:ID. Por exemplo,user:my-user@example.com.
Ative a API Policy Remediator Manager executando o seguinte comando:
gcloud services enable policyremediatormanager.googleapis.com
Chame o Policy Remediator Manager para ativar o Policy Remediator para os projetos numa organização. Isto cria um agente de serviço.
curl -X POST \ "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable" \ --header 'Authorization: Bearer ACCESS_TOKEN' \ --header 'X-Goog-User-Project:PROJECT_ID'
Substitua o seguinte:
- ORGANIZATION_ID: o Google Cloud ID da organização.
- ACCESS_TOKEN: use o seguinte comando para gerar o token de acesso.
gcloud auth print-access-token
- PROJECT_ID: o Google Cloud ID do projeto.
Segue-se um exemplo de resposta que contém os detalhes do agente do serviço:
{ "name": "organizations/ORGANIZATION_ID/locations/global/operations/", "metadata": { "@type": "type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph a.OperationMetadata", "createTime": " ", "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService", "verb": "update", "requestedCancellation": false, "apiVersion": "v1alpha" }, "done": false } Onde ORGANIZATION_ID é o Google Cloud ID da organização.
Na CLI do Google Cloud, execute o seguinte comando para aceder ao agente de serviço que criou:
curl -X GET \ "https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \ --header 'Authorization: Bearer ACCESS_TOKEN' \ --header 'X-Goog-User-Project:PROJECT_ID'
Substitua o seguinte:
- ORGANIZATION_ID: o Google Cloud ID da organização.
- ACCESS_TOKEN: use o seguinte comando para gerar o token de acesso.
gcloud auth print-access-token
- PROJECT_ID: o Google Cloud ID do projeto.
Deve receber o email do agente do serviço no seguinte formato:
{ "name": "organizations/ORGANIZATION_ID/locations/global/remediatorService", "state": "ENABLED", "serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com" }Onde ORGANIZATION_ID é o Google Cloud ID da organização.
Atribua a função de agente de serviço na consola do administrador Google
Inicie sessão na Consola do administrador Google.
Aceda a Conta > Funções de administrador e, de seguida, clique em Criar nova função.
Introduza um nome e uma descrição (opcional) para a função e, de seguida, clique em Continuar.
Em Privilégios da consola do administrador, aceda a Serviços > Gestão de dispositivos móveis e selecione a autorização Gerir dispositivos e definições.
Em Privilégios da API Admin, aceda a Grupos e, de seguida, selecione a autorização Ler.
Clique em Continuar, confirme as suas entradas e conclua a criação da função.
Aceda a Atribuir contas de serviço e introduza o endereço de email do agente de serviço criado recentemente.
Clique em Adicionar > Atribuir função.
Na CLI Google Cloud, execute os seguintes comandos para conceder a função de agente de serviço (
policyremediator.serviceAgent) ao agente de serviço ao nível da organização. Isto concede ao agente de serviço autorização para ler a Gestão de identidades e acessos e outras políticas de acesso da sua organização.gcloud organizations add-iam-policy-binding 'organizations/
' \ --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \ --role='roles/policyremediator.serviceAgent' Substitua ORGANIZATION_ID pelo Google Cloud ID da organização.
Ative o remediador de políticas para um recurso do IAP
Aceda à página Identity-Aware Proxy (IAP).
Aceder a CNASelecione um recurso e, de seguida, clique em Definições.
Aceda a Corrigir acesso e, de seguida, selecione Gerar ações de correção.
Conceda a função de remediador
Para conceder aos utilizadores autorização para corrigir o acesso negado aos recursos do IAP, execute o seguinte comando na CLI do Google Cloud:
gcloud iap web add-iam-policy-binding \
--member='PRINCIPAL' \
--role='roles/iap.remediatorUser'
Substitua PRINCIPAL por um identificador do principal ou membro, que normalmente tem o seguinte formato: PRINCIPAL_TYPE:ID. Por exemplo,
user:my-user@example.com.
Para mais informações, consulte o artigo gcloud IAP web add-iam-policy-binding.
Para conceder aos utilizadores autorização para corrigir o acesso aos recursos do IAP ao nível do projeto, execute o seguinte comando na CLI do Google Cloud:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member PRINCIPAL \
--role roles/iap.remediatorUser
Substitua o seguinte:
- PROJECT_ID: o Google Cloud ID do projeto.
- PRINCIPAL: o identificador do principal ou membro, que
normalmente tem o seguinte formato:
PRINCIPAL_TYPE:ID. Por exemplo,user:my-user@example.com.
Corrija com o serviço de assistência
Quando o acesso dos utilizadores finais é recusado, estes são redirecionados para uma página do Chrome Enterprise Premium que contém informações de resolução de problemas, incluindo um URL de resolução de problemas e um token de correção. Se os utilizadores não tiverem autorização para abrir o token de remediação, podem copiá-lo e enviá-lo para o serviço de assistência técnica para receber ajuda adicional.
Atributos de políticas e mensagens associadas
A tabela seguinte apresenta a lista de atributos suportados pelo remediador de políticas.
| Atributo | Mensagem predefinida |
|---|---|
ip_address
|
Está a aceder à app a partir de uma rede não permitida pela sua empresa. |
region_code
|
Aceda a esta app a partir de uma região permitida pela sua empresa. |
is_secured_with_screenlock
|
Defina uma palavra-passe de ecrã no seu dispositivo. Desative a palavra-passe de ecrã no seu dispositivo. |
verified_chrome_os
|
Use um dispositivo com [tipo de SO] validado. Use um dispositivo sem [tipo de SO] validado. |
is_admin_approved_device
|
Use um dispositivo aprovado pelo administrador da sua organização. Usar um dispositivo não aprovado pelo administrador da sua organização. |
is_corp_owned_device
|
Use um dispositivo pertencente à sua organização. Use um dispositivo que não pertença à sua organização. |
encryption_status
|
Use um dispositivo encriptado. Use um dispositivo não encriptado. |
os_type
|
Mude para um dispositivo [OS type]. Os dispositivos [OS type] não podem aceder a esta app. |
os_version
|
Atualize para uma versão do SO que seja, pelo menos, [version]. Altere o SO para uma versão inferior a [version]. |
Resolução de problemas
O remediador de políticas não pode gerar correções quando ocorre alguma das seguintes situações:
- Um recurso tem políticas em conflito, como um utilizador tem de estabelecer ligação através do Windows e do macOS.
- O atributo não é suportado pelo remediador de políticas.
- O agente do serviço não tem autorização para corrigir.