Fehlermeldungen zu Berechtigungen beheben

In diesem Dokument werden die Fehlermeldungen behandelt, die auftreten können, wenn Sie nicht die erforderlichen Zugriffsberechtigungen für eine Ressource haben. Außerdem wird beschrieben, wie Sie diese Fehler beheben können.

Fehlermeldungen zu Berechtigungen

In der Google Cloud Console, der Google Cloud CLI und der REST API werden Fehlermeldungen angezeigt, wenn Sie versuchen, auf eine Ressource zuzugreifen, für die Sie keine Berechtigung haben.

Diese Fehlermeldungen können folgende Ursachen haben:

  • Es gibt eine Ablehnungsrichtlinie, die den Zugriff blockiert. Wenn eine Ablehnungsrichtlinie Sie daran hindert, eine der erforderlichen Berechtigungen zu verwenden, wird in Google Cloud eine Fehlermeldung angezeigt.
  • Sie sind nicht berechtigt, auf die Ressource zuzugreifen. Wenn Sie Principal Access Boundary-Richtlinien unterliegen, muss die Ressource, auf die Sie zugreifen möchten, in den Regeln der Richtlinien enthalten sein. Andernfalls wird in Google Cloud eine Fehlermeldung angezeigt.
  • Die Ressource ist nicht vorhanden. Wenn die Ressource nicht vorhanden ist, wird inGoogle Cloud eine Fehlermeldung angezeigt.

In den folgenden Abschnitten sehen Sie, wie diese Fehlermeldungen in derGoogle Cloud Console, der gcloud CLI und der REST API aussehen.

Google Cloud Console-Fehlermeldungen

In der Google Cloud -Konsole sehen Fehlermeldungen etwa so aus:

Diese Fehlermeldungen enthalten die folgenden Informationen:

  • Die Ressource, auf die Sie zugreifen wollten:Der Ressourcenname wird im Titel der Fehlerseite angezeigt und gibt die Ressource an, auf die Sie zugreifen wollten, als der Berechtigungsfehler aufgetreten ist.
  • Fehlende erforderliche Berechtigungen:Eine Liste der Berechtigungen, die Sie für den Zugriff auf die Ressource benötigen.

  • Eine Liste der Privileged Access Manager-Berechtigungen mit Rollen, die die erforderlichen Berechtigungen enthalten:Diese Liste ist nicht vollständig. Sie enthält nur die wichtigsten Berechtigungen, die Google Cloud zur Behebung des Zugriffsproblems vorschlägt.

    Diese Liste ist nur für Berechtigungsfehler verfügbar, die durch Zuweisen zusätzlicher IAM-Rollen behoben werden können.

    Sie können auf eine Berechtigung klicken, um mehr darüber zu erfahren und eine Erteilung für die Berechtigung zu beantragen. Weitere Informationen finden Sie in diesem Dokument unter PAM-Zugriffsgewährung anfordern.

    Wenn keine Berechtigungen die erforderlichen Berechtigungen enthalten, ist die Liste der Berechtigungen nicht auf der Fehlerseite enthalten.

  • Eine Liste der IAM-Rollen, die die erforderlichen Berechtigungen enthalten:Diese Liste ist nicht vollständig. Sie enthält eine kuratierte Liste von Rollen, dieGoogle Cloud zur Behebung des Zugriffsproblems vorschlägt. Die Reihenfolge basiert auf der Art der mit der Rolle zulässigen Aktionen, der Dienstrelevanz und der Anzahl der Berechtigungen.

    Wenn Sie die erforderlichen Berechtigungen zum Zuweisen von Rollen haben, heißt dieser Abschnitt Rolle zum Zuweisen auswählen. Wenn Sie nicht die erforderlichen Berechtigungen haben, heißt dieser Bereich Eine bestimmte Rolle anfordern.

    Diese Liste ist nur für Berechtigungsfehler verfügbar, die durch Zuweisen zusätzlicher IAM-Rollen behoben werden können.

    Sie können auf eine Rolle klicken, um mehr darüber zu erfahren und sie anzufordern. Wenn Sie die erforderlichen Berechtigungen zum Zuweisen von Rollen haben, können Sie sich die Rolle selbst zuweisen, anstatt sie anzufordern.

Fehlermeldungen für Google Cloud CLI und REST API

Die genaue Formulierung der Fehlermeldung hängt vom ausgeführten Befehl ab. In der Regel enthält sie jedoch die folgenden Informationen:

  • Erforderliche Berechtigung
  • Die Ressource, für die Sie eine Aktion ausführen wollten
  • Das authentifizierende Konto

Wenn Sie beispielsweise nicht berechtigt sind, Buckets in einem Projekt aufzulisten, wird eine Fehlermeldung wie die folgende angezeigt:

gcloud

ERROR: (gcloud.storage.buckets.list) HTTPError 403:
EMAIL_ADDRESS does not have
storage.buckets.list access to the Google Cloud project. Permission
'storage.buckets.list' denied on resource (or it may not exist). This command
is authenticated as EMAIL ADDRESS which
is the active account specified by the [core/account] property.

REST

{
  "error": {
    "code": 403,
    "message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
    "errors": [
      {
        "message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
        "domain": "global",
        "reason": "forbidden"
      }
    ]
  }
}

Fehlende Berechtigungen anfordern

Wenn Sie nicht berechtigt sind, zugriffsbezogene Richtlinien in Ihrer Organisation zu ändern, können Sie die Berechtigungsfehler nicht selbst beheben. Sie können jedoch eine Zugriffsanfrage an einen Administrator senden, indem Sie den Kontext aus der Fehlermeldung verwenden.

Sie haben folgende Möglichkeiten, Zugriff anzufordern:

Wenn Sie die Google Cloud -Konsole verwenden und die erforderlichen Berechtigungen zum Zuweisen von Rollen haben, können Sie sich die Rolle direkt über die Fehlermeldung zuweisen, anstatt sie anzufordern. Weitere Informationen finden Sie unter Rolle in der Google Cloud Console selbst zuweisen.

Erforderliche Berechtigungen anfordern

So fordern Sie die erforderlichen Berechtigungen an:

Konsole

  1. Klicken Sie in der Liste der fehlenden Berechtigungen auf Berechtigungen anfordern.

  2. Wählen Sie im Bereich Zugriff anfordern aus, wie Sie Ihren Administrator benachrichtigen möchten:

    • Wenn Ihre Organisation wichtige Kontakte unterstützt, können Sie eine automatisch generierte E‑Mail an den technischen wichtigen Kontakt Ihrer Organisation senden. So senden Sie diese E‑Mail:

      1. Wählen Sie Automatisch generierte E‑Mail senden aus.
      2. Fügen Sie Kontext zur Anfrage hinzu, den Sie einbeziehen möchten.
      3. Klicken Sie auf Anfrage senden.

    • So kopieren Sie die Zugriffsanfrage und fügen sie in das bevorzugte Anfrageverwaltungssystem ein:

      1. Wenn Ihre Organisation wichtige Kontakte unterstützt, Sie die Benachrichtigung aber manuell senden möchten, wählen Sie Manuell benachrichtigen aus.
      2. Fügen Sie Kontext zur Anfrage hinzu, den Sie einbeziehen möchten.
      3. Klicken Sie auf Mitteilung kopieren.
      4. Fügen Sie die Anfrage in das bevorzugte Anfrageverwaltungssystem ein.

      Ihr Administrator erhält Ihre Zugriffsanfrage zusammen mit allen zusätzlichen Kontextinformationen, die Sie angegeben haben.

gcloud

Kopieren Sie die Liste der fehlenden Berechtigungen aus der Fehlermeldung und bitten Sie einen Administrator über Ihr bevorzugtes Anfrageverwaltungssystem, Ihnen diese Berechtigungen zu gewähren.

REST

Kopieren Sie die Liste der fehlenden Berechtigungen aus der Fehlermeldung und bitten Sie einen Administrator über Ihr bevorzugtes Anfrageverwaltungssystem, Ihnen diese Berechtigungen zu gewähren.

Erteilung einer Gewährung für eine Privileged Access Manager-Berechtigung beantragen

Privileged Access Manager-Berechtigungen definieren eine Reihe von IAM-Rollen, die Sie jederzeit anfordern können. Wenn Ihr Antrag erfolgreich ist, werden Ihnen die angeforderten Rollen vorübergehend zugewiesen.

Diese Lösung ist nur verfügbar, wenn der Berechtigungsfehler auf Ihre Zulassungsrichtlinien zurückzuführen ist und Sie eine Privileged Access Manager-Berechtigung mit den erforderlichen Berechtigungen haben.

So beantragen Sie eine Erteilung einer vorhandenen Berechtigung:

Konsole

  1. Wenn Sie eine Fehlermeldung erhalten, suchen Sie den Abschnitt Vorübergehenden Zugriff anfordern. In diesem Abschnitt werden alle Privileged Access Manager-Berechtigungen aufgeführt, die eine Rolle mit den erforderlichen Berechtigungen enthalten.

    Wenn kein Abschnitt Temporären Zugriff anfordern zurückgegeben wird, enthalten keine Berechtigungen die erforderliche Berechtigung. In diesem Fall können Sie einen Administrator bitten, eine neue Berechtigung zu erstellen.

  2. Sehen Sie sich die Liste der verfügbaren Berechtigungen an und wählen Sie die Berechtigung aus, für die Sie eine Gewährung anfordern möchten.

  3. Klicken Sie auf die Berechtigung und dann auf Zugriff anfordern.

  4. Geben Sie im Bereich Gewährung beantragen die Details für die Gewährung ein:

    • Die für die Gewährung erforderliche Dauer, bis zur maximalen Dauer, die für die Berechtigung festgelegt ist.

    • Falls erforderlich, eine Begründung für die Erteilung.

    • Optional: Die E-Mail-Adressen, die über den Gewährungsantrag benachrichtigt werden sollen. Google-Identitäten, die mit Genehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.

  5. Klicken Sie auf Gewährung anfordern.

  6. Wenn Sie Ihren Gewährungsverlauf einschließlich Genehmigungsstatus aufrufen möchten, rufen Sie in derGoogle Cloud Console die Seite Privileged Access Manager auf und klicken Sie dann auf Gewährungen> Meine Gewährungen.

gcloud

  1. Suchen Sie nach verfügbaren Berechtigungen, um eine Berechtigung mit einer Rolle zu finden, die die erforderlichen Berechtigungen hat.

    Wenn keine Berechtigung zurückgegeben wird, können Sie einen Administrator bitten, eine neue Berechtigung zu erstellen.

  2. Erteilung einer Gewährung beantragen

  3. Optional: Status des Gewährungsantrags prüfen

REST

  1. Suchen Sie nach verfügbaren Berechtigungen, um eine Berechtigung mit einer Rolle zu finden, die die erforderlichen Berechtigungen hat.

    Wenn keine Berechtigung zurückgegeben wird, können Sie einen Administrator bitten, eine neue Berechtigung zu erstellen.

  2. Erteilung einer Gewährung beantragen

  3. Optional: Status des Gewährungsantrags prüfen

Rolle anfordern

Wenn der Berechtigungsfehler auf eine Zulassungsrichtlinie zurückzuführen ist, können Sie einen Administrator bitten, Ihnen eine Rolle mit den erforderlichen Berechtigungen zuzuweisen, um den Fehler zu beheben.

Wenn der Fehler auf einen anderen Richtlinientyp zurückzuführen ist oder Sie nicht sicher sind, welcher Richtlinientyp den Fehler verursacht, beantragen Sie stattdessen die erforderlichen Berechtigungen.

Konsole

  1. Sehen Sie sich im Bereich Eine bestimmte Rolle anfordern die Liste der empfohlenen Rollen an und wählen Sie die gewünschte Rolle aus. Wenn Sie auf die Rollen klicken, werden weitere Details dazu angezeigt. Dieser Bereich ist nur sichtbar, wenn der Berechtigungsfehler auf eine Zulassungsrichtlinie zurückzuführen ist.

  2. Klicken Sie auf die ausgewählte Rolle und dann auf Rolle anfordern.

  3. Wählen Sie im Bereich Zugriff anfordern eine der Optionen zum Benachrichtigen Ihres Administrators aus:

    • Wenn Ihre Organisation wichtige Kontakte unterstützt, können Sie eine automatisch generierte E‑Mail an den technischen wichtigen Kontakt Ihrer Organisation senden. So senden Sie diese E‑Mail:

      1. Wählen Sie Automatisch generierte E‑Mail senden aus.
      2. Fügen Sie Kontext zur Anfrage hinzu, den Sie einbeziehen möchten.
      3. Klicken Sie auf Anfrage senden.

    • So kopieren Sie die Zugriffsanfrage und fügen sie in das bevorzugte Anfrageverwaltungssystem ein:

      1. Wenn Ihre Organisation wichtige Kontakte unterstützt, Sie die Benachrichtigung aber manuell senden möchten, wählen Sie Manuell benachrichtigen aus.
      2. Fügen Sie Kontext zur Anfrage hinzu, den Sie einbeziehen möchten.
      3. Klicken Sie auf Mitteilung kopieren.
      4. Fügen Sie die Anfrage in das bevorzugte Anfrageverwaltungssystem ein.

    Ihr Administrator erhält Ihre Zugriffsanfrage zusammen mit allen zusätzlichen Kontextinformationen, die Sie angegeben haben.

gcloud

  1. Suchen Sie nach einer IAM-Rolle, die die fehlenden Berechtigungen enthält.

    Wenn Sie alle Rollen sehen möchten, in denen eine bestimmte Berechtigung enthalten ist, suchen Sie im Index für IAM-Rollen und ‑Berechtigungen nach der Berechtigung und klicken Sie dann auf den Berechtigungsnamen.

    Wenn keine vordefinierten Rollen zu Ihrem Anwendungsfall passen, können Sie stattdessen eine benutzerdefinierte Rolle erstellen.

  2. Verwenden Sie Ihr bevorzugtes System zur Anforderungsverwaltung, um einen Administrator zu bitten, Ihnen die Rolle zuzuweisen.

REST

  1. Suchen Sie nach einer IAM-Rolle, die die fehlenden Berechtigungen enthält.

    Wenn Sie alle Rollen sehen möchten, in denen eine bestimmte Berechtigung enthalten ist, suchen Sie im Index für IAM-Rollen und ‑Berechtigungen nach der Berechtigung und klicken Sie dann auf den Berechtigungsnamen.

    Wenn keine vordefinierten Rollen zu Ihrem Anwendungsfall passen, können Sie stattdessen eine benutzerdefinierte Rolle erstellen.

  2. Verwenden Sie Ihr bevorzugtes System zur Anforderungsverwaltung, um einen Administrator zu bitten, Ihnen die Rolle zuzuweisen.

Sich selbst eine Rolle in der Google Cloud -Konsole zuweisen

Wenn in der Google Cloud -Konsole ein Berechtigungsfehler auftritt und Sie die erforderlichen Berechtigungen zum Zuweisen von Rollen haben, können Sie sich selbst direkt über die Fehlermeldung eine Rolle zuweisen:

  1. Sehen Sie sich im Bereich Rolle zum Zuweisen auswählen die Liste der empfohlenen Rollen an und wählen Sie die gewünschte Rolle aus. Wenn Sie auf die Rollen klicken, werden weitere Details dazu angezeigt.

  2. Wenn Sie die ausgewählte Rolle zuweisen möchten, klicken Sie auf die Rolle und dann auf Zugriff gewähren.

Berechtigungsfehler bei Zugriffsanfragen beheben

Wenn Sie Administrator sind, erhalten Sie möglicherweise Zugriffsanfragen von Nutzern, bei denen Berechtigungsfehler in der Google Cloud Konsole aufgetreten sind. Diese Anfragen werden in der Regel an die folgenden Personen gesendet:

  • Der technische Kontakt Ihrer Organisation. Wenn in Ihrer Organisation wichtige Kontakte aktiviert sind, können Nutzer, bei denen Berechtigungsfehler in derGoogle Cloud -Konsole auftreten, eine Zugriffsanfrage an den technischen wichtigen Kontakt ihrer Organisation senden.

  • Kontakte, die über Ihr bevorzugtes Anfrageverwaltungssystem konfiguriert wurden. Nutzer, die in der Google Cloud -Konsole auf Berechtigungsfehler stoßen, können eine Zugriffsanfrage kopieren und dann über ihr bevorzugtes Anfragesystem senden.

Diese Nachrichten haben in der Regel das folgende Format:

user@example.com is requesting a role on the resource example.com:example-project.

Requestor's message:

"I need access to example-project to complete my work."

You may be able to resolve this request by granting access directly at:

ACCESS_REQUEST_PANEL_URL

Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:

POLICY_TROUBLESHOOTER_URL

Sie können diese Anfragen folgendermaßen bearbeiten:

  • Zugriff direkt gewähren: Zugriffsanfragen enthalten einen Link zu einem Zugriffsanfragefeld in der Google Cloud -Konsole. Wenn der Berechtigungsfehler auf eine Zulassungsrichtlinie zurückzuführen ist, können Sie den Zugriff direkt über dieses Feld beheben.

    Im Bereich „Zugriffsanfrage“ können Sie die Anfragedetails prüfen und auswählen, wie Sie auf die Anfrage reagieren möchten. Sie haben folgende Möglichkeiten, zu antworten:

    • Gewähren Sie die angeforderte Rolle.
    • Fügen Sie den Nutzer einer vorhandenen Gruppe hinzu, die bereits den erforderlichen Zugriff hat.
    • Anfrage ablehnen

  • Zusätzliche Details in der Richtlinien-Fehlerbehebung ansehen: Zugriffsanfragen enthalten auch einen Link zur Richtlinien-Fehlerbehebung. Dort können Sie sehen, welche Richtlinien den Zugriff des Nutzers blockieren. Anhand dieser Informationen können Sie entscheiden, wie Sie das Zugriffsproblem des Nutzers beheben. Weitere Informationen finden Sie auf dieser Seite unter Richtlinien ermitteln, die Berechtigungsfehler verursachen.

Berechtigungsfehler manuell beheben

Wenn Sie ein Administrator mit der Berechtigung zum Ändern der zugriffsbezogenen Richtlinien in Ihrer Organisation sind, können Sie diese Strategien verwenden, um Berechtigungsfehler zu beheben, unabhängig vom Richtlinientyp, der den Fehler verursacht.

Um Berechtigungsfehler zu beheben, müssen Sie zuerst ermitteln, welche Richtlinien (Zulassen, Verweigern oder Principal Access Boundary) den Fehler verursachen. Anschließend können Sie den Fehler beheben.

Richtlinien ermitteln, die Berechtigungsfehler verursachen

Mit der Richtlinien-Fehlerbehebung können Sie ermitteln, welche Richtlinien einen Berechtigungsfehler verursachen.

Mit der Richtlinien-Fehlerbehebung können Sie nachvollziehen, ob ein Hauptkonto auf eine Ressource zugreifen kann. Mit der Angabe eines Hauptkontos, einer Ressource und einer Berechtigung untersucht die Richtlinien-Fehlerbehebung die Zulassungsrichtlinien, Ablehnungsrichtlinien und PAB-Richtlinien (Principal Access Boundary), die sich auf den Zugriff des Hauptkontos auswirken. Anschließend wird angezeigt, ob das Hauptkonto anhand dieser Richtlinien die angegebene Berechtigung für den Zugriff auf die Ressource verwenden kann. Außerdem werden die relevanten Richtlinien aufgeführt und erläutert, wie sie sich auf den Zugriff des Hauptkontos auswirken.

Informationen zur Fehlerbehebung beim Zugriff und zur Interpretation der Ergebnisse der Richtlinien-Fehlerbehebung finden Sie unter IAM-Berechtigungen prüfen.

Fehlermeldungen in der Google Cloud -Konsole enthalten einen Link zu einer Seite mit Ergebnissen der Richtlinien-Fehlerbehebung für den Hauptadministrator, die Berechtigungen und die Ressource, die in der Anfrage enthalten sind. Klicken Sie auf Details zur Fehlerbehebung ansehen, um diesen Link aufzurufen. Suchen Sie dann nach dem Wert im Feld URL zur Fehlerbehebung.

Zugriff aktualisieren, um Berechtigungsfehler zu beheben

Wenn Sie wissen, welche Richtlinien einen Berechtigungsfehler verursachen, können Sie Maßnahmen ergreifen, um den Fehler zu beheben.

Häufig müssen Sie zum Beheben eines Fehlers Zulassungs-, Ablehnungs- oder Principal Access Boundary-Richtlinien erstellen oder aktualisieren.

Es gibt jedoch auch andere Möglichkeiten, Fehler zu beheben, ohne Richtlinien aktualisieren zu müssen. Sie können den Nutzer beispielsweise einer Gruppe mit den erforderlichen Berechtigungen hinzufügen oder Tags hinzufügen, um eine Ressource von einer Richtlinie auszunehmen.

Informationen dazu, wie Sie Berechtigungsfehler aufgrund der einzelnen Richtlinientypen beheben können, finden Sie in den folgenden Abschnitten:

Berechtigungsfehler bei Zulassungsrichtlinien beheben

So beheben Sie Berechtigungsfehler aufgrund von Zulassungsrichtlinien:

Rolle mit den erforderlichen Berechtigungen zuweisen

So finden und gewähren Sie eine Rolle mit den erforderlichen Berechtigungen:

  1. Suchen Sie nach einer IAM-Rolle, die die fehlenden Berechtigungen enthält.

    Wenn Sie alle Rollen sehen möchten, in denen eine bestimmte Berechtigung enthalten ist, suchen Sie im Index für IAM-Rollen und ‑Berechtigungen nach der Berechtigung und klicken Sie dann auf den Berechtigungsnamen.

    Wenn keine vordefinierten Rollen zu Ihrem Anwendungsfall passen, können Sie stattdessen eine benutzerdefinierte Rolle erstellen.

  2. Suchen Sie nach dem Hauptkonto, dem Sie die Rolle zuweisen möchten:

    • Wenn nur dieser Nutzer die Berechtigung benötigt, weisen Sie ihm die Rolle direkt zu.
    • Wenn der Nutzer Mitglied einer Google-Gruppe ist, die Nutzer mit ähnlichen Berechtigungen enthält, sollten Sie die Rolle stattdessen der Gruppe zuweisen. Wenn Sie der Gruppe die Rolle zuweisen, können alle Mitglieder dieser Gruppe die Berechtigung verwenden, sofern ihnen die Verwendung nicht explizit verweigert wurde.

  3. Weisen Sie dem Hauptkonto die Rolle zu.

Gewährung für eine Privileged Access Manager-Berechtigung genehmigen

Mit Privileged Access Manager-Berechtigungen können Nutzer bestimmte IAM-Rollen anfordern. Wenn Sie die Anfrage eines Nutzers für eine Berechtigung genehmigen, werden ihm die angeforderten Rollen vorübergehend zugewiesen.

Wenn der Nutzer bereits eine Privileged Access Manager-Berechtigung mit einer Rolle hat, die die erforderlichen Berechtigungen enthält, kann er eine Zuweisung für diese Berechtigung anfordern. Nachdem das Team die Gewährung angefordert hat, können Sie die Gewährung genehmigen, um den Berechtigungsfehler zu beheben.

Wenn ein Nutzer keine Berechtigung hat, können Sie eine neue Berechtigung erstellen, für die er Gewährungen beantragen kann.

Nutzer einer Google-Gruppe hinzufügen

Wenn einer Google-Gruppe eine Rolle für eine Ressource zugewiesen wird, können alle Mitglieder dieser Gruppe die Berechtigungen in dieser Rolle verwenden, um auf die Ressource zuzugreifen.

Wenn einer vorhandenen Gruppe bereits eine Rolle mit den erforderlichen Berechtigungen zugewiesen wurde, können Sie einem Nutzer die erforderlichen Berechtigungen erteilen, indem Sie ihn dieser Gruppe hinzufügen:

  1. Suchen Sie nach einer Gruppe mit einer Rolle mit den erforderlichen Berechtigungen. Wenn Sie die Richtlinien-Fehlerbehebung bereits zur Fehlerbehebung der Anfrage verwendet haben, können Sie die Ergebnisse der Richtlinien-Fehlerbehebung prüfen, um eine Gruppe mit den erforderlichen Berechtigungen zu finden.

    Alternativ können Sie den Policy Analyzer verwenden, um eine Gruppe mit den erforderlichen Berechtigungen zu finden.

  2. Fügen Sie den Nutzer der Gruppe hinzu.

Berechtigungsfehler bei Ablehnungsrichtlinien beheben

So beheben Sie Berechtigungsfehler im Zusammenhang mit Ablehnungsrichtlinien:

Ausnahme von einer Ablehnungsrichtlinie

Wenn eine Ablehnungsregel den Zugriff eines Nutzers auf eine Ressource blockiert, haben Sie folgende Möglichkeiten, den Nutzer von der Regel auszunehmen:

  • Fügen Sie den Nutzer als Ausnahmehauptkonto in die Ablehnungsregel ein. Ausnahmehauptkonten sind Hauptkonten, die von der Ablehnungsregel nicht betroffen sind, auch wenn sie Teil einer Gruppe sind, die in der Ablehnungsregel enthalten ist.

    Wenn Sie einer Ablehnungsregel ein Ausnahme-Hauptkonto hinzufügen möchten, folgen Sie der Anleitung zum Aktualisieren der Ablehnungsrichtlinie. Suchen Sie beim Aktualisieren der Ablehnungsrichtlinie nach der Ablehnungsregel, die den Zugriff blockiert, und fügen Sie dann die Hauptkonto-ID des Nutzers als Ausnahmehauptkonto hinzu.

  • Fügen Sie den Nutzer einer Gruppe hinzu, die von der Regel ausgenommen ist. Wenn eine Gruppe als Ausnahme-Hauptkonto aufgeführt ist, sind alle Mitglieder dieser Gruppe von der Ablehnungsregel ausgenommen.

    So fügen Sie den Nutzer einer Gruppe mit Ausnahmen hinzu:

    1. Verwenden Sie die Richtlinien-Fehlerbehebung, um die Richtlinien vom Typ „Verweigern“ zu ermitteln, die den Zugriff auf die Ressource blockieren.
    2. Ablehnungsrichtlinie ansehen
    3. Prüfen Sie die Liste der Ausnahme-Principals für Gruppen.
    4. Wenn Sie eine Gruppe mit Ausnahmen identifizieren, fügen Sie den Nutzer der Gruppe hinzu.

Entfernen Sie die Berechtigung aus der Ablehnungsrichtlinie

Mit Ablehnungsregeln wird verhindert, dass die aufgeführten Hauptkonten bestimmte Berechtigungen verwenden. Wenn eine Ablehnungsregel den Zugriff eines Nutzers auf eine Ressource blockiert, können Sie die erforderlichen Berechtigungen aus der Ablehnungsregel entfernen.

Wenn Sie Berechtigungen aus einer Ablehnungsregel entfernen möchten, folgen Sie der Anleitung zum Aktualisieren der Ablehnungsrichtlinie. Wenn Sie die Ablehnungsrichtlinie aktualisieren, suchen Sie die Ablehnungsregel, die den Zugriff blockiert, und führen Sie einen der folgenden Schritte aus:

  • Wenn die erforderlichen Berechtigungen in der Ablehnungsrichtlinie einzeln aufgeführt sind, suchen Sie sie und entfernen Sie sie aus der Ablehnungsregel.
  • Wenn in der Ablehnungsregel Berechtigungsgruppen verwendet werden, fügen Sie die erforderlichen Berechtigungen als Ausnahmeberechtigungen hinzu. Ausnahmeberechtigungen sind Berechtigungen, die nicht durch die Ablehnungsregel blockiert werden, auch wenn sie Teil einer Berechtigungsgruppe sind, die in der Regel enthalten ist.

Ressource von der Ablehnungsrichtlinie ausschließen

Sie können Bedingungen in Ablehnungsrichtlinien verwenden, um eine Ablehnungsregel basierend auf den Tags einer Ressource anzuwenden. Wenn die Tags der Ressource nicht der Bedingung in der Ablehnungsregel entsprechen, wird die Ablehnungsregel nicht angewendet.

Wenn eine Ablehnungsregel den Zugriff auf eine Ressource blockiert, können Sie die Bedingungen in der Ablehnungsregel oder die Tags für die Ressource bearbeiten, damit die Ablehnungsregel nicht auf die Ressource angewendet wird.

Berechtigungsfehler bei der Principal Access Boundary-Richtlinie beheben

Standardmäßig dürfen Hauptkonten auf jede Google Cloud Ressource zugreifen. Wenn sie jedoch einer Principal Access Boundary-Richtlinie unterliegen, dürfen sie nur auf die Ressourcen zugreifen, die in den Principal Access Boundary-Richtlinien aufgeführt sind, denen sie unterliegen. In diesen Fällen kann eine Principal Access Boundary-Richtlinie verhindern, dass ein Hauptkonto auf eine Ressource zugreift.

So beheben Sie Fehler im Zusammenhang mit Principal Access Boundary-Richtlinien:

Ressource einer Principal Access Boundary-Richtlinie hinzufügen

Wenn eine Ressource in einer Principal Access Boundary-Richtlinie enthalten ist, der ein Nutzer unterliegt, darf er auf diese Ressource zugreifen.

Wenn Sie einer Principal Access Boundary-Richtlinie eine Ressource hinzufügen möchten, haben Sie folgende Möglichkeiten:

Bedingung zum Ausnehmen bestimmter Hauptkonten hinzufügen

Mit Bedingungen in Bindungen für Principal Access Boundary-Richtlinien können Sie eingrenzen, für welche Hauptkonten die Principal Access Boundary-Richtlinie erzwungen wird.

Wenn Sie nicht möchten, dass ein Nutzer Principal Access Boundary-Richtlinien unterliegt, verwenden Sie Bedingungen in Principal Access Boundary-Richtlinienbindungen, um den Nutzer von Principal Access Boundary-Richtlinien auszunehmen.

Damit mit diesem Ansatz Fehler behoben werden, müssen Sie den Nutzer von jeder Principal Access Boundary-Richtlinie ausnehmen, die für ihn gilt. Dadurch kann der Nutzer auf jede Google Cloud Ressource zugreifen.

Dieser Ansatz wird nicht empfohlen. Stattdessen sollten Sie die Ressource einer Principal Access Boundary-Richtlinie hinzufügen.

Wenn Sie die Principal Access Boundary-Richtlinien sehen möchten, denen ein Nutzer unterliegt, listen Sie die Richtlinienbindungen für die Hauptkontosätze auf, in denen er enthalten ist. Jede Bindung steht für eine Principal Access Boundary-Richtlinie, die an die Hauptkontogruppe gebunden ist.

Informationen zum Hinzufügen von Bedingungen zu Bindungen für Principal Access Boundary-Richtlinien finden Sie unter Vorhandene Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten.

Nächste Schritte