En este documento se describen los mensajes de error que pueden aparecer si no tienes los permisos de acceso necesarios para un recurso y se explica cómo puedes resolverlos.
Mensajes de error de permisos
La Google Cloud consola, la CLI de Google Cloud y la API REST muestran mensajes de error cuando intentas acceder a un recurso al que no tienes permiso.
Estos mensajes de error pueden deberse a cualquiera de los siguientes motivos:
- No tienes los permisos necesarios. Debes tener una vinculación de rol de política de permiso o un derecho de Gestor de acceso privilegiado activo para un rol con los permisos necesarios. Si no tienes los permisos necesarios,Google Cloud mostrará un mensaje de error.
- Hay una política de denegación que bloquea el acceso. Si una política de denegación te impide usar alguno de los permisos obligatorios, Google Cloud muestra un mensaje de error.
- No cumples los requisitos para acceder al recurso. Si estás sujeto a alguna política de límites de acceso de principales, el recurso al que intentas acceder debe incluirse en las reglas de límites de acceso de principales de las políticas. Si no es así, Google Cloud muestra un mensaje de error.
- El recurso no existe. Si el recurso no existe,Google Cloud muestra un mensaje de error.
En las siguientes secciones se muestra el aspecto de estos mensajes de error en laGoogle Cloud consola, la CLI de gcloud y la API REST.
Google Cloud mensajes de error de la consola
En la Google Cloud consola, los mensajes de error tienen un aspecto similar al siguiente:
Estos mensajes de error contienen la siguiente información:
- El recurso al que has intentado acceder: el nombre del recurso aparece en el título de la página de error e indica el recurso al que intentabas acceder cuando se ha producido el error de permiso.
- Permisos obligatorios que faltan: lista de los permisos que necesitas para acceder al recurso.
Una lista de derechos de Gestor de acceso privilegiado con roles que contienen los permisos necesarios: esta lista no es exhaustiva, sino que solo contiene los principales derechos que Google Cloud sugiere para resolver el problema de acceso.
Esta lista solo está disponible para los errores de permisos que se pueden resolver actualizando la concesión de roles de gestión de identidades y accesos adicionales.
Puedes hacer clic en un derecho para obtener más información sobre él y solicitar una concesión. Para obtener más información, consulta Solicitar una concesión de acceso de Gestor de acceso privilegiado en este documento.
Si ningún derecho contiene los permisos necesarios, la página de mensaje de error no incluirá la lista de derechos.
Lista de roles de gestión de identidades y accesos que contienen los permisos necesarios: Esta lista no es exhaustiva, sino que contiene una selección de roles queGoogle Cloud sugiere para resolver el problema de acceso. El orden se basa en el tipo de acciones que permite el rol, la relevancia del servicio y el número de permisos.
Si tienes los permisos necesarios para asignar roles, esta sección se titula Selecciona un rol para asignarlo. Si no tienes los permisos necesarios, esta sección se titula Solicitar un rol específico.
Esta lista solo está disponible para los errores de permisos que se pueden resolver asignando más roles de gestión de identidades y accesos.
Puedes hacer clic en un rol para obtener más información sobre él y solicitar que se te conceda. Si tienes los permisos necesarios para asignar roles, puedes asignarte el rol en lugar de solicitarlo.
Mensajes de error de la CLI de Google Cloud y la API REST
La redacción exacta del mensaje de error depende del comando que ejecutes. Sin embargo, suele contener la siguiente información:
- El permiso necesario
- El recurso en el que has intentado realizar una acción
- La cuenta de autenticación
Por ejemplo, si no tienes permiso para mostrar los segmentos de un proyecto, verás un mensaje de error como el siguiente:
gcloud
ERROR: (gcloud.storage.buckets.list) HTTPError 403:
EMAIL_ADDRESS does not have
storage.buckets.list access to the Google Cloud project. Permission
'storage.buckets.list' denied on resource (or it may not exist). This command
is authenticated as EMAIL ADDRESS which
is the active account specified by the [core/account] property.
REST
{
"error": {
"code": 403,
"message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
"errors": [
{
"message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
"domain": "global",
"reason": "forbidden"
}
]
}
}
Solicitar permisos que faltan
Si no tienes permiso para modificar las políticas relacionadas con el acceso en tu organización, no podrás resolver los errores de permiso por tu cuenta. Sin embargo, puedes enviar una solicitud de acceso a un administrador mediante el contexto del mensaje de error.
Puedes solicitar acceso de las siguientes formas:
Solicita los permisos necesarios. Esta solución es válida para todos los tipos de errores de permisos.
Solicita una concesión para un derecho de Privileged Access Manager. Esta solución solo es efectiva si el error de permiso se debe a tus políticas de permiso y si tienes un derecho de Privileged Access Manager con los permisos necesarios.
Solicita un rol con los permisos necesarios. Esta resolución solo es efectiva si el error de permiso se debe a tus políticas de permiso.
Si usas la Google Cloud consola y tienes los permisos necesarios para asignar roles, puedes asignarte el rol directamente desde el mensaje de error en lugar de solicitarlo. Para obtener más información, consulta Autoconceder un rol en la consola de Google Cloud .
Solicitar los permisos necesarios
Para solicitar los permisos necesarios, haz lo siguiente:
Consola
En la lista de permisos que faltan, haz clic en Solicitar permisos.
En el panel Solicitar acceso, elige cómo quieres notificar a tu administrador:
Si tu organización admite Contactos esenciales, puedes enviar un correo generado automáticamente al Contacto esencial técnico de tu organización. Para enviar este correo, haz lo siguiente:
- Selecciona Enviar correo generado automáticamente.
- Añade el contexto que quieras sobre la solicitud.
- Haz clic en Enviar solicitud.
Para copiar la solicitud de acceso y pegarla en el sistema de gestión de solicitudes que prefieras, sigue estos pasos:
- Si tu organización admite Contactos esenciales, pero quieres enviar la notificación manualmente, selecciona Enviar manualmente.
- Añade el contexto que quieras sobre la solicitud.
- Haz clic en Copiar mensaje.
- Pega la solicitud en el sistema de gestión de solicitudes que prefieras.
Tu administrador recibe tu solicitud de acceso, junto con cualquier contexto adicional que hayas proporcionado.
gcloud
Copia la lista de permisos que faltan del mensaje de error y, a continuación, usa el sistema de gestión de solicitudes que prefieras para pedirle a un administrador que te conceda esos permisos.
REST
Copia la lista de permisos que faltan del mensaje de error y, a continuación, usa el sistema de gestión de solicitudes que prefieras para pedirle a un administrador que te conceda esos permisos.
Solicitar una concesión para un derecho de Privileged Access Manager
Los derechos de gestor de acceso privilegiado definen un conjunto de roles de gestión de identidades y accesos que puedes solicitar en cualquier momento. Si tu solicitud se completa correctamente, se te concederán los roles solicitados de forma temporal.
Esta opción de resolución solo está disponible si el error de permiso se debe a tus políticas de permiso y si tienes un derecho de Gestor de Accesos Privilegiados con los permisos necesarios.
Para solicitar una concesión de derechos de un contenido, haz lo siguiente:
Consola
Cuando aparezca un mensaje de error, busca la sección Solicitar acceso temporal. En esta sección se enumeran todos los derechos de Privileged Access Manager que contienen un rol con los permisos necesarios.
Si no se devuelve ninguna sección Solicitar acceso temporal, significa que ningún derecho contiene el permiso necesario. En ese caso, puedes pedirle a un administrador que cree un nuevo derecho.
Revisa la lista de derechos disponibles y selecciona el derecho para el que quieras solicitar una concesión.
Haga clic en el derecho y, a continuación, en Solicitar acceso.
En el panel Solicitar concesión, introduce los detalles de la solicitud:
La duración necesaria para la concesión, hasta la duración máxima establecida en el derecho.
Si es necesario, una justificación de la concesión.
Opcional: Las direcciones de correo a las que se debe enviar una notificación sobre la solicitud de concesión. Las identidades de Google asociadas a los aprobadores reciben una notificación automáticamente. Sin embargo, puede que quieras enviar notificaciones a otro conjunto de direcciones de correo, sobre todo si usas federación de identidades de la plantilla.
Haz clic en Solicitar subvención.
Para ver tu historial de concesiones, incluidos los estados de aprobación, ve a la página Gestor de acceso privilegiado en la consolaGoogle Cloud y, a continuación, haz clic en Concesiones > Mis concesiones.
gcloud
Busque los derechos disponibles para encontrar un derecho con un rol que tenga los permisos necesarios.
Si no se devuelve ningún derecho, puedes pedir a un administrador que cree un nuevo derecho.
REST
Busque los derechos disponibles para encontrar un derecho con un rol que tenga los permisos necesarios.
Si no se devuelve ningún derecho, puedes pedir a un administrador que cree un nuevo derecho.
Solicitar un rol
Si el error de permiso se debe a una política de permiso, puedes solicitar a un administrador que te asigne un rol con los permisos necesarios para resolver el error.
Si el error se debe a otro tipo de política o no sabes qué tipo de política está causando el error, solicita los permisos necesarios.
Consola
En la sección Solicitar un rol específico, consulta la lista de roles recomendados y elige el que quieras solicitar. Puede hacer clic en los roles para ver más detalles sobre ellos. Esta sección solo se muestra si el error de permiso se debe a una política de permisos.
Haz clic en el rol que has elegido y, a continuación, en Solicitar rol.
En el panel Solicitar acceso, elige una de las opciones para notificar a tu administrador:
Si tu organización admite contactos esenciales, puedes enviar un correo generado automáticamente al contacto esencial técnico de tu organización. Para enviar este correo, sigue estos pasos:
- Selecciona Enviar correo generado automáticamente.
- Añade el contexto que quieras sobre la solicitud.
- Haz clic en Enviar solicitud.
Para copiar la solicitud de acceso y pegarla en el sistema de gestión de solicitudes que prefieras, sigue estos pasos:
- Si tu organización admite Contactos esenciales, pero quieres enviar la notificación manualmente, selecciona Enviar manualmente.
- Añade el contexto que quieras sobre la solicitud.
- Haz clic en Copiar mensaje.
- Pega la solicitud en el sistema de gestión de solicitudes que prefieras.
Tu administrador recibe tu solicitud de acceso, junto con cualquier contexto adicional que hayas proporcionado.
gcloud
Identifica un rol de gestión de identidades y accesos que contenga los permisos que faltan.
Para ver todos los roles en los que se incluye un permiso determinado, busca el permiso en el índice de roles y permisos de gestión de identidades y accesos y, a continuación, haz clic en el nombre del permiso.
Si ninguno de los roles predefinidos se ajusta a tu caso práctico, puedes crear un rol personalizado.
Usa el sistema de gestión de solicitudes que prefieras para pedirle a un administrador que te conceda el rol.
REST
Identifica un rol de gestión de identidades y accesos que contenga los permisos que faltan.
Para ver todos los roles en los que se incluye un permiso determinado, busca el permiso en el índice de roles y permisos de gestión de identidades y accesos y, a continuación, haz clic en el nombre del permiso.
Si ninguno de los roles predefinidos se ajusta a tu caso práctico, puedes crear un rol personalizado.
Usa el sistema de gestión de solicitudes que prefieras para pedirle a un administrador que te conceda el rol.
Asignarte un rol en la Google Cloud consola
Si se produce un error de permisos en la consola Google Cloud y tienes los permisos necesarios para asignar roles, puedes asignarte un rol directamente desde el mensaje de error de permisos:
En la sección Selecciona un rol para conceder, consulta la lista de roles recomendados y elige el que quieras solicitar. Puede hacer clic en los roles para ver más detalles sobre ellos.
Para conceder el rol que ha elegido, haga clic en él y, a continuación, en Conceder acceso.
Resolver errores de permisos de solicitudes de acceso
Si eres administrador, es posible que recibas solicitudes de acceso de usuarios que hayan tenido errores de permisos en la consola de Google Cloud . Estas solicitudes se suelen enviar a las siguientes personas:
El contacto técnico de Essentials de tu organización. Si tu organización ha habilitado los contactos esenciales, los usuarios que tengan errores de permisos en la consolaGoogle Cloud podrán enviar una solicitud de acceso al contacto esencial técnico de su organización.
Contactos configurados a través del sistema de gestión de solicitudes que prefieras. Los usuarios que tengan errores de permisos en la Google Cloud consola pueden copiar un mensaje de solicitud de acceso y enviarlo mediante el sistema de gestión de solicitudes que prefieran.
Estos mensajes suelen tener el siguiente formato:
user@example.com is requesting a role on the resource example.com:example-project.
Requestor's message:
"I need access to example-project to complete my work."
You may be able to resolve this request by granting access directly at:
ACCESS_REQUEST_PANEL_URL
Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:
POLICY_TROUBLESHOOTER_URL
Puedes responder a estas solicitudes de las siguientes formas:
Resolver el acceso directamente: las solicitudes de acceso contienen un enlace a un panel de solicitudes de acceso en la consola de Google Cloud . Si el error de permiso se debe a una política de permiso, puedes resolver el acceso directamente desde ese panel.
En el panel de solicitud de acceso, puedes revisar los detalles de la solicitud y elegir cómo quieres responder. Puedes responder de las siguientes formas:
- Asigna el rol solicitado
- Añadir el usuario a un grupo que ya tenga el acceso necesario
- Denegar la solicitud
Ver más detalles en la herramienta de solución de problemas de las políticas: las solicitudes de acceso también contienen un enlace a la herramienta de solución de problemas de las políticas, que te permite ver qué políticas impiden el acceso del usuario. Puedes usar esta información para decidir cómo resolver el problema de acceso del usuario. Para obtener más información, consulta la sección Identificar las políticas que provocan errores de permisos de esta página.
Resolver manualmente los errores de permisos
Si eres administrador y tienes permiso para modificar las políticas relacionadas con el acceso de tu organización, puedes usar estas estrategias para resolver errores de permisos, independientemente del tipo de política que los provoque.
Para resolver los errores de permisos, primero debe determinar qué políticas (permitir, denegar o límite de acceso principal) están causando el error. Después, puedes resolver el error.
Identificar las políticas que provocan errores de permisos
Para determinar qué políticas están provocando un error de permisos, utilice la herramienta para solucionar problemas relacionados con las políticas.
Solucionador de problemas de políticas te ayuda a saber si una entidad de seguridad puede acceder a un recurso. Dado un principal, un recurso y un permiso, Solucionador de problemas de políticas examina las políticas de permiso, las políticas de denegación y las políticas de límites de acceso de principales (PAB) que afectan al acceso del principal. A continuación, te indica si, según esas políticas, la entidad principal puede usar el permiso especificado para acceder al recurso. También se indican las políticas pertinentes y se explica cómo afectan al acceso de la cuenta principal.Para saber cómo solucionar problemas de acceso e interpretar los resultados de la herramienta de solución de problemas de políticas, consulta Solucionar problemas de permisos de IAM.
Los mensajes de error de la consola Google Cloud contienen un enlace a una página de resultados de la herramienta para solucionar problemas de políticas del principal, los permisos y el recurso implicados en la solicitud. Para ver este enlace, haga clic en Ver detalles de solución de problemas y, a continuación, busque el valor en el campo URL de solución de problemas.
Actualizar el acceso para resolver errores de permisos
Una vez que sepas qué políticas están provocando un error de permiso, puedes tomar medidas para resolverlo.
A menudo, para resolver un error, es necesario crear o actualizar políticas de límites de acceso de principales, de permiso o de denegación.
Sin embargo, hay otras opciones para resolver los errores que no implican actualizar las políticas. Por ejemplo, puedes añadir al usuario a un grupo que tenga los permisos necesarios o añadir etiquetas para eximir un recurso de una política.
Para saber cómo resolver los errores de permisos debido a cada uno de los tipos de políticas, consulte los siguientes artículos:
- Resolver errores de permiso de política de permitir
- Resolver errores de permiso de política denegado
Resolver errores de permiso de la política de permitir
Para resolver los errores de permisos debidos a las políticas de permisos, haga una de las siguientes acciones.
Conceder un rol con los permisos necesarios
Para buscar y asignar un rol con los permisos necesarios, sigue estos pasos:
Identifica un rol de gestión de identidades y accesos que contenga los permisos que faltan.
Para ver todos los roles en los que se incluye un permiso determinado, busca el permiso en el índice de roles y permisos de gestión de identidades y accesos y, a continuación, haz clic en el nombre del permiso.
Si ninguno de los roles predefinidos se ajusta a tu caso práctico, puedes crear un rol personalizado.
Identifica la cuenta principal a la que quieres asignar el rol:
- Si el usuario es el único que necesita el permiso, concédele el rol directamente.
- Si el usuario forma parte de un grupo de Google que contiene usuarios que necesitan permisos similares, considera la posibilidad de asignar el rol al grupo. Si asignas el rol al grupo, todos sus miembros podrán usar ese permiso, a menos que se les haya denegado explícitamente.
Asigna el rol a la cuenta principal.
Aprobar una concesión en Privileged Access Manager
Los derechos de Gestor de acceso privilegiado permiten a los usuarios solicitar que se les asignen roles de gestión de identidades y accesos específicos. Si apruebas la solicitud de un usuario, se le concederán los roles solicitados temporalmente.
Si el usuario ya tiene un derecho de administrador de acceso privilegiado con un rol que contiene los permisos necesarios, puede solicitar una concesión para ese derecho. Una vez que hayan solicitado la concesión, puedes aprobarla para resolver el error de permiso.
Si un usuario no tiene un derecho, puedes crear uno nuevo para que pueda solicitar concesiones.
Añadir el usuario a un grupo de Google
Si se asigna un rol a un grupo de Google en un recurso, todos los miembros de ese grupo podrán usar los permisos de ese rol para acceder al recurso.
Si ya se ha asignado un rol con los permisos necesarios a un grupo, puede dar los permisos necesarios a un usuario añadiéndolo a ese grupo:
Identifica un grupo que tenga un rol con los permisos necesarios. Si ya ha usado Solucionador de problemas de políticas para solucionar el problema de la solicitud, puede consultar los resultados de la herramienta para identificar un grupo con los permisos necesarios.
También puedes usar Analizador de políticas para identificar un grupo con los permisos necesarios.
Resolver errores de permisos de políticas de denegación
Para resolver los errores de permisos relacionados con las políticas de denegación, haz una de las siguientes acciones.
Eximirse de una política de denegación
Si una regla de denegación impide que un usuario acceda a un recurso, puedes hacer una de las siguientes acciones para eximir al usuario de la regla:
Añade al usuario como principal de excepción en la regla de denegación. Las entidades de excepción son entidades a las que no afecta la regla de denegación, aunque formen parte de un grupo incluido en la regla de denegación.
Para añadir un principal de excepción a una regla de denegación, sigue los pasos para actualizar la política de denegación. Cuando actualices la política de denegación, busca la regla de denegación que bloquea el acceso y, a continuación, añade el identificador principal del usuario como principal de excepción.
Añade al usuario a un grupo que esté exento de la regla. Si un grupo aparece como entidad principal de excepción, todos los miembros de ese grupo estarán exentos de la regla de denegación.
Para añadir el usuario a un grupo exento, siga estos pasos:
- Usa Solucionador de problemas de políticas para identificar las políticas de denegación que están bloqueando el acceso al recurso.
- Consulta la política de denegación.
- Consulta la lista de principales de excepción de los grupos.
- Si identificas un grupo exento, añade al usuario al grupo.
Quitar el permiso de la política de denegación
Las reglas de denegación impiden que las entidades principales incluidas en la lista usen permisos específicos. Si una regla de denegación impide que un usuario acceda a un recurso, puedes quitar los permisos que necesite de la regla de denegación.
Para quitar permisos de una regla de denegación, sigue los pasos para actualizar la política de denegación. Cuando actualices la política de denegación, busca la regla de denegación que bloquea el acceso y haz una de las siguientes acciones:
- Si la política de denegación incluye los permisos necesarios de forma individual, busca los permisos necesarios y quítalos de la regla de denegación.
- Si la regla de denegación usa grupos de permisos, añade los permisos necesarios como permisos de excepción. Los permisos de excepción son permisos que no están bloqueados por la regla de denegación, aunque formen parte de un grupo de permisos incluido en la regla.
Excluir el recurso de la política de denegación
Puede usar condiciones en las políticas de denegación para aplicar una regla de denegación basada en las etiquetas de un recurso. Si las etiquetas del recurso no cumplen la condición de la regla de denegación, esta no se aplica.
Si una regla de denegación está bloqueando el acceso a un recurso, puedes editar las condiciones de la regla de denegación o las etiquetas del recurso para asegurarte de que la regla de denegación no se aplique al recurso.
Para saber cómo usar las condiciones en una regla de denegación, consulta Condiciones en las políticas de denegación.
Para saber cómo actualizar las políticas de denegación, consulta Actualizar una política de denegación.
Para saber cómo editar las etiquetas de un recurso, consulta Crear y gestionar etiquetas.
Resolver errores de permisos de la política de límites de acceso de principales
De forma predeterminada, las entidades principales pueden acceder a cualquier Google Cloud recurso. Sin embargo, si están sujetos a alguna política de límites de acceso de principales, solo podrán acceder a los recursos que se incluyan en las políticas de límites de acceso de principales a las que estén sujetos. En estos casos, una política de límites de acceso de principales puede impedir que un principal acceda a un recurso.
Para resolver los errores relacionados con las políticas de límite de acceso de principales, haga una de las siguientes acciones.
Añadir el recurso a una política de límites de acceso de principales
Si un recurso se incluye en una política de límite de acceso de un principal a la que está sujeto un usuario, este podrá acceder a ese recurso.
Para añadir un recurso a una política de límites de acceso de principales, haz una de las siguientes acciones:
Crea una política de límites de acceso de principales:
- Crea una política de límite de acceso de principal que incluya el recurso.
Asocia la política a un conjunto de principales en el que se incluya al usuario.
Para obtener más información sobre los conjuntos de principales, consulta Conjuntos de principales admitidos.
Para actualizar una política de límites de acceso de principales, sigue estos pasos:
- Lista los enlaces de políticas de límites de acceso principales de un conjunto de principales en el que se incluye el usuario. Cada enlace representa una política de límites de acceso de principales que está vinculada al conjunto de principales.
- En la lista de vinculaciones, identifica la política de límites de acceso de principales que quieras modificar.
- Opcional: Lista los enlaces de la política de límites de acceso de principales para ver a qué principales está vinculada la política. Si actualiza la política, se verá afectado el acceso de todos los conjuntos de principales a los que esté vinculada.
- Edita la política Límites de Acceso de Principales para que incluya el recurso.
Añadir una condición para eximir a principales específicos
Puedes usar condiciones en las vinculaciones de políticas de límites de acceso de principales para definir con precisión a qué principales se aplica la política de límites de acceso de principales.
Si no quieres que un usuario esté sujeto a las políticas de límite de acceso de principales, utiliza condiciones en los enlaces de políticas de límite de acceso de principales para eximir al usuario de dichas políticas.
Para que este método resuelva los errores, debes eximir al usuario de todas las políticas de límite de acceso de la entidad de seguridad a las que esté sujeto. De este modo, el usuario podrá acceder a cualquier recurso Google Cloud .
No recomendamos este método. En su lugar, añada el recurso a una política de límite de acceso de principal.
Para ver las políticas de límite de acceso de principales a las que está sujeto un usuario, lista los enlaces de políticas de los conjuntos de principales en los que se incluye. Cada enlace representa una política de límites de acceso de principales que está vinculada al conjunto de principales.
Para saber cómo añadir condiciones a las vinculaciones de políticas de límites de acceso de principales, consulta Editar vinculaciones de políticas de límites de acceso de principales.
Siguientes pasos
- Probar los cambios de rol con el simulador de política
- Probar los cambios en las políticas de denegación con el simulador de políticas
- Probar los cambios en la política de límites de acceso de principales