Este documento aborda as mensagens de erro que pode encontrar se não tiver as autorizações de acesso necessárias para um recurso e descreve como pode resolver estes erros.
Mensagens de erro de autorização
A Google Cloud consola, a CLI do Google Cloud e a API REST apresentam mensagens de erro quando tenta aceder a um recurso ao qual não tem autorização de acesso.
Estas mensagens de erro podem dever-se a qualquer um dos seguintes motivos:
- Não tem as autorizações necessárias. Tem de ter uma associação de funções da política de autorização ou uma autorização do Gestor de acesso privilegiado ativa para uma função com as autorizações necessárias. Se não tiver as autorizações necessárias, o íconeGoogle Cloud apresenta uma mensagem de erro.
- Existe uma política de negação a bloquear o acesso. Se uma política de recusa impedir a utilização de quaisquer autorizações necessárias, o Google Cloud apresenta uma mensagem de erro.
- Não é elegível para aceder ao recurso. Se estiver sujeito a quaisquer políticas de limite de acesso principal, o recurso ao qual está a tentar aceder tem de ser incluído nas regras de limite de acesso principal das políticas. Caso contrário, Google Cloud apresenta uma mensagem de erro.
- O recurso não existe. Se o recurso não existir, o íconeGoogle Cloud apresenta uma mensagem de erro.
As secções seguintes mostram o aspeto destas mensagens de erro para a Google Cloud consola, a CLI gcloud e a API REST.
Google Cloud mensagens de erro da consola
Na Google Cloud consola, as mensagens de erro são semelhantes às seguintes:
Estas mensagens de erro contêm as seguintes informações:
- O recurso ao qual tentou aceder: o nome do recurso aparece no título da página de erro e indica o recurso ao qual estava a tentar aceder quando encontrou o erro de autorização.
- As autorizações obrigatórias em falta: uma lista das autorizações que precisa de ter para aceder ao recurso.
Uma lista de concessões do Privileged Access Manager com funções que contêm as autorizações necessárias: esta lista não é exaustiva. Contém apenas as principais concessões que o Google Cloud Google sugere para resolver o problema de acesso.
Esta lista só está disponível para erros de autorização que podem ser resolvidos através da concessão de funções de IAM adicionais.
Pode clicar num direito para saber mais sobre o mesmo e para pedir uma concessão contra o direito. Para saber mais, consulte a secção Peça uma concessão de acesso do gestor de acesso privilegiado neste documento.
Se nenhuma concessão contiver as autorizações necessárias, a página de mensagem de erro não inclui a lista de concessões.
Uma lista de funções de IAM que contêm as autorizações necessárias: Esta lista não é exaustiva. Contém uma lista organizada de funções que Google Cloud sugere para resolver o problema de acesso. A ordenação baseia-se no tipo de ações permitidas pela função, na relevância do serviço e no número de autorizações.
Se tiver as autorizações necessárias para conceder funções, esta secção tem o título Selecione uma função a conceder. Se não tiver as autorizações necessárias, esta secção tem o título Peça uma função específica.
Pode clicar numa função para saber mais sobre a mesma e pedir que lhe seja concedida. Se tiver as autorizações necessárias para conceder funções, pode conceder a função a si próprio em vez de a pedir.
Mensagens de erro da CLI gcloud e da API REST do Google Cloud
A redação exata da mensagem de erro depende do comando que executar. No entanto, normalmente, contém as seguintes informações:
- A autorização necessária
- O recurso no qual tentou realizar uma ação
- A conta de autenticação
Por exemplo, se não tiver autorização para listar contentores num projeto, é apresentada uma mensagem de erro semelhante à seguinte:
gcloud
ERROR: (gcloud.storage.buckets.list) HTTPError 403:
EMAIL_ADDRESS does not have
storage.buckets.list access to the Google Cloud project. Permission
'storage.buckets.list' denied on resource (or it may not exist). This command
is authenticated as EMAIL_ADDRESS which
is the active account specified by the [core/account] property.
REST
{
"error": {
"code": 403,
"message": "EMAIL_ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
"errors": [
{
"message": "EMAIL_ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
"domain": "global",
"reason": "forbidden"
}
]
}
}
Peça autorizações em falta
Se não tiver autorização para modificar as políticas relacionadas com o acesso na sua organização, não pode resolver os erros de autorização sozinho. No entanto, pode enviar um pedido de acesso a um administrador através do contexto da mensagem de erro.
Pode pedir acesso das seguintes formas:
Peça as autorizações necessárias. Esta resolução é eficaz para todos os tipos de erros de autorização.
Peça uma concessão relativamente a uma autorização do Gestor de acessos privilegiados. Esta resolução só é eficaz se o erro de autorização for causado pelas suas políticas de permissão e se tiver uma autorização do Privileged Access Manager com as autorizações necessárias.
Peça uma função com as autorizações necessárias. Esta resolução só é eficaz se o erro de autorização for causado pelas suas políticas de permissão.
Se estiver a usar a Google Cloud consola e tiver as autorizações necessárias para atribuir funções, pode atribuir a função a si mesmo diretamente a partir da mensagem de erro, em vez de a pedir. Para mais informações, consulte o artigo Conceda-se uma função na Google Cloud consola.
Peça as autorizações necessárias
Para pedir as autorizações necessárias, faça o seguinte:
Consola
Na lista de autorizações em falta, clique em Pedir autorizações.
No painel Pedir acesso, escolha como quer notificar o seu administrador:
Se a sua organização suportar os contactos essenciais e permitir emails de pedido de acesso gerados automaticamente, pode enviar um email gerado automaticamente ao contacto essencial técnico da sua organização. Para enviar este email, faça o seguinte:
- Selecione Enviar email gerado automaticamente.
- Adicione qualquer contexto acerca do pedido que queira incluir.
- Clique em Enviar solicitação.
Para copiar o pedido de acesso e colá-lo no seu sistema de gestão de pedidos preferencial, faça o seguinte:
- Se a sua organização suportar contactos essenciais e permitir emails gerados automaticamente, mas quiser enviar a notificação manualmente, selecione Notificar manualmente.
- Adicione qualquer contexto acerca do pedido que queira incluir.
- Clique em Copiar mensagem.
- Cole o pedido no seu sistema preferencial de gestão de pedidos.
O administrador recebe o seu pedido de acesso, juntamente com qualquer contexto adicional que tenha fornecido.
gcloud
Copie a lista de autorizações em falta da mensagem de erro e, em seguida, use o seu sistema de gestão de pedidos preferencial para pedir a um administrador que lhe conceda estas autorizações.
REST
Copie a lista de autorizações em falta da mensagem de erro e, em seguida, use o seu sistema de gestão de pedidos preferencial para pedir a um administrador que lhe conceda estas autorizações.
Peça uma concessão em relação a um direito do Gestor de acessos privilegiados
As autorizações do Gestor de acessos privilegiados definem um conjunto de funções do IAM que pode pedir em qualquer altura. Se o seu pedido for bem-sucedido, as funções pedidas são-lhe concedidas temporariamente.
Esta opção de resolução só está disponível se o erro de autorização for causado pelas suas políticas de permissão e se tiver uma concessão do Privileged Access Manager com as autorizações necessárias.
Para pedir uma concessão em relação a um direito existente, faça o seguinte:
Consola
Quando encontrar uma mensagem de erro, procure a secção Pedir acesso temporário. Esta secção apresenta todas as concessões do Privileged Access Manager que contêm uma função com as autorizações necessárias.
Se não for devolvida nenhuma secção Pedir acesso temporário, significa que nenhum direito contém as autorizações necessárias. Neste caso, pode pedir a um administrador que crie um novo direito.
Reveja a lista de autorizações disponíveis e selecione a autorização para a qual quer pedir uma concessão.
Clique na autorização e, de seguida, em Pedir acesso.
No painel Pedir concessão, introduza os detalhes da concessão do pedido:
A duração necessária para a concessão, até à duração máxima definida no direito.
Se necessário, uma justificação para a concessão.
Opcional: os endereços de email a notificar sobre o pedido de concessão. As identidades Google associadas aos aprovadores são notificadas automaticamente. No entanto, pode querer enviar notificações para um conjunto diferente de endereços de email, especialmente se estiver a usar a Federação de identidades da força de trabalho.
Clique em Pedir concessão.
Para ver o seu histórico de concessões, incluindo os estados de aprovação, aceda à página Gestor de acesso privilegiado na Google Cloud consola e, de seguida, clique em Concessões > As minhas concessões.
gcloud
Pesquise autorizações disponíveis para encontrar uma autorização com uma função que tenha as autorizações necessárias.
Se não for devolvida nenhuma concessão, pode pedir a um administrador que crie uma nova concessão.
Opcional: verifique o estado do pedido de subvenção.
REST
Pesquise autorizações disponíveis para encontrar uma autorização com uma função que tenha as autorizações necessárias.
Se não for devolvida nenhuma concessão, pode pedir a um administrador que crie uma nova concessão.
Opcional: verifique o estado do pedido de subvenção.
Peça uma função
Se o erro de autorização for causado por uma política de permissão, pode pedir a um administrador que lhe conceda uma função com as autorizações necessárias para resolver o erro.
Se o erro for causado por um tipo de política diferente ou se não tiver a certeza de que tipo de política está a causar o erro, peça as autorizações necessárias.
Consola
Na secção Peça uma função específica, reveja a lista de funções recomendadas e escolha a que quer pedir. Pode clicar nas funções para ver mais detalhes sobre as mesmas. Esta secção só é visível se o erro de autorização for causado por uma política de autorização.
Clique na função que escolheu e, de seguida, clique em Pedir função.
No painel Pedir acesso, escolha uma das opções para notificar o seu administrador:
Se a sua organização suportar contactos essenciais e permitir emails de pedidos de acesso gerados automaticamente, pode enviar um email gerado automaticamente para o contacto essencial técnico da sua organização. Para enviar este email, faça o seguinte:
- Selecione Enviar email gerado automaticamente.
- Adicione qualquer contexto acerca do pedido que queira incluir.
- Clique em Enviar solicitação.
Para copiar o pedido de acesso e colá-lo no seu sistema de gestão de pedidos preferencial, faça o seguinte:
- Se a sua organização suportar contactos essenciais e permitir emails gerados automaticamente, mas quiser enviar a notificação manualmente, selecione Notificar manualmente.
- Adicione qualquer contexto acerca do pedido que queira incluir.
- Clique em Copiar mensagem.
- Cole o pedido no seu sistema de gestão de pedidos preferencial.
O administrador recebe o seu pedido de acesso, juntamente com qualquer contexto adicional que tenha fornecido.
gcloud
Identifique uma função de IAM que contenha as autorizações em falta.
Para ver todas as funções nas quais uma determinada autorização está incluída, pesquise a autorização no índice de autorizações e funções de IAM e, de seguida, clique no nome da autorização.
Se nenhuma das funções predefinidas corresponder ao seu exemplo de utilização, pode criar uma função personalizada.
Use o seu sistema de gestão de pedidos preferencial para pedir a um administrador que lhe atribua a função.
REST
Identifique uma função de IAM que contenha as autorizações em falta.
Para ver todas as funções nas quais uma determinada autorização está incluída, pesquise a autorização no índice de autorizações e funções de IAM e, de seguida, clique no nome da autorização.
Se nenhuma das funções predefinidas corresponder ao seu exemplo de utilização, pode criar uma função personalizada.
Use o seu sistema de gestão de pedidos preferencial para pedir a um administrador que lhe atribua a função.
Conceda-se uma função na Google Cloud consola
Se encontrar um erro de autorização na Google Cloud consola e tiver as autorizações necessárias para conceder funções, pode conceder-se uma função diretamente a partir da mensagem de erro de autorização:
Na secção Selecione uma função a conceder, reveja a lista de funções recomendadas e escolha a que quer pedir. Pode clicar nas funções para ver mais detalhes sobre as mesmas.
Para conceder a função que escolheu, clique na função e, de seguida, em Conceder acesso.
Resolva erros de autorização de pedidos de acesso
Se for administrador, pode receber pedidos de acesso de utilizadores que encontraram erros de autorização na Google Cloud consola. Estes pedidos são normalmente enviados às seguintes pessoas:
O contacto técnico essencial da sua organização. Se a sua organização tiver ativado os contactos essenciais e permitir emails de pedido de acesso gerados automaticamente, os utilizadores que encontrem erros de autorização na consola têm a opção de enviar um pedido de acesso gerado automaticamente ao contacto essencial técnico da respetiva organização.Google Cloud
Contactos configurados através do seu sistema de gestão de pedidos preferencial. Os utilizadores que encontram erros de autorização na Google Cloud consola têm a opção de copiar uma mensagem de pedido de acesso e, em seguida, enviá-la através do respetivo sistema de gestão de pedidos preferido.
Normalmente, estas mensagens têm o seguinte formato:
user@example.com is requesting a role on the resource example.com:example-project.
Requestor's message:
"I need access to example-project to complete my work."
You may be able to resolve this request by granting access directly at:
ACCESS_REQUEST_PANEL_URL
Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:
POLICY_TROUBLESHOOTER_URL
Pode responder a estas solicitações das seguintes formas:
Resolva o acesso diretamente: os pedidos de acesso contêm um link para um painel de pedidos de acesso na Google Cloud consola. Se o erro de autorização for causado por uma política de permissão, pode resolver o acesso diretamente a partir desse painel.
No painel de pedido de acesso, pode rever os detalhes do pedido e escolher como quer responder ao pedido. Pode responder das seguintes formas:
- Conceda a função pedida
- Adicione o utilizador a um grupo existente que já tenha o acesso necessário
- Negar o pedido
Veja detalhes adicionais no resolutor de problemas de políticas: os pedidos de acesso contêm um link para o resolutor de problemas de políticas, que lhe permite ver que políticas estão a bloquear o acesso do utilizador. Pode usar estas informações para decidir como resolver o problema de acesso do utilizador. Para mais informações, consulte o artigo Identifique as políticas que causam erros de autorização nesta página.
Corrija problemas de acesso com a resolução de problemas de políticas (Pré-visualização): os pedidos de acesso também contêm um link para um resumo da correção de políticas, que descreve os detalhes do pedido, incluindo o principal, o recurso e a autorização que estão a fazer o pedido. No resumo da correção de políticas, pode resolver diretamente pedidos de acesso que envolvam políticas de autorização e obter mais informações sobre as políticas que estão a bloquear o acesso dos utilizadores.
Para mais informações sobre a resolução de solicitações de acesso através do resumo da correção de políticas, consulte o artigo Corrija problemas de acesso.
Resolva manualmente erros de autorização
Se for um administrador com autorização para modificar as políticas relacionadas com o acesso na sua organização, pode usar estas estratégias para resolver erros de autorização, independentemente do tipo de política que está a causar o erro.
Para resolver erros de autorização, primeiro tem de determinar que políticas (permitir, negar ou limite de acesso principal) estão a causar o erro. Em seguida, pode resolver o erro.
Identifique as políticas que causam erros de autorização
Para determinar que políticas estão a causar um erro de autorização, use a resolução de problemas de políticas.
A resolução de problemas de políticas ajuda a compreender se um principal pode aceder a um recurso. Dado um principal, um recurso e uma autorização, a ferramenta de resolução de problemas de políticas examina as políticas de permissão, as políticas de negação e as políticas de limite de acesso principal (PAB) que afetam o acesso do principal. Em seguida, indica se, com base nessas políticas, o principal pode usar a autorização especificada para aceder ao recurso. Também indica as políticas relevantes e explica como afetam o acesso do principal.Para saber como resolver problemas de acesso e interpretar os resultados do resolucionador de problemas de políticas, consulte o artigo Resolva problemas de autorizações do IAM.
As mensagens de erro na Google Cloud consola contêm um link para uma página de remediação do solucionador de problemas de políticas (pré-visualização) para o principal, as autorizações e o recurso envolvidos no pedido. Para ver este link, clique em Ver detalhes da resolução de problemas e, de seguida, clique em Resolução de problemas de políticas. Para mais informações, consulte o artigo Corrija pedidos de acesso.
Atualize o acesso para resolver erros de autorização
Depois de saber que políticas estão a causar um erro de autorização, pode tomar medidas para resolver o erro.
Muitas vezes, a resolução de um erro envolve a criação ou a atualização de políticas de limites de acesso de principais, de permissão ou de restrição.
No entanto, existem outras opções para resolver erros que não envolvem a atualização de políticas. Por exemplo, pode adicionar o utilizador a um grupo que tenha as autorizações necessárias ou adicionar etiquetas para isentar um recurso de uma política.
Para saber as diferentes formas de resolver erros de autorização causados por cada um dos diferentes tipos de políticas, consulte o seguinte:
Resolva erros de autorização de políticas de permissão
Para resolver erros de autorização causados por políticas de permissão, faça uma das seguintes ações.
Conceda uma função com as autorizações necessárias
Para encontrar e conceder uma função com as autorizações necessárias, faça o seguinte:
Identifique uma função de IAM que contenha as autorizações em falta.
Para ver todas as funções nas quais uma determinada autorização está incluída, pesquise a autorização no índice de autorizações e funções de IAM e, de seguida, clique no nome da autorização.
Se nenhuma das funções predefinidas corresponder ao seu exemplo de utilização, pode criar uma função personalizada.
Identifique um principal ao qual conceder a função:
- Se o utilizador for a única pessoa que precisa da autorização, atribua a função diretamente ao utilizador.
- Se o utilizador fizer parte de um grupo Google que contenha utilizadores que precisam de autorizações semelhantes, considere atribuir a função ao grupo. Se conceder a função ao grupo, todos os membros desse grupo podem usar essa autorização, a menos que lhes tenha sido explicitamente recusada a utilização da mesma.
Conceda a função ao principal.
Aprove uma concessão relativamente a uma autorização do Gestor de acessos privilegiados
As autorizações do Gestor de acesso privilegiado permitem que os utilizadores peçam a concessão de funções específicas do IAM. Se aprovar o pedido de concessão de um utilizador, este recebe as funções pedidas temporariamente.
Se o utilizador já tiver uma concessão do Privileged Access Manager com uma função que contenha as autorizações necessárias, pode pedir uma concessão em relação a essa concessão. Depois de o utilizador pedir a concessão, pode aprovar a concessão para resolver o erro de autorização.
Se um utilizador não tiver uma autorização, pode criar uma nova autorização para que o utilizador possa pedir concessões.
Adicione o utilizador a um grupo Google
Se for concedida uma função a um grupo Google num recurso, todos os membros desse grupo podem usar as autorizações nessa função para aceder ao recurso.
Se já tiver sido concedida a um grupo existente uma função com as autorizações necessárias, pode conceder a um utilizador as autorizações necessárias adicionando-o a esse grupo:
Identifique um grupo que tenha uma função com as autorizações necessárias. Se já usou a resolução de problemas de políticas para resolver problemas do pedido, pode rever os resultados da resolução de problemas de políticas para identificar um grupo com as autorizações necessárias.
Em alternativa, pode usar o analisador de políticas para identificar um grupo com as autorizações necessárias.
Resolva erros de autorização de políticas de negação
Para resolver erros de autorização relacionados com políticas de recusa, faça uma das seguintes ações.
Isente-se de uma política de recusa
Se uma regra de recusa estiver a bloquear o acesso de um utilizador a um recurso, pode fazer uma das seguintes ações para isentar o utilizador da regra:
Adicione o utilizador como um principal de exceção na regra de recusa. Os principais de exceção são principais que não são afetados pela regra de recusa, mesmo que façam parte de um grupo incluído na regra de recusa.
Para adicionar um principal de exceção a uma regra de recusa, siga os passos para atualizar a política de recusa. Quando atualizar a política de recusa, procure a regra de recusa que bloqueia o acesso e, em seguida, adicione o identificador principal do utilizador como um principal de exceção.
Adicione o utilizador a um grupo isento da regra. Se um grupo for apresentado como um principal de exceção, todos os membros desse grupo estão isentos da regra de recusa.
Para adicionar o utilizador a um grupo isento, faça o seguinte:
- Use a resolução de problemas de políticas para identificar as políticas de recusa que estão a bloquear o acesso ao recurso.
- Veja a política de recusa.
- Verifique a lista de principais de exceção para grupos.
- Se identificar um grupo isento, adicione o utilizador ao grupo.
Remova a autorização da política de negação
As regras de recusa impedem que os responsáveis listados usem autorizações específicas. Se uma regra de negação estiver a bloquear o acesso de um utilizador a um recurso, pode remover as autorizações de que necessita da regra de negação.
Para remover autorizações de uma regra de recusa, siga os passos para atualizar a política de recusa. Quando atualizar a política de recusa, encontre a regra de recusa que bloqueia o acesso e, em seguida, faça uma das seguintes ações:
- Se a política de recusa listar as autorizações necessárias individualmente, encontre as autorizações necessárias e remova-as da regra de recusa.
- Se a regra de recusa usar grupos de autorizações, adicione as autorizações necessárias como autorizações de exceção. As autorizações de exceção são autorizações que não são bloqueadas pela regra de recusa, mesmo que façam parte de um grupo de autorizações incluído na regra.
Exclua o recurso da política de recusa
Pode usar condições em políticas de recusa para aplicar uma regra de recusa com base nas etiquetas de um recurso. Se as etiquetas do recurso não cumprirem a condição na regra de recusa, a regra de recusa não se aplica.
Se uma regra de recusa estiver a bloquear o acesso a um recurso, pode editar as condições na regra de recusa ou as etiquetas no recurso para garantir que a regra de recusa não se aplica ao recurso.
Para saber como usar condições numa regra de recusa, consulte o artigo Condições nas políticas de recusa.
Para saber como atualizar as políticas de recusa, consulte o artigo Atualize uma política de recusa.
Para saber como editar as etiquetas de um recurso, consulte o artigo Criar e gerir etiquetas.
Resolva erros de autorização da política de limite de acesso principal
Por predefinição, os principais são elegíveis para aceder a qualquer Google Cloud recurso. No entanto, se estiverem sujeitos a alguma política de limite de acesso principal, só são elegíveis para aceder aos recursos indicados nas políticas de limite de acesso principal a que estão sujeitos. Nestes casos, uma política de limite de acesso principal pode impedir que um principal aceda a um recurso.
Para resolver erros relacionados com políticas de limite de acesso principal, faça uma das seguintes ações.
Adicione o recurso a uma política de limite de acesso principal
Se um recurso estiver incluído numa política de limite de acesso principal à qual um utilizador está sujeito, este é elegível para aceder a esse recurso.
Para adicionar um recurso a uma política de limite de acesso principal, faça o seguinte:
Crie uma nova política de limite de acesso principal:
- Crie uma nova política de limite de acesso principal que inclua o recurso.
Associe a política a um conjunto de entidades que inclua o utilizador.
Para saber mais sobre os conjuntos de principais, consulte o artigo Conjuntos de principais suportados.
Atualize uma política de limite de acesso principal existente:
- Liste as associações de políticas de limites de acesso principais para um conjunto principal no qual o utilizador está incluído. Cada associação representa uma política de limite de acesso principal associada ao conjunto de principais.
- Na lista de associações, identifique uma política de limite de acesso principal a modificar.
- Opcional: liste as associações de políticas de limite de acesso principal para a política para ver a que conjuntos de principais a política está associada. A atualização da política afeta o acesso de todos os conjuntos de principais aos quais a política está associada.
- Edite a política de limite de acesso principal para que inclua o recurso.
Adicione uma condição para isentar determinados responsáveis
Pode usar condições em associações de políticas de limite de acesso principal para refinar os principais para os quais a política de limite de acesso principal é aplicada.
Se não quiser que um utilizador esteja sujeito a políticas de limite de acesso principal, use condições em associações de políticas de limite de acesso principal para isentar o utilizador de políticas de limite de acesso principal.
Para que esta abordagem resolva os erros, tem de isentar o utilizador de todas as políticas de limite de acesso principal às quais está sujeito. Ao fazê-lo, o utilizador torna-se elegível para aceder a qualquer recurso do Google Cloud .
Não recomendamos esta abordagem. Em alternativa, considere adicionar o recurso a uma política de limite de acesso principal.
Para ver as políticas de limite de acesso principal a que um utilizador está sujeito, liste as associações de políticas para os conjuntos principais nos quais está incluído. Cada associação representa uma política de limite de acesso principal associada ao conjunto de principais.
Para saber como adicionar condições a associações de políticas de limites de acesso principais, consulte o artigo Editar associações de políticas existentes para políticas de limites de acesso principais.
O que se segue?
- Teste as alterações de funções com o Simulador de políticas
- Teste alterações à política de recusa com o Simulador de políticas
- Teste as alterações à política de limite de acesso principal