Este documento aborda as mensagens de erro que pode encontrar se não tiver as autorizações de acesso necessárias para um recurso e descreve como pode resolver estes erros.
Mensagens de erro de autorização
A Google Cloud consola, a CLI do Google Cloud e a API REST apresentam mensagens de erro quando tenta aceder a um recurso ao qual não tem autorização de acesso.
Estas mensagens de erro podem dever-se a qualquer um dos seguintes motivos:
- Não tem as autorizações necessárias. Tem de ter uma associação de funções da política de autorização ou uma autorização ativa do Privileged Access Manager para uma função com as autorizações necessárias. Se não tiver as autorizações necessárias, o íconeGoogle Cloud apresenta uma mensagem de erro.
- Existe uma política de negação a bloquear o acesso. Se uma política de recusa impedir a utilização de quaisquer autorizações necessárias, o Google Cloud apresenta uma mensagem de erro.
- Não é elegível para aceder ao recurso. Se estiver sujeito a quaisquer políticas de limite de acesso principal, o recurso ao qual está a tentar aceder tem de ser incluído nas regras de limite de acesso principal das políticas. Caso contrário, Google Cloud apresenta uma mensagem de erro.
- O recurso não existe. Se o recurso não existir, o íconeGoogle Cloud apresenta uma mensagem de erro.
As secções seguintes mostram o aspeto destas mensagens de erro para a Google Cloud consola, a CLI gcloud e a API REST.
Google Cloud mensagens de erro da consola
Na Google Cloud consola, as mensagens de erro são semelhantes às seguintes:
Estas mensagens de erro contêm as seguintes informações:
- O recurso ao qual tentou aceder: o nome do recurso aparece no título da página de erro e indica o recurso ao qual estava a tentar aceder quando encontrou o erro de autorização.
- As autorizações necessárias em falta: uma lista das autorizações que precisa de ter para aceder ao recurso.
Uma lista de autorizações do Gestor de acesso privilegiado com funções que contêm as autorizações necessárias: esta lista não é exaustiva. Contém apenas as principais autorizações que o Google Cloud Google Cloud sugere para resolver o problema de acesso.
Esta lista só está disponível para erros de autorização que podem ser resolvidos através da atualização da concessão de funções de IAM adicionais.
Pode clicar num direito para saber mais sobre o mesmo e para pedir uma concessão contra o direito. Para saber mais, consulte a secção Peça uma concessão de acesso do gestor de acesso privilegiado neste documento.
Se nenhuma concessão contiver as autorizações necessárias, a página de mensagem de erro não inclui a lista de concessões.
Uma lista de funções do IAM que contêm as autorizações necessárias: Esta lista não é exaustiva. Contém uma lista organizada de funções que Google Cloud sugere para resolver o problema de acesso. A ordenação baseia-se no tipo de ações permitidas pela função, na relevância do serviço e no número de autorizações.
Se tiver as autorizações necessárias para conceder funções, esta secção tem o título Selecione uma função a conceder. Se não tiver as autorizações necessárias, esta secção tem o título Peça uma função específica.
Esta lista só está disponível para erros de autorização que podem ser resolvidos através da concessão de funções de IAM adicionais.
Pode clicar numa função para saber mais sobre a mesma e pedir que lhe seja concedida. Se tiver as autorizações necessárias para conceder funções, pode conceder a função a si próprio em vez de a pedir.
Mensagens de erro da API REST e da CLI gcloud do Google Cloud
A redação exata da mensagem de erro depende do comando que executar. No entanto, normalmente, contém as seguintes informações:
- A autorização necessária
- O recurso no qual tentou realizar uma ação
- A conta de autenticação
Por exemplo, se não tiver autorização para listar contentores num projeto, é apresentada uma mensagem de erro semelhante à seguinte:
gcloud
ERROR: (gcloud.storage.buckets.list) HTTPError 403:
EMAIL_ADDRESS does not have
storage.buckets.list access to the Google Cloud project. Permission
'storage.buckets.list' denied on resource (or it may not exist). This command
is authenticated as EMAIL ADDRESS which
is the active account specified by the [core/account] property.
REST
{
"error": {
"code": 403,
"message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
"errors": [
{
"message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
"domain": "global",
"reason": "forbidden"
}
]
}
}
Peça autorizações em falta
Se não tiver autorização para modificar as políticas relacionadas com o acesso na sua organização, não pode resolver os erros de autorização sozinho. No entanto, pode enviar um pedido de acesso a um administrador através do contexto da mensagem de erro.
Pode pedir acesso das seguintes formas:
Peça as autorizações necessárias. Esta resolução é eficaz para todos os tipos de erros de autorização.
Peça uma concessão em relação a uma autorização do Privileged Access Manager. Esta resolução só é eficaz se o erro de autorização se dever às suas políticas de permissão e se tiver um direito do Privileged Access Manager com as autorizações necessárias.
Peça uma função com as autorizações necessárias. Esta resolução só é eficaz se o erro de autorização se dever às suas políticas de permissão.
Se estiver a usar a Google Cloud consola e tiver as autorizações necessárias para atribuir funções, pode atribuir a função a si mesmo diretamente a partir da mensagem de erro, em vez de a pedir. Para mais informações, consulte o artigo Conceda-se uma função na Google Cloud consola.
Peça as autorizações necessárias
Para pedir as autorizações necessárias, faça o seguinte:
Consola
Na lista de autorizações em falta, clique em Pedir autorizações.
No painel Pedir acesso, escolha como quer notificar o seu administrador:
Se a sua organização suportar contactos essenciais, pode enviar um email gerado automaticamente para o contacto essencial técnico da sua organização. Para enviar este email, faça o seguinte:
- Selecione Enviar email gerado automaticamente.
- Adicione qualquer contexto acerca do pedido que queira incluir.
- Clique em Enviar pedido.
Para copiar o pedido de acesso e colá-lo no seu sistema de gestão de pedidos preferido, faça o seguinte:
- Se a sua organização suportar contactos essenciais, mas quiser enviar a notificação manualmente, selecione Notificar manualmente.
- Adicione qualquer contexto acerca do pedido que queira incluir.
- Clique em Copiar mensagem.
- Cole o pedido no seu sistema de gestão de pedidos preferido.
O administrador recebe o seu pedido de acesso, juntamente com qualquer contexto adicional que tenha fornecido.
gcloud
Copie a lista de autorizações em falta da mensagem de erro e, em seguida, use o seu sistema de gestão de pedidos preferencial para pedir a um administrador que lhe conceda estas autorizações.
REST
Copie a lista de autorizações em falta da mensagem de erro e, em seguida, use o seu sistema de gestão de pedidos preferencial para pedir a um administrador que lhe conceda estas autorizações.
Peça uma concessão relativamente a uma autorização do Gestor de acesso privilegiado
As autorizações do Gestor de acesso privilegiado definem um conjunto de funções do IAM que pode pedir em qualquer altura. Se o seu pedido for bem-sucedido, as funções pedidas são-lhe concedidas temporariamente.
Esta opção de resolução só está disponível se o erro de autorização se dever às suas políticas de permissão e se tiver um direito de gestor de acesso privilegiado com as autorizações necessárias.
Para pedir uma concessão relativamente a uma autorização existente, faça o seguinte:
Consola
Quando encontrar uma mensagem de erro, procure a secção Pedir acesso temporário. Esta secção apresenta todas as autorizações do Gestor de acesso privilegiado que contêm uma função com as autorizações necessárias.
Se não for devolvida nenhuma secção Pedir acesso temporário, significa que nenhum direito contém a autorização necessária. Neste caso, pode pedir a um administrador que crie uma nova concessão.
Reveja a lista de autorizações disponíveis e selecione a autorização para a qual quer pedir uma concessão.
Clique na autorização e, de seguida, em Pedir acesso.
No painel Pedir concessão, introduza os detalhes da concessão do pedido:
A duração necessária para a concessão, até à duração máxima definida na autorização.
Se necessário, uma justificação para a concessão.
Opcional: os endereços de email a notificar sobre o pedido de concessão. As identidades Google associadas aos aprovadores são notificadas automaticamente. No entanto, pode querer enviar notificações para um conjunto diferente de endereços de email, especialmente se estiver a usar a Federação de identidades da força de trabalho.
Clique em Pedir concessão.
Para ver o seu histórico de concessões, incluindo os estados de aprovação, aceda à página Gestor de acesso privilegiado na Google Cloud consola e, de seguida, clique em Concessões > As minhas concessões.
gcloud
Pesquise autorizações disponíveis para encontrar uma autorização com uma função que tenha as autorizações necessárias.
Se não for devolvida nenhuma concessão, pode pedir a um administrador que crie uma nova concessão.
Opcional: verifique o estado do pedido de subvenção.
REST
Pesquise autorizações disponíveis para encontrar uma autorização com uma função que tenha as autorizações necessárias.
Se não for devolvida nenhuma concessão, pode pedir a um administrador que crie uma nova concessão.
Opcional: verifique o estado do pedido de subvenção.
Peça uma função
Se o erro de autorização se dever a uma política de permissão, pode pedir a um administrador que lhe conceda uma função com as autorizações necessárias para resolver o erro.
Se o erro se dever a um tipo de política diferente ou se não tiver a certeza de que tipo de política está a causar o erro, peça as autorizações necessárias.
Consola
Na secção Peça uma função específica, reveja a lista de funções recomendadas e escolha a que quer pedir. Pode clicar nas funções para ver mais detalhes sobre as mesmas. Esta secção só é visível se o erro de autorização se dever a uma política de permissão.
Clique na função que escolheu e, de seguida, clique em Pedir função.
No painel Pedir acesso, escolha uma das opções para notificar o seu administrador:
Se a sua organização suportar contactos essenciais, pode enviar um email gerado automaticamente ao contacto essencial técnico da sua organização. Para enviar este email, faça o seguinte:
- Selecione Enviar email gerado automaticamente.
- Adicione qualquer contexto acerca do pedido que queira incluir.
- Clique em Enviar pedido.
Para copiar o pedido de acesso e colá-lo no seu sistema de gestão de pedidos preferido, faça o seguinte:
- Se a sua organização suportar contactos essenciais, mas quiser enviar a notificação manualmente, selecione Notificar manualmente.
- Adicione qualquer contexto acerca do pedido que queira incluir.
- Clique em Copiar mensagem.
- Cole o pedido no seu sistema de gestão de pedidos preferido.
O administrador recebe o seu pedido de acesso, juntamente com qualquer contexto adicional que tenha fornecido.
gcloud
Identifique uma função de IAM que contenha as autorizações em falta.
Para ver todas as funções nas quais uma determinada autorização está incluída, pesquise a autorização no índice Funções e autorizações de IAM e, de seguida, clique no nome da autorização.
Se nenhuma das funções predefinidas corresponder ao seu exemplo de utilização, pode criar uma função personalizada.
Use o seu sistema de gestão de pedidos preferido para pedir a um administrador que lhe atribua a função.
REST
Identifique uma função de IAM que contenha as autorizações em falta.
Para ver todas as funções nas quais uma determinada autorização está incluída, pesquise a autorização no índice Funções e autorizações de IAM e, de seguida, clique no nome da autorização.
Se nenhuma das funções predefinidas corresponder ao seu exemplo de utilização, pode criar uma função personalizada.
Use o seu sistema de gestão de pedidos preferido para pedir a um administrador que lhe atribua a função.
Conceda-se uma função na Google Cloud consola
Se encontrar um erro de autorização na Google Cloud consola e tiver as autorizações necessárias para conceder funções, pode conceder-se uma função diretamente a partir da mensagem de erro de autorização:
Na secção Selecione uma função a conceder, reveja a lista de funções recomendadas e escolha a que quer pedir. Pode clicar nas funções para ver mais detalhes sobre as mesmas.
Para conceder a função que escolheu, clique na função e, de seguida, em Conceder acesso.
Resolva erros de autorização de pedidos de acesso
Se for administrador, pode receber pedidos de acesso de utilizadores que encontraram erros de autorização na Google Cloud consola. Estes pedidos são normalmente enviados às seguintes pessoas:
O contacto técnico essencial da sua organização. Se a sua organização tiver ativado os contactos essenciais, os utilizadores que encontrem erros de autorização na consolaGoogle Cloud têm a opção de enviar um pedido de acesso ao contacto essencial técnico da respetiva organização.
Contactos configurados através do seu sistema de gestão de pedidos preferido. Os utilizadores que encontram erros de autorização na Google Cloud consola têm a opção de copiar uma mensagem de pedido de acesso e, em seguida, enviá-la através do respetivo sistema de gestão de pedidos preferencial.
Normalmente, estas mensagens têm o seguinte formato:
user@example.com is requesting a role on the resource example.com:example-project.
Requestor's message:
"I need access to example-project to complete my work."
You may be able to resolve this request by granting access directly at:
ACCESS_REQUEST_PANEL_URL
Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:
POLICY_TROUBLESHOOTER_URL
Pode responder a estas solicitações das seguintes formas:
Resolva o acesso diretamente: os pedidos de acesso contêm um link para um painel de pedidos de acesso na Google Cloud consola. Se o erro de autorização se dever a uma política de autorização, pode resolver o acesso diretamente a partir desse painel.
No painel de pedido de acesso, pode rever os detalhes do pedido e escolher como quer responder ao pedido. Pode responder das seguintes formas:
- Conceder a função pedida
- Adicione o utilizador a um grupo existente que já tenha o acesso necessário
- Negar o pedido
Ver detalhes adicionais no resolutor de problemas de políticas: os pedidos de acesso também contêm um link para o resolutor de problemas de políticas, que lhe permite ver que políticas estão a bloquear o acesso do utilizador. Pode usar estas informações para decidir como resolver o problema de acesso do utilizador. Para mais informações, consulte o artigo Identifique as políticas que causam erros de autorização nesta página.
Resolva manualmente erros de autorização
Se for um administrador com autorização para modificar as políticas relacionadas com o acesso na sua organização, pode usar estas estratégias para resolver erros de autorização, independentemente do tipo de política que está a causar o erro.
Para resolver erros de autorização, primeiro tem de determinar que políticas (permitir, negar ou limite de acesso principal) estão a causar o erro. Em seguida, pode resolver o erro.
Identifique as políticas que causam erros de autorização
Para determinar que políticas estão a causar um erro de autorização, use a resolução de problemas de políticas.
A resolução de problemas de políticas ajuda a compreender se um principal pode aceder a um recurso. Dado um principal, um recurso e uma autorização, a ferramenta de resolução de problemas de políticas examina as políticas de permissão, as políticas de negação e as políticas de limite de acesso principal (PAB) que afetam o acesso do principal. Em seguida, indica se, com base nessas políticas, o principal pode usar a autorização especificada para aceder ao recurso. Também indica as políticas relevantes e explica como afetam o acesso do principal.Para saber como resolver problemas de acesso e interpretar os resultados do resolucionador de problemas de políticas, consulte o artigo Resolva problemas de autorizações IAM.
As mensagens de erro na Google Cloud consola contêm um link para uma página de resultados da resolução de problemas de políticas para o principal, as autorizações e o recurso envolvido no pedido. Para ver este link, clique em Ver detalhes de resolução de problemas e, de seguida, encontre o valor no campo URL de resolução de problemas.
Atualize o acesso para resolver erros de autorização
Depois de saber que políticas estão a causar um erro de autorização, pode tomar medidas para resolver o erro.
Muitas vezes, a resolução de um erro envolve a criação ou a atualização de políticas de limites de acesso de permissão, negação ou principais.
No entanto, existem outras opções para resolver erros que não envolvem a atualização de políticas. Por exemplo, pode adicionar o utilizador a um grupo que tenha as autorizações necessárias ou adicionar etiquetas para isentar um recurso de uma política.
Para saber as diferentes formas de resolver erros de autorização devido a cada um dos diferentes tipos de políticas, consulte o seguinte:
Resolva erros de autorização de políticas de permissão
Para resolver erros de autorização devido a políticas de permissão, faça uma das seguintes ações.
Conceda uma função com as autorizações necessárias
Para encontrar e conceder uma função com as autorizações necessárias, faça o seguinte:
Identifique uma função de IAM que contenha as autorizações em falta.
Para ver todas as funções nas quais uma determinada autorização está incluída, pesquise a autorização no índice Funções e autorizações de IAM e, de seguida, clique no nome da autorização.
Se nenhuma das funções predefinidas corresponder ao seu exemplo de utilização, pode criar uma função personalizada.
Identifique um principal ao qual conceder a função:
- Se o utilizador for a única pessoa que precisa da autorização, atribua a função diretamente ao utilizador.
- Se o utilizador fizer parte de um grupo Google que contenha utilizadores que precisam de autorizações semelhantes, considere atribuir a função ao grupo. Se atribuir a função ao grupo, todos os membros desse grupo podem usar essa autorização, a menos que lhes tenha sido explicitamente recusada a utilização da mesma.
Conceda a função ao principal.
Aprove uma concessão relativamente a uma autorização do Privileged Access Manager
As autorizações do Gestor de acesso privilegiado permitem que os utilizadores peçam a concessão de funções específicas do IAM. Se aprovar o pedido de concessão de um utilizador, este recebe as funções pedidas temporariamente.
Se o utilizador já tiver uma autorização do Gestor de acesso privilegiado com uma função que contenha as autorizações necessárias, pode pedir uma concessão relativamente a essa autorização. Depois de pedirem a concessão, pode aprovar a concessão para resolver o erro de autorização.
Se um utilizador não tiver uma autorização, pode criar uma nova autorização para que o utilizador possa pedir concessões.
Adicione o utilizador a um grupo Google
Se for concedida uma função a um grupo Google num recurso, todos os membros desse grupo podem usar as autorizações nessa função para aceder ao recurso.
Se já tiver sido concedida a um grupo existente uma função com as autorizações necessárias, pode conceder a um utilizador as autorizações necessárias adicionando-o a esse grupo:
Identifique um grupo que tenha uma função com as autorizações necessárias. Se já usou a resolução de problemas de políticas para resolver problemas do pedido, pode rever os resultados da resolução de problemas de políticas para identificar um grupo com as autorizações necessárias.
Em alternativa, pode usar o analisador de políticas para identificar um grupo com as autorizações necessárias.
Resolva erros de autorização de políticas de negação
Para resolver erros de autorização relacionados com políticas de recusa, faça uma das seguintes ações.
Isente-se de uma política de recusa
Se uma regra de recusa estiver a bloquear o acesso de um utilizador a um recurso, pode fazer uma das seguintes ações para isentar o utilizador da regra:
Adicione o utilizador como um principal de exceção na regra de recusa. Os principais de exceção são principais que não são afetados pela regra de recusa, mesmo que façam parte de um grupo incluído na regra de recusa.
Para adicionar um principal de exceção a uma regra de recusa, siga os passos para atualizar a política de recusa. Quando atualizar a política de recusa, procure a regra de recusa que bloqueia o acesso e, em seguida, adicione o identificador principal do utilizador como um principal de exceção.
Adicione o utilizador a um grupo isento da regra. Se um grupo for apresentado como um principal de exceção, todos os membros desse grupo estão isentos da regra de recusa.
Para adicionar o utilizador a um grupo isento, faça o seguinte:
- Use a resolução de problemas de políticas para identificar as políticas de negação que estão a bloquear o acesso ao recurso.
- Veja a política de recusa.
- Verifique a lista de principais de exceção para grupos.
- Se identificar um grupo isento, adicione o utilizador ao grupo.
Remova a autorização da política de negação
As regras de recusa impedem que os responsáveis listados usem autorizações específicas. Se uma regra de negação estiver a bloquear o acesso de um utilizador a um recurso, pode remover as autorizações de que necessita da regra de negação.
Para remover autorizações de uma regra de recusa, siga os passos para atualizar a política de recusa. Quando atualizar a política de recusa, encontre a regra de recusa que bloqueia o acesso e, em seguida, faça uma das seguintes ações:
- Se a política de recusa listar as autorizações necessárias individualmente, encontre as autorizações necessárias e remova-as da regra de recusa.
- Se a regra de recusa usar grupos de autorizações, adicione as autorizações necessárias como autorizações de exceção. As autorizações de exceção são autorizações que não são bloqueadas pela regra de recusa, mesmo que façam parte de um grupo de autorizações incluído na regra.
Exclua o recurso da política de recusa
Pode usar condições em políticas de recusa para aplicar uma regra de recusa com base nas etiquetas de um recurso. Se as etiquetas do recurso não cumprirem a condição na regra de recusa, a regra de recusa não se aplica.
Se uma regra de recusa estiver a bloquear o acesso a um recurso, pode editar as condições na regra de recusa ou as etiquetas no recurso para garantir que a regra de recusa não se aplica ao recurso.
Para saber como usar condições numa regra de recusa, consulte o artigo Condições nas políticas de recusa.
Para saber como atualizar as políticas de recusa, consulte o artigo Atualize uma política de recusa.
Para saber como editar as etiquetas de um recurso, consulte o artigo Criar e gerir etiquetas.
Resolva erros de autorização da política de limite de acesso principal
Por predefinição, os principais são elegíveis para aceder a qualquer Google Cloud recurso. No entanto, se estiverem sujeitos a alguma política de limite de acesso principal, só são elegíveis para aceder aos recursos indicados nas políticas de limite de acesso principal a que estão sujeitos. Nestes casos, uma política de limite de acesso principal pode impedir que um principal aceda a um recurso.
Para resolver erros relacionados com políticas de limite de acesso principal, faça uma das seguintes ações.
Adicione o recurso a uma política de limite de acesso principal
Se um recurso estiver incluído numa política de limite de acesso principal à qual um utilizador está sujeito, este é elegível para aceder a esse recurso.
Para adicionar um recurso a uma política de limite de acesso principal, faça o seguinte:
Crie uma nova política de limite de acesso principal:
- Crie uma nova política de limite de acesso principal que inclua o recurso.
Associe a política a um conjunto de entidades que inclua o utilizador.
Para saber mais sobre os conjuntos de principais, consulte o artigo Conjuntos de principais suportados.
Atualize uma política de limite de acesso principal existente:
- Liste as associações de políticas de limites de acesso principais para um conjunto principal no qual o utilizador está incluído. Cada associação representa uma política de limite de acesso principal que está associada ao conjunto de principais.
- Na lista de associações, identifique uma política de limite de acesso principal a modificar.
- Opcional: liste as associações de políticas de limites de acesso principais para a política para ver a que conjuntos principais a política está associada. A atualização da política afeta o acesso de todos os conjuntos de principais aos quais a política está associada.
- Edite a política de limite de acesso principal para que inclua o recurso.
Adicione uma condição para isentar determinados responsáveis
Pode usar condições em associações de políticas de limites de acesso principais para refinar os principais para os quais a política de limites de acesso principais é aplicada.
Se não quiser que um utilizador esteja sujeito a políticas de limite de acesso principal, use condições em associações de políticas de limite de acesso principal para isentar o utilizador de políticas de limite de acesso principal.
Para que esta abordagem resolva os erros, tem de isentar o utilizador de todas as políticas de limite de acesso principal às quais está sujeito. Ao fazê-lo, o utilizador torna-se elegível para aceder a qualquer recurso do Google Cloud .
Não recomendamos esta abordagem. Em alternativa, considere adicionar o recurso a uma política de limite de acesso principal.
Para ver as políticas de limite de acesso principal a que um utilizador está sujeito, liste as associações de políticas para os conjuntos principais nos quais está incluído. Cada associação representa uma política de limite de acesso principal que está associada ao conjunto de principais.
Para saber como adicionar condições a associações de políticas de limites de acesso principais, consulte o artigo Edite associações de políticas existentes para políticas de limites de acesso principais.
O que se segue?
- Teste as alterações de funções com o Simulador de políticas
- Teste alterações à política de recusa com o Simulador de políticas
- Teste as alterações à política de limite de acesso principal