La console Google Cloud , la Google Cloud CLI et l'API REST affichent toutes des messages d'erreur lorsqu'un utilisateur tente d'accéder à une ressource à laquelle il n'est pas autorisé à accéder. Lorsqu'un utilisateur rencontre une erreur d'autorisation, il peut demander l'accès à la ressource. Un e-mail est alors envoyé au contact technique essentiel de votre organisation.
Lorsque l'administrateur clique sur le lien dans l'e-mail généré, il est redirigé vers le récapitulatif de correction des règles. Les administrateurs peuvent également accéder au récapitulatif de correction des règles en cliquant sur Afficher les détails de dépannage dans un message d'erreur d'autorisation, puis sur Policy Troubleshooter. Cette page décrit les détails de la demande, y compris le compte principal demandeur, la ressource et les autorisations demandées par le compte principal.
La section État d'accès actuel récapitule les résultats pour chaque type de règle (plus précisément, les règles d'autorisation, les règles de refus et les règles de limite d'accès des comptes principaux) et indique le résultat global. Le résultat indique si le compte principal peut accéder à la ressource, conformément aux règles concernées.
Pour en savoir plus sur les règles qui bloquent l'accès de l'utilisateur, cliquez sur Dépannage avancé.
Cliquez sur Corriger pour afficher les options permettant de résoudre les problèmes d'accès de cet utilisateur. Pour découvrir les différentes façons de résoudre les erreurs d'autorisation causées par chacun des types de règles à l'aide de la console Google Cloud , consultez les pages suivantes :
- Corriger les erreurs d'autorisation liées à la stratégie d'autorisation
- Corriger les erreurs d'autorisation liées à la stratégie de refus
- Corriger les erreurs d'autorisation liées à la limite d'accès des comptes principaux
Corriger la stratégie d'autorisation
La page Corriger la stratégie d'autorisation affiche les autorisations qui manquent à l'utilisateur. Pour résoudre un problème d'accès bloqué par une règle d'autorisation, vous pouvez accorder l'accès à l'utilisateur ou créer un droit d'accès Privileged Access Manager pour l'utilisateur. Une fois le droit d'accès créé, l'utilisateur peut le demander pour accéder à la ressource.
Pour accorder l'accès à l'utilisateur, procédez comme suit :
- Sélectionnez Attribuer un rôle.
- Cliquez sur Continuer.
- Sélectionnez un rôle applicable pour afficher des informations le concernant.
- Cliquez sur Accorder l'accès.
Pour créer un droit d'accès Privileged Access Manager, procédez comme suit :
- Sélectionnez Accorder un accès temporaire.
- Cliquez sur le rôle applicable à attribuer pour afficher des informations le concernant.
Cliquez sur Créer un droit d'accès.
Dans le volet Créer un droit d'accès, saisissez les détails du droit d'accès :
- Attribuez un nom au nouvel droit d'accès.
- Sélectionnez la durée maximale de l'autorisation.
- Cliquez sur Suivant.
- Vous pouvez éventuellement ajouter d'autres demandeurs pour ce droit d'accès.
- Cliquez sur Suivant.
- Ajoutez au moins un compte principal pour approuver les demandes d'accès ou sélectionnez Activer l'accès sans approbations.
- Cliquez sur Suivant.
- Si vous le souhaitez, saisissez les adresses e-mail des administrateurs que vous souhaitez avertir.
- Cliquez sur OK, puis sur Créer un droit d'accès.
Pour en savoir plus sur Privileged Access Manager, consultez Créer des droits d'accès dans Privileged Access Manager.
Si aucun rôle ne contient toutes les autorisations requises par l'utilisateur, aucun rôle ni droit d'accès ne sont suggérés.
Pour connaître d'autres méthodes permettant de corriger l'accès de l'utilisateur, consultez Résoudre les erreurs d'autorisation liées aux stratégies d'autorisation.
Corriger la stratégie de refus
Les stratégies de refus sont associées à une organisation, un dossier ou un projet Google Cloud . Une stratégie de refus contient des règles de refus, qui identifient les comptes principaux et listent les autorisations qu'ils ne peuvent pas utiliser.
La page Corriger la stratégie de refus affiche la stratégie de refus qui empêche l'utilisateur d'utiliser l'autorisation et suggère plusieurs méthodes pour corriger l'accès de l'utilisateur.
Voici quelques méthodes suggérées pour traiter les demandes d'accès liées aux règles de refus :
Excluez l'utilisateur de la règle de refus.
Supprimez l'autorisation de la règle de refus.
Créez un tag pour exclure la ressource de la règle de refus.
Corriger la limite d'accès des comptes principaux
Par défaut, les comptes principaux sont autorisés à accéder à n'importe quelle ressource Google Cloud . Toutefois, s'ils sont soumis à une stratégie de limite d'accès des comptes principaux, ils ne peuvent accéder qu'aux ressources listées dans les stratégies de limite d'accès des comptes principaux auxquelles ils sont soumis. Dans ce cas, une stratégie de limite d'accès des comptes principaux peut empêcher un compte principal d'accéder à une ressource.
La page Corriger la limite d'accès du compte principal affiche la règle de limite d'accès du compte principal qui empêche l'utilisateur d'accéder à la ressource et suggère plusieurs méthodes pour corriger l'accès de l'utilisateur.
Voici quelques méthodes suggérées pour traiter les demandes d'accès liées aux stratégies de limite d'accès des comptes principaux :
Ajoutez la ressource à une stratégie de limite d'accès des comptes principaux existante associée à un ensemble plus large d'identités.
Non recommandé : exempter l'identité de l'application de la limite d'accès des comptes principaux.
Étapes suivantes
- Utilisez la documentation de référence sur les autorisations ou la documentation de référence sur les rôles prédéfinis pour déterminer le rôle à attribuer à un utilisateur qui ne dispose pas des autorisations nécessaires.
- Découvrez les autres outils Policy Intelligence, qui vous aident à comprendre et à gérer vos stratégies pour améliorer votre configuration de sécurité de manière proactive.