当用户尝试访问无权访问的资源时, Google Cloud 控制台、Google Cloud CLI 和 REST API 都会显示错误消息。当用户遇到权限错误时,可以请求访问相应资源。此操作会生成一封电子邮件,并将其发送给贵组织的技术重要联系人。
当管理员点击生成的电子邮件中的链接时,系统会将其定向到政策违规处置摘要。管理员还可以通过以下方式访问政策补救摘要:点击权限错误消息中的查看问题排查详情,然后点击政策问题排查工具。此页面描述了请求的详细信息,包括请求的主账号、资源以及主账号请求的权限。
当前访问权限状态部分总结了每种政策类型(具体而言,是允许政策、拒绝政策和主账号访问权限边界政策)的结果,并说明了总体结果。结果会根据相关政策指示主账号是否可以访问资源。
您可以点击高级问题排查,详细了解阻止用户访问的政策。
点击修正,查看可用于修正相应用户访问权限问题的选项。 如需了解如何使用 Google Cloud 控制台解决因每种不同类型的政策而导致的权限错误,请参阅以下内容:
修正允许政策的问题
修正允许政策页面会显示用户缺少的权限。如需解决因允许政策而导致的访问权限被阻止问题,您可以向相应用户授予访问权限,也可以为该用户创建 Privileged Access Manager 使用权。创建权利后,用户可以请求该权利来访问资源。
如需向用户授予访问权限,请执行以下操作:
- 选择授予角色。
- 点击继续。
- 选择适用的角色以查看有关该角色的详细信息。
- 点击授予访问权限。
如需创建新的 Privileged Access Manager 使用权,请执行以下操作:
- 选择授予临时访问权限。
- 点击要授予的相应角色,查看该角色的详细信息。
点击创建使用权。
在创建新使用权窗格中,输入使用权的详细信息:
- 为新授权输入名称。
- 选择授权时长上限。
- 点击下一步。
- (可选)为此使用权添加更多申请者。
- 点击下一步。
- 添加至少一个可审批授权请求的主账号,或选择激活访问权限(跳过审批)。
- 点击下一步。
- (可选)输入您要通知的任何管理员的电子邮件地址。
- 点击完成,然后点击创建授权。
如需详细了解 Privileged Access Manager,请参阅在 Privileged Access Manager 中创建使用权。
如果没有包含用户所需的所有权限的角色,系统就不会建议任何角色或授权。
如需了解解决用户访问权限问题的其他方法,请参阅解决允许政策权限错误。
修正拒绝政策的问题
拒绝政策会附加到 Google Cloud 组织、文件夹或项目。 拒绝政策包含拒绝规则,用于标识主账号并列出主账号无法使用的权限。
修正拒绝政策页面会显示阻止用户使用相应权限的拒绝政策,并提供多种方法来修正用户的访问权限。
建议用于修正与拒绝政策相关的访问权限请求的方法包括:
修正主账号访问边界的问题
默认情况下,主账号有资格访问任何 Google Cloud 资源。 不过,如果主账号受任何主账号访问权限边界政策的约束,则主账号只能访问其所受约束的主账号访问边界政策中列出的资源。在这些情况下,主账号访问权限边界政策可能会阻止主账号访问资源。
修正主账号访问权限边界页面会显示阻止用户访问资源的主账号访问权限边界政策,并建议几种修正用户访问权限的方法。
建议采用以下方法来解决与主账号访问权限边界政策相关的访问权限请求:
将资源添加到现有的主账号访问权限边界政策,该政策应已附加到一组更广泛的身份。
不建议:免除身份的主账号访问边界强制执行。
后续步骤
- 使用权限参考文档或预定义角色参考文档确定向缺少权限的用户授予哪个角色。
- 了解 Policy Intelligence 工具,这些工具有助于您了解和管理政策,以便主动改进您的安全配置。