Résoudre les problèmes liés aux autorisations IAM

Policy Troubleshooter pour IAM vous aide à comprendre pourquoi un utilisateur a accès à une ressource ou ne dispose pas de l'autorisation d'appeler une API. À l'aide d'une adresse e-mail, d'une ressource et d'une autorisation, Policy Troubleshooter examine toutes les stratégies d'autorisation et de refus qui s'appliquent à la ressource. À partir de ces stratégies, il vous indique ensuite si le compte principal dispose de l'autorisation. Il répertorie également les liaisons de rôle et les règles de refus contenues dans les stratégies, et explique leur impact sur l'accès du compte principal.

Vous pouvez accéder à Policy Troubleshooter à l'aide de la console Google Cloud, de Google Cloud CLI ou de l'API REST. Pour les requêtes simples, la console Google Cloud est généralement plus rapide. Pour les scénarios plus complexes, envisagez plutôt gcloud CLI ou l'API REST.

Avant de commencer

Activez l'API Policy Troubleshooter
Activer l'API

Autorisations requises

Pour résoudre complètement les problèmes d'accès de vos comptes principaux, vous devez disposer des autorisations suivantes.

Autorisations permettant de résoudre les problèmes d'accès pour des comptes principaux individuels

Policy Troubleshooter analyse l'accès d'un compte principal à une ressource en fonction des stratégies d'autorisation et de refus, et des rôles que vous êtes autorisé à afficher. Si vous ne disposez pas des autorisations nécessaires pour afficher une règle s'appliquant à une ressource ou pour un rôle personnalisé, vous ne pourrez peut-être pas savoir si un compte principal dispose de l'accès.

Pour obtenir les autorisations dont vous avez besoin pour résoudre les problèmes d'accès d'un compte principal, demandez à votre administrateur de vous attribuer les rôles IAM suivants au niveau de l'organisation:

Examinateur de sécurité (roles/iam.securityReviewer)
Résoudre les problèmes liés aux règles de refus : Examinateur des refus (roles/iam.denyReviewer)
Utilisez la Google Cloud CLI pour résoudre les problèmes suivants : Consommateur de Service Usage (roles/serviceusage.serviceUsageConsumer)

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Autorisations permettant de résoudre les problèmes d'accès pour les membres du groupe

Si vos règles d'autorisation et de refus incluent des groupes, vous devez disposer de l'autorisation groups.read de l'API Google Workspace Admin pour résoudre les problèmes d'accès des membres individuels des groupes. Les super-administrateurs et les administrateurs de groupe disposent automatiquement de cette autorisation. Pour accorder cette autorisation à un utilisateur qui n'est pas un super-administrateur ou un administrateur de groupe, créez un rôle d'administrateur Google Workspace personnalisé contenant le droit groups.read (situé sous Droits pour l'API Admin) et accordez-le à l'utilisateur.

Si vous ne disposez pas de ces autorisations, les liaisons de rôles et les règles de refus contenant des groupes ou des domaines ont un résultat d'accès Unknown, sauf si la liaison de rôle ou la règle de refus inclut également explicitement le compte principal.

Autorisations permettant de résoudre les problèmes d'accès pour les membres du domaine

Si vos stratégies d'autorisation et de refus incluent un compte Google Workspace ou un domaine Cloud Identity, vous devez être administrateur du domaine pour résoudre les problèmes d'accès des membres du domaine.

Résoudre les problèmes d'accès

Pour résoudre les problèmes d'accès, vous devez disposer des informations suivantes :

Principale : l'adresse e-mail à vérifier. L'adresse e-mail doit faire référence à un utilisateur ou un compte de service. Les autres types de comptes principaux, tels que les groupes, les domaines, les identités d'employés et les identités de charge de travail, ne sont pas compatibles.
Ressource : le nom complet de la ressource. Par exemple, pour vérifier le projet my-project, saisissez //cloudresourcemanager.googleapis.com/projects/my-project. Pour les autres types de ressources, consultez les exemples de noms de ressources complets.
Autorisation : l'autorisation pour la vérification. Si vous utilisez la console Google Cloud, celle-ci affiche une liste de suggestions au fur et à mesure de votre saisie. Pour obtenir la liste complète des autorisations, consultez la documentation de référence sur les autorisations.

Console

Pour résoudre les problèmes d'accès, procédez comme suit :

Dans la console Google Cloud, accédez à la page Policy Troubleshooter.

Accéder à Policy Troubleshooter
Saisissez l'adresse e-mail du compte principal dont vous souhaitez vérifier l'accès.
Saisissez le nom complet de la ressource à vérifier.

Si vous ne connaissez pas le nom complet de la ressource, effectuez l'une des opérations suivantes:
- Si vous résolvez les problèmes d'accès pour un projet, un dossier ou une organisation, commencez à saisir du texte pour afficher les options de saisie semi-automatique.
- Si vous résolvez les problèmes d'accès pour un autre type de ressource, cliquez sur Parcourir pour ouvrir la boîte de dialogue de recherche de ressources, puis recherchez la ressource:
  1. Dans la zone Sélectionner un champ d'application, sélectionnez un projet, un dossier ou une organisation dans lequel effectuer la recherche.
  2. Dans la zone Type de ressource, sélectionnez les types de ressources que vous souhaitez rechercher.
  3. Dans le champ Rechercher des ressources, saisissez une partie du nom de la ressource.
  4. Dans la section des résultats, sélectionnez la ressource que vous souhaitez vérifier.
  5. Cliquez sur Sélectionner pour choisir la ressource et fermer la boîte de dialogue.
Saisissez l'autorisation à vérifier.

Si vous ne connaissez pas le nom complet de l'autorisation, commencez à saisir du texte pour afficher les options de saisie semi-automatique.
Facultatif : pour vérifier plusieurs ressources et autorisations, sélectionnez Ajouter une autre paire et répétez l'étape précédente.
Cliquez sur Vérifier l'accès.

gcloud

Pour savoir pourquoi un compte principal dispose ou non d'une autorisation IAM, utilisez la commande gcloud policy-troubleshoot iam.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

EMAIL : adresse e-mail du compte principal dont vous souhaitez résoudre les problèmes d'autorisation.
RESOURCE : ressource pour laquelle l'autorisation est accordée.
PERMISSION : autorisation dont vous souhaitez résoudre les problèmes.

Exécutez la commande gcloud policy-troubleshoot iam:

Linux, macOS ou Cloud Shell

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL \
    --permission=PERMISSION

Windows (PowerShell)

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL `
    --permission=PERMISSION

Windows (cmd.exe)

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL ^
    --permission=PERMISSION

Vous devriez obtenir un résultat semblable à celui-ci :

{
  "accessTuple": {
    "conditionContext": {
      "destination": {},
      "effectiveTags": [
        {
          "tagValue": "tagValues/281481941428044",
          "namespacedTagValue": "803434038361/env/dev",
          "tagKey": "tagKeys/281475994198094",
          "namespacedTagKey": "803434038361/env",
          "tagKeyParentName": "organizations/803434038361"
        }
      ],
      "request": {},
      "resource": {}
    },
    "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
    "permission": "compute.instances.get",
    "permissionFqdn": "compute.googleapis.com/instances.get",
    "principal": "user1@example.com"
  },
  "allowPolicyExplanation": {
    "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
    "explainedPolicies": [
      {
        "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
        "bindingExplanations": [
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_HIGH"
            },
            "memberships": {
              "user:user1@example.com": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH",
            "role": "roles/compute.viewer",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:user2@example.com": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "role": "roles/owner",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:user1@example.com": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "role": "roles/resourcemanager.organizationAdmin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
          }
        ],
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "policy": {
          "bindings": [
            {
              "members": [
                "user:user1@example.com"
              ],
              "role": "roles/compute.viewer"
            },
            {
              "members": [
                "user:user2@example.com"
              ],
              "role": "roles/owner"
            },
            {
              "members": [
                "user:user1@example.com"
              ],
              "role": "roles/resourcemanager.organizationAdmin"
            },
          ],
          "etag": "BwX5/L9Vbg4=",
          "version": 3
        },
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      }
    ],
    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
  },
  "denyPolicyExplanation": {
    "denyAccessState": "DENY_ACCESS_STATE_DENIED",
    "explainedResources": [
      {
        "denyAccessState": "DENY_ACCESS_STATE_DENIED",
        "explainedPolicies": [
          {
            "denyAccessState": "DENY_ACCESS_STATE_DENIED",
            "policy": {
              "createTime": "2023-04-18T07:15:47.702191Z",
              "displayName": "Deny compute instance get",
              "etag": "MTc3MDA1ODIyNjExNTMzMDg2NzI=",
              "kind": "DenyPolicy",
              "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F123456789012/denypolicies/deny-compute-get",
              "rules": [
                {
                  "denyRule": {
                    "deniedPrincipals": [
                      "principal://iam.googleapis.com/projects/-/serviceAccounts/user1@example.com"
                    ],
                    "deniedPermissions": [
                      "compute.googleapis.com/instances.get"
                    ]
                  }
                }
              ],
              "uid": "77e93c80-b383-0027-268e-a52a608aa13d",
              "updateTime": "2023-04-18T07:15:47.702191Z",
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH",
            "ruleExplanations": [
              {
                "combinedDeniedPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedDeniedPrincipal": {
                  "membership": "MEMBERSHIP_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedExceptionPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedExceptionPrincipal": {
                  "membership": "MEMBERSHIP_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "deniedPermissions": {
                  "compute.googleapis.com/instances.get": {
                    "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "deniedPrincipals": {
                  "principal://iam.googleapis.com/projects/-/serviceAccounts/user1@example.com": {
                    "membership": "MEMBERSHIP_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "denyAccessState": "DENY_ACCESS_STATE_DENIED",
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            ]
          }
        ],
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/123456789012",
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      }
    ],
    "permissionDeniable": true,
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "overallAccessState": "CANNOT_ACCESS"
}

REST

Pour savoir pourquoi un compte principal dispose ou non d'une autorisation IAM, utilisez la méthode iam.troubleshoot de l'API Policy Troubleshooter.

Avant d'utiliser les données de requête, effectuez les remplacements suivants:

EMAIL : adresse e-mail du compte principal dont vous souhaitez résoudre les problèmes d'autorisation.
RESOURCE : ressource pour laquelle l'autorisation est accordée.
PERMISSION : autorisation dont vous souhaitez résoudre les problèmes.
PROJECT_ID: ID du projet que vous souhaitez utiliser pour effectuer la requête. Les ID de projet sont des chaînes alphanumériques, telles que my-project.

Méthode HTTP et URL :

POST https://policytroubleshooter.googleapis.com/v3/iam:troubleshoot

Corps JSON de la requête :

{
  "accessTuple": {
    "principal": "EMAIL",
    "fullResourceName": "RESOURCE",
    "permission": "PERMISSION"
  }
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter gcloud auth list pour vérifier le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json et exécutez la commande suivante:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "x-goog-user-project: PROJECT_ID" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://policytroubleshooter.googleapis.com/v3/iam:troubleshoot"

PowerShell (Windows)

Enregistrez le corps de la requête dans un fichier nommé request.json et exécutez la commande suivante:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://policytroubleshooter.googleapis.com/v3/iam:troubleshoot" | Select-Object -Expand Content

APIs Explorer (navigateur)

Copiez le corps de la requête et ouvrez la page de référence de la méthode. Le panneau APIs Explorer s'ouvre dans la partie droite de la page. Vous pouvez interagir avec cet outil pour envoyer des requêtes. Collez le corps de la requête dans cet outil, renseignez tous les champs obligatoires, puis cliquez sur Execute (Exécuter).

Vous devriez recevoir une réponse JSON de ce type :

{
  "overallAccessState": "CANNOT_ACCESS",
  "accessTuple": {
    "principal": "user1@example.com",
    "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
    "permission": "compute.instances.get",
    "permissionFqdn": "compute.googleapis.com/instances.get",
    "conditionContext": {
      "effectiveTags": [
        {
          "tagValue": "tagValues/281481941428044",
          "namespacedTagValue": "803434038361/env/dev",
          "tagKey": "tagKeys/281475994198094",
          "namespacedTagKey": "803434038361/env",
          "tagKeyParentName": "organizations/803434038361"
        }
      ]
    }
  },
  "allowPolicyExplanation": {
    "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
    "explainedPolicies": [
      {
        "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "bindingExplanations": [
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
            "role": "roles/compute.viewer",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_HIGH"
            },
            "memberships": {
              "user:user1@example.com": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/owner",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:user2@example.com": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/resourcemanager.organizationAdmin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:user1@example.com": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL"
          }
        ],
        "relevance": "HEURISTIC_RELEVANCE_HIGH",
        "policy": {
          "version": 3,
          "etag": "BwX5/L9Vbg4=",
          "bindings": [
            {
              "role": "roles/compute.viewer",
              "members": [
                "user:user1@example.com"
              ]
            },
            {
              "role": "roles/owner",
              "members": [
                "user:user2@example.com"
              ]
            },
            {
              "role": "roles/resourcemanager.organizationAdmin",
              "members": [
                "user:user1@example.com"
              ]
            },
          ]
        }
      }
    ],
    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
  },
  "denyPolicyExplanation": {
    "denyAccessState": "DENY_ACCESS_STATE_DENIED",
    "explainedResources": [
      {
        "denyAccessState": "DENY_ACCESS_STATE_DENIED",
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/123456789012",
        "explainedPolicies": [
          {
            "denyAccessState": "DENY_ACCESS_STATE_DENIED",
            "policy": {
              "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F123456789012/denypolicies/deny-compute-get",
              "uid": "77e93c80-b383-0027-268e-a52a608aa13d",
              "kind": "DenyPolicy",
              "displayName": "Deny compute instance get",
              "etag": "MTc3MDA1ODIyNjExNTMzMDg2NzI=",
              "createTime": "2023-04-18T07:15:47.702191Z",
              "updateTime": "2023-04-18T07:15:47.702191Z",
              "rules": [
                {
                  "denyRule": {
                    "deniedPrincipals": [
                      "principal://iam.googleapis.com/projects/-/serviceAccounts/user1@example.com"
                    ],
                    "deniedPermissions": [
                      "compute.googleapis.com/instances.get"
                    ]
                  }
                }
              ]
            },
            "ruleExplanations": [
              {
                "denyAccessState": "DENY_ACCESS_STATE_DENIED",
                "combinedDeniedPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "deniedPermissions": {
                  "compute.googleapis.com/instances.get": {
                    "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "combinedExceptionPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedDeniedPrincipal": {
                  "membership": "MEMBERSHIP_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "deniedPrincipals": {
                  "principal://iam.googleapis.com/projects/-/serviceAccounts/user1@example.com": {
                    "membership": "MEMBERSHIP_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "combinedExceptionPrincipal": {
                  "membership": "MEMBERSHIP_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            ],
            "relevance": "HEURISTIC_RELEVANCE_HIGH"
          }
        ],
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      }
    ],
    "relevance": "HEURISTIC_RELEVANCE_HIGH",
    "permissionDeniable": true
  }
}

Interpréter les résultats de l'outil de dépannage

Console

La page de résultats contient les informations suivantes :

Détails de l'évaluation
Détails des règles, qui contient les éléments suivants :

Détails de l'évaluation

La section Détails de l'évaluation contient un résumé de l'accès que vous dépannez, y compris le compte principal, la ressource et l'autorisation spécifiés. Si vous dépannez plusieurs paires d'autorisations de ressources, vous pouvez utiliser la liste Évaluation des accès pour basculer entre elles.

Détails des règles

La section Détails des règles indique l'impact des règles d'autorisation et de refus pertinentes sur l'accès du compte principal.

Les règles d'autorisation et de refus pertinentes sont les suivantes:

La stratégie d'autorisation de la ressource
Les règles de refus de la ressource, le cas échéant
Les stratégies d'autorisation du projet, du dossier et de l'organisation parent de la ressource, le cas échéant
Les stratégies de refus du projet, du dossier et de l'organisation parent de la ressource, le cas échéant

Les règles d'autorisation et de refus des projets, dossiers et organisations parents sont pertinentes en raison de l'héritage des stratégies. Lorsque vous associez une stratégie d'autorisation ou de refus à un projet, un dossier ou une organisation, cette stratégie s'applique également à toutes les ressources de ce projet, ce dossier ou cette organisation.

Par exemple, si une stratégie de refus pour une organisation indique qu'un compte principal ne peut pas utiliser une autorisation spécifique, le compte principal ne peut utiliser cette autorisation sur aucune ressource de l'organisation. Cette règle s'applique même si les dossiers et les projets de cette organisation sont associés à des stratégies de refus plus permissives ou à des stratégies d'autorisation qui accordent cette autorisation au compte principal.

De même, si une stratégie d'autorisation pour un projet accorde une autorisation spécifique à un compte principal, celui-ci dispose de cette autorisation pour n'importe quelle ressource du projet, à condition que cette autorisation ne lui soit pas refusée.

La section Détails des règles contient les sections suivantes:

État de l'accès
Règle de refus
Règle d'autorisation

État de l'accès

La section État de l'accès contient un bref résumé de l'accès du compte principal en fonction des stratégies d'autorisation et de refus IAM pertinentes. Ce résumé inclut l'impact des règles de refus, l'impact des règles d'autorisation et le résultat final de l'accès en fonction des règles de refus et d'autorisation pertinentes.

Règle de refus

Dans la section Règle de refus, vous pouvez afficher toutes les règles de refus pertinentes, identifier celles qui refusent l'accès au compte principal et comprendre pourquoi une règle de refus refuse ou ne refuse pas l'autorisation.

Le volet Ressources avec des règles de refus répertorie toutes les règles de refus pertinentes, en les organisant en fonction des ressources auxquelles elles sont associées. À côté de chaque stratégie de refus se trouve une évaluation d'accès. Cette évaluation ne s'applique qu'à cette règle de refus et ne reflète aucun accès des règles héritées. Si vous ne disposez pas des autorisations nécessaires pour afficher la règle de refus d'une ressource, celle-ci n'apparaît pas dans la liste des ressources.

Pour afficher les règles de refus pertinentes associées à ces règles de refus, cliquez sur une règle de refus. Pour afficher toutes les règles de refus des stratégies de refus d'une ressource, cliquez sur celle-ci. Les règles de refus s'affichent dans le volet Deny rules (Règles de refus). Ce volet contient une table de toutes les règles de refus avec le compte principal interrogé ou l'autorisation pour la ressource ou la règle de refus que vous avez sélectionnée.

La colonne Accès indique si la règle de refus refuse l'autorisation au compte principal. Pour en savoir plus sur la règle de refus, cliquez sur Afficher la règle de refus sur la ligne de cette règle.

Règle d'autorisation

Dans la section Règle d'autorisation, vous pouvez parcourir toutes les stratégies d'autorisation pertinentes, identifier les liaisons de rôle qui accordent l'accès au compte principal et comprendre pourquoi une liaison de rôle accorde ou ne donne pas l'autorisation au compte principal.

Le volet Ressources répertorie la ressource spécifiée et ses ancêtres. À côté de chaque ressource se trouve une évaluation de l'accès. Cette évaluation ne s'applique qu'à la règle d'autorisation de cette ressource et ne reflète aucun accès issu des règles héritées. Si vous ne disposez pas des autorisations nécessaires pour afficher la règle d'autorisation d'une ressource, celle-ci n'apparaît pas dans la liste des ressources.

Pour afficher les liaisons de rôle pertinentes dans la stratégie d'autorisation d'une ressource et savoir comment elles accordent ou non l'autorisation au compte principal, cliquez sur la ressource. Les liaisons de la stratégie d'autorisation apparaissent dans le volet Liaisons de rôles.

Le volet Role bindings (Liaisons de rôles) contient une table de liaisons de rôles dans la stratégie d'autorisation de la ressource sélectionnée. Par défaut, la table ne contient que des liaisons de rôle qui incluent un rôle disposant de l'autorisation spécifiée. Si le compte principal n'a pas accès, le tableau affiche également les liaisons de rôles avec des rôles personnalisés modifiables. Pour afficher toutes les liaisons de rôles, décochez la case Afficher uniquement les liaisons pertinentes.

La colonne Accès indique si la liaison de rôle accorde l'autorisation au compte principal. Pour en savoir plus sur la liaison de rôle, cliquez sur Afficher les détails de la liaison sur la ligne de cette liaison.

gcloud

La réponse contient quatre sections principales: une description du tuple d'accès dans la requête, les résultats de l'évaluation de la stratégie d'autorisation, les résultats de l'évaluation de la stratégie de refus et l'état d'accès global.

accessTuple: description du tuple d'accès dans la requête, y compris tout contexte de condition que vous avez fourni. Cette section contient également un résumé des tags qui s'appliquent à la ressource.

allowPolicyExplanation: résumé indiquant si les règles d'autorisation pertinentes accordent l'autorisation au compte principal, suivi d'une liste de stratégies d'autorisation et de leurs liaisons de rôles.

Pour chaque stratégie d'autorisation, la réponse répertorie toutes les liaisons de rôles de la stratégie et les évalue en fonction des critères suivants:
- Indique si la liaison inclut l'autorisation.
- Indique si la liaison inclut le compte principal.
- Indique si les conditions de la liaison, le cas échéant, sont remplies.
La réponse imprime ensuite l'intégralité du texte JSON de la stratégie d'autorisation.

denyPolicyExplanation: résumé indiquant si les règles de refus applicables refusent l'autorisation au compte principal, suivi d'une liste des ressources avec des règles de refus Pour chaque ressource, la réponse répertorie toutes les règles de refus associées à la ressource.

Pour chaque stratégie de refus, la réponse imprime les métadonnées de la stratégie, répertorie les règles de refus de la stratégie, puis évalue chaque règle en fonction des critères suivants:
- Indique si la règle de refus inclut l'autorisation.
- Indique si l'autorisation est répertoriée en tant qu'exception dans la règle de refus.
- Indique si la règle de refus inclut le compte principal.
- Indique si le compte principal est répertorié en tant qu'exception dans la règle de refus.
- Indique si les conditions de la règle de refus, le cas échéant, sont remplies.

overallAccessState: indique si le compte principal peut utiliser l'autorisation spécifiée pour accéder à la ressource spécifiée en fonction des règles d'autorisation et de refus pertinentes.
Les règles d'autorisation et de refus pertinentes sont les suivantes:
- La stratégie d'autorisation de la ressource
- Les règles de refus de la ressource, le cas échéant
- Les stratégies d'autorisation du projet, du dossier et de l'organisation parent de la ressource, le cas échéant
- Les stratégies de refus du projet, du dossier et de l'organisation parent de la ressource, le cas échéant
Les règles d'autorisation et de refus des projets, dossiers et organisations parents sont pertinentes en raison de l'héritage des stratégies. Lorsque vous associez une stratégie d'autorisation ou de refus à un projet, un dossier ou une organisation, cette stratégie s'applique également à toutes les ressources de ce projet, ce dossier ou cette organisation.

Par exemple, si une stratégie de refus pour une organisation indique qu'un compte principal ne peut pas utiliser une autorisation spécifique, le compte principal ne peut utiliser cette autorisation sur aucune ressource de l'organisation. Cette règle s'applique même si les dossiers et les projets de cette organisation sont associés à des stratégies de refus plus permissives ou à des stratégies d'autorisation qui accordent cette autorisation au compte principal.

De même, si une stratégie d'autorisation pour un projet accorde une autorisation spécifique à un compte principal, celui-ci dispose de cette autorisation pour n'importe quelle ressource du projet, à condition que cette autorisation ne lui soit pas refusée.

Remarque:Les règles de refus, y compris les règles de refus héritées, sont toujours prioritaires sur les règles d'autorisation. Pour en savoir plus, consultez la section Évaluation des stratégies.

De nombreux objets de la réponse comportent également un champ relevance. La valeur de ce champ indique dans quelle mesure cet objet contribue à l'état global de l'accès. Le champ relevance peut avoir les valeurs suivantes:

HEURISTIC_RELEVANCE_HIGH: indique que l'objet a un impact important sur le résultat. En d'autres termes, la suppression de l'objet modifiera probablement l'état d'accès global. Par exemple, une liaison de rôle qui accorde au compte principal l'autorisation spécifiée possède cette valeur de pertinence.
HEURISTIC_RELEVANCE_NORMAL: indique que l'objet a un impact limité sur le résultat. En d'autres termes, il est peu probable que la suppression de l'objet modifie l'état d'accès global. Par exemple, une règle de refus qui ne contient pas l'autorisation ou le compte principal aurait cette valeur de pertinence.

REST

La réponse contient quatre sections principales: l'état d'accès global, une description du tuple d'accès dans la requête, les résultats de l'évaluation de la règle d'autorisation et les résultats de l'évaluation de la stratégie de refus.

overallAccessState: indique si le compte principal peut utiliser l'autorisation spécifiée pour accéder à la ressource spécifiée en fonction des règles d'autorisation et de refus pertinentes.
Les règles d'autorisation et de refus pertinentes sont les suivantes:
- La stratégie d'autorisation de la ressource
- Les règles de refus de la ressource, le cas échéant
- Les stratégies d'autorisation du projet, du dossier et de l'organisation parent de la ressource, le cas échéant
- Les stratégies de refus du projet, du dossier et de l'organisation parent de la ressource, le cas échéant
Les règles d'autorisation et de refus des projets, dossiers et organisations parents sont pertinentes en raison de l'héritage des stratégies. Lorsque vous associez une stratégie d'autorisation ou de refus à un projet, un dossier ou une organisation, cette stratégie s'applique également à toutes les ressources de ce projet, ce dossier ou cette organisation.

Par exemple, si une stratégie de refus pour une organisation indique qu'un compte principal ne peut pas utiliser une autorisation spécifique, le compte principal ne peut utiliser cette autorisation sur aucune ressource de l'organisation. Cette règle s'applique même si les dossiers et les projets de cette organisation sont associés à des stratégies de refus plus permissives ou à des stratégies d'autorisation qui accordent cette autorisation au compte principal.

De même, si une stratégie d'autorisation pour un projet accorde une autorisation spécifique à un compte principal, celui-ci dispose de cette autorisation pour n'importe quelle ressource du projet, à condition que cette autorisation ne lui soit pas refusée.

Remarque:Les règles de refus, y compris les règles de refus héritées, sont toujours prioritaires sur les règles d'autorisation. Pour en savoir plus, consultez la section Évaluation des stratégies.

accessTuple: description du tuple d'accès dans la requête, y compris tout contexte de condition que vous avez fourni. Cette section contient également un résumé des tags qui s'appliquent à la ressource.

allowPolicyExplanation: résumé indiquant si les règles d'autorisation pertinentes accordent l'autorisation au compte principal, suivi d'une liste de stratégies d'autorisation et de leurs liaisons de rôles.

Pour chaque stratégie d'autorisation, la réponse répertorie toutes les liaisons de rôles de la stratégie et les évalue en fonction des critères suivants:
- Indique si la liaison inclut l'autorisation.
- Indique si la liaison inclut le compte principal.
- Indique si les conditions de la liaison, le cas échéant, sont remplies.
La réponse imprime ensuite l'intégralité du texte JSON de la stratégie d'autorisation.

denyPolicyExplanation: résumé indiquant si les règles de refus applicables refusent l'autorisation au compte principal, suivi d'une liste des ressources avec des règles de refus Pour chaque ressource, la réponse répertorie toutes les règles de refus associées à la ressource.

Pour chaque stratégie de refus, la réponse imprime les métadonnées de la stratégie, répertorie les règles de refus de la stratégie, puis évalue chaque règle en fonction des critères suivants:
- Indique si la règle de refus inclut l'autorisation.
- Indique si l'autorisation est répertoriée en tant qu'exception dans la règle de refus.
- Indique si la règle de refus inclut le compte principal.
- Indique si le compte principal est répertorié en tant qu'exception dans la règle de refus.
- Indique si les conditions de la règle de refus, le cas échéant, sont remplies.

HEURISTIC_RELEVANCE_HIGH: indique que l'objet a un impact important sur le résultat. En d'autres termes, la suppression de l'objet modifiera probablement l'état d'accès global. Par exemple, une liaison de rôle qui accorde au compte principal l'autorisation spécifiée possède cette valeur de pertinence.
HEURISTIC_RELEVANCE_NORMAL: indique que l'objet a un impact limité sur le résultat. En d'autres termes, il est peu probable que la suppression de l'objet modifie l'état d'accès global. Par exemple, une règle de refus qui ne contient pas l'autorisation ou le compte principal aurait cette valeur de pertinence.

Dépanner des liaisons de rôles conditionnelles

Policy Troubleshooter corrige automatiquement les liaisons de rôles conditionnelles et les règles de refus basées sur des tags. Toutefois, pour résoudre d'autres types de liaisons de rôle conditionnelles ou de règles de refus conditionnelles, Policy Troubleshooter a besoin de contexte supplémentaire sur la requête. Par exemple, pour résoudre les problèmes de conditions basées sur les attributs de date/heure, Policy Troubleshooter a besoin de l'heure de la requête.

Dans la gcloud CLI et l'API REST, vous fournissez manuellement ce contexte supplémentaire.

Dans la console Google Cloud, vous pouvez fournir ce contexte supplémentaire en dépannant directement n'importe quel journal d'audit pour les activités d'administration ou journal d'audit des accès aux données. Chaque entrée de journal d'audit correspond à une requête adressée à une API Google Cloud ou à une action effectuée par Google Cloud en votre nom. Lorsque vous dépannez un journal d'audit, Policy Troubleshooter obtient automatiquement des informations supplémentaires sur la requête, telles que sa date et son heure, ce qui lui permet d'analyser les liaisons de rôles conditionnelles et les règles de refus.

Console

Pour résoudre les problèmes liés aux liaisons de rôles conditionnelles et aux règles de refus, procédez comme suit:

Dans la console Google Cloud, accédez à la page Explorateur de journaux.

Accédez à l'explorateur de journaux.
Si le titre de la page est Legacy Logs Viewer (Ancienne version de la visionneuse de journaux), cliquez sur la liste déroulante Upgrade (Mettre à niveau) et sélectionnez Upgrade to new Logs Explorer (Mettre à niveau vers le nouvel explorateur de journaux).
Pour n'afficher que les journaux d'audit des activités d'administration et des accès aux données, saisissez la requête suivante dans le générateur de requêtes, puis cliquez sur Exécuter la requête :
```
logName=("RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity" OR "RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Fdata_access")
```
Remplacez les valeurs suivantes :
- RESOURCE_TYPE : type de ressource pour lequel vous souhaitez répertorier les journaux d'audit. Utilisez projects, folders ou organizations.
- RESOURCE_ID : ID de votre ressource.
Recherchez l'entrée du journal d'audit qui correspond à la requête que vous souhaitez résoudre. Pour découvrir comment rechercher des entrées de journal spécifiques à l'aide de l'explorateur de journaux, consultez la page Utiliser l'explorateur de journaux.

Remarque : Dans certains cas, une seule requête peut produire plusieurs entrées de journal. Examinez attentivement les entrées afin de déterminer laquelle corriger.
Dans la colonne Résumé de l'entrée de journal, cliquez sur IAM, puis sur Résoudre un problème d'accès.

Policy Troubleshooter utilise les informations de l'entrée de journal pour résoudre les problèmes d'accès, puis affiche les résultats. Le contexte supplémentaire est indiqué dans les détails de l'évaluation sous Contexte de la condition. Pour afficher les détails du contexte, cliquez sur Afficher le contexte de la condition. Pour en savoir plus sur la page de résultats de Policy Troubleshooter, consultez la section Dépannage des accès sur cette page.

Remarque : Le contexte supplémentaire n'inclut pas l'état d'appartenance à un groupe. Lors du dépannage de l'appartenance à un groupe, Policy Troubleshooter utilise toujours l'état d'appartenance au groupe au moment du dépannage.
Facultatif: Pour résoudre une autre requête impliquant des liaisons de rôles conditionnelles et des règles de refus, revenez à la page de l'explorateur de journaux et répétez les étapes précédentes.

gcloud

Pour résoudre les problèmes liés aux liaisons de rôles conditionnelles et aux règles de refus, exécutez la commande gcloud policy-troubleshoot iam.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

EMAIL: adresse e-mail du compte principal dont vous souhaitez résoudre les problèmes d'autorisation.
RESOURCE: ressource pour laquelle l'autorisation est accordée.
PERMISSION: autorisation que vous souhaitez dépanner.
DESTINATION_IP : facultatif. Adresse IP de destination de la requête à utiliser lors de la vérification des liaisons de rôles conditionnelles. Exemple : 198.1.1.1.
DESTINATION_PORT : facultatif. Port de destination de la requête à utiliser lors de la vérification des liaisons de rôles conditionnelles. Exemple : "8080".
REQUEST_TIME : facultatif. Horodatage de la requête à utiliser lors de la vérification des liaisons de rôles conditionnelles. Utilisez un horodatage au format RFC 3339, par exemple 2099-02-01T00:00:00Z.
RESOURCE_NAME : facultatif. Valeur du nom de ressource à utiliser lors de la vérification des liaisons de rôles conditionnelles. Pour obtenir la liste des formats de nom de ressource acceptés, consultez la section Format du nom de ressource.
RESOURCE_SERVICE : facultatif. Valeur du service de ressources à utiliser lors de la vérification des liaisons de rôles conditionnelles. Pour obtenir la liste des noms de service acceptés, consultez Valeurs de service de ressources.
RESOURCE_TYPE : facultatif. Pour obtenir la liste des types de ressources acceptés, consultez la section Valeurs de types de ressources.

Exécutez la commande gcloud policy-troubleshoot iam:

Linux, macOS ou Cloud Shell

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL \
    --permission=PERMISSION --destination-ip=DESTINATION_IP \
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME \
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE \
    --resource-type=RESOURCE_TYPE

Windows (PowerShell)

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL `
    --permission=PERMISSION --destination-ip=DESTINATION_IP `
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME `
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE `
    --resource-type=RESOURCE_TYPE

Windows (cmd.exe)

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL ^
    --permission=PERMISSION --destination-ip=DESTINATION_IP ^
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME ^
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE ^
    --resource-type=RESOURCE_TYPE

La réponse contient une explication de l'accès du compte principal. Pour chaque liaison de rôle et règle de refus avec une condition, la réponse inclut un champ conditionExplanation indiquant si la condition est évaluée à true ou false en fonction du contexte de condition que vous avez fourni.

Par exemple, voici une évaluation d'une liaison de rôle avec une condition spécifiant le type de ressource et le service de ressources:

...
{
  "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
  "combinedMembership": {
    "membership": "MEMBERSHIP_MATCHED",
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "condition": {
    "expression": " resource.type \u003d\u003d \"compute.googleapis.com/Instance\" \u0026\u0026 resource.service \u003d\u003d \"compute.googleapis.com\"",
    "title": "Compute instances only",
    "description": "Condition that limits permissions to only Compute instances"
  },
  "conditionExplanation": {
    "evaluationStates": [{
      "end": 51,
      "start": 1,
      "value": true
    }, {
      "end": 99,
      "start": 55,
      "value": true
    }],
    "value": true,
  },
  "memberships": {
    "user:my-user@example.com": {
      "membership": "MEMBERSHIP_MATCHED",
      "relevance": "HEURISTIC_RELEVANCE_HIGH"
    }
  },
  "relevance": "HEURISTIC_RELEVANCE_HIGH",
  "role": "roles/compute.viewer",
  "rolePermission": "ROLE_PERMISSION_INCLUDED",
  "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
}
...

REST

Pour résoudre les problèmes liés aux liaisons de rôles conditionnelles et aux règles de refus, utilisez la méthode iam.troubleshoot de l'API Policy Troubleshooter.

Avant d'utiliser les données de requête, effectuez les remplacements suivants:

EMAIL: adresse e-mail du compte principal dont vous souhaitez résoudre les problèmes d'autorisation.
RESOURCE: ressource pour laquelle l'autorisation est accordée.
PERMISSION: autorisation que vous souhaitez dépanner.
DESTINATION_IP : facultatif. Adresse IP de destination de la requête à utiliser lors de la vérification des liaisons de rôles conditionnelles. Exemple : 198.1.1.1.
DESTINATION_PORT : facultatif. Port de destination de la requête à utiliser lors de la vérification des liaisons de rôles conditionnelles. Exemple : "8080".
REQUEST_TIME : facultatif. Horodatage de la requête à utiliser lors de la vérification des liaisons de rôles conditionnelles. Utilisez un horodatage au format RFC 3339, par exemple 2099-02-01T00:00:00Z.
RESOURCE_NAME : facultatif. Valeur du nom de ressource à utiliser lors de la vérification des liaisons de rôles conditionnelles. Pour obtenir la liste des formats de nom de ressource acceptés, consultez la section Format du nom de ressource.
RESOURCE_SERVICE : facultatif. Valeur du service de ressources à utiliser lors de la vérification des liaisons de rôles conditionnelles. Pour obtenir la liste des noms de service acceptés, consultez Valeurs de service de ressources.
RESOURCE_TYPE : facultatif. Pour obtenir la liste des types de ressources acceptés, consultez la section Valeurs de types de ressources.

Méthode HTTP et URL :

POST https://policytroubleshooter.googleapis.com/v3/iam:troubleshoot

Corps JSON de la requête :

{
  "accessTuple": {
    "principal": "EMAIL",
    "fullResourceName": "RESOURCE",
    "permission": "PERMISSION",
    "conditionContext": {
      "destination": {
        "ip": DESTINATION_IP,
        "port": DESTINATION_PORT
      },
      "request": {
        "receiveTime": REQUEST_TIME
      },
      "resource": {
        "name": RESOURCE_NAME,
        "service": RESOURCE_SERVICE,
        "type": RESOURCE_TYPE
      }
    }
  }
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Enregistrez le corps de la requête dans un fichier nommé request.json et exécutez la commande suivante:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "x-goog-user-project: PROJECT_ID" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://policytroubleshooter.googleapis.com/v3/iam:troubleshoot"

PowerShell (Windows)

Enregistrez le corps de la requête dans un fichier nommé request.json et exécutez la commande suivante:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://policytroubleshooter.googleapis.com/v3/iam:troubleshoot" | Select-Object -Expand Content

APIs Explorer (navigateur)

Par exemple, voici une évaluation d'une liaison de rôle avec une condition spécifiant le type de ressource et le service de ressources:

...
{
  "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
  "role": "roles/compute.viewer",
  "rolePermission": "ROLE_PERMISSION_INCLUDED",
  "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
  "combinedMembership": {
    "membership": "MEMBERSHIP_MATCHED",
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "memberships": {
    "user:my-user@example.com": {
      "membership": "MEMBERSHIP_MATCHED",
      "relevance": "HEURISTIC_RELEVANCE_HIGH"
    }
  },
  "relevance": "HEURISTIC_RELEVANCE_HIGH",
  "condition": {
    "expression": " resource.type \u003d\u003d \"compute.googleapis.com/Instance\" \u0026\u0026 resource.service \u003d\u003d \"compute.googleapis.com\"",
    "title": "Compute instances only",
    "description": "Condition that limits permissions to only Compute instances"
  },
  "conditionExplanation": {
    "value": true,
    "evaluationStates": [{
      "start": 1,
      "end": 51,
      "value": true
    }, {
      "start": 55,
      "end": 99,
      "value": true
    }]
  }
}
...

Étapes suivantes

Utilisez la documentation de référence sur les autorisations ou la documentation de référence sur les rôles prédéfinis pour déterminer le rôle à attribuer à un utilisateur qui ne dispose pas des autorisations nécessaires.
Découvrez les autres outils Policy Intelligence, qui vous aident à comprendre et à gérer vos stratégies pour améliorer votre configuration de sécurité de manière proactive.