En este documento se describen los mensajes de error que pueden aparecer si no tienes los permisos de acceso necesarios para un recurso y se explica cómo puedes resolverlos.
Mensajes de error de permisos
La Cloud de Confiance consola, la CLI de Google Cloud y la API REST muestran mensajes de error cuando intentas acceder a un recurso al que no tienes permiso.
Estos mensajes de error pueden deberse a cualquiera de los siguientes motivos:
- No tienes los permisos necesarios. Debes tener un enlace de rol de política de permiso con los permisos necesarios. Si no tienes los permisos necesarios, Cloud de Confiance muestra un mensaje de error.
- Hay una política de denegación que bloquea el acceso. Si una política de denegación te impide usar alguno de los permisos obligatorios, Cloud de Confiance muestra un mensaje de error.
- El recurso no existe. Si el recurso no existe,Cloud de Confiance muestra un mensaje de error.
En las siguientes secciones se muestra el aspecto de estos mensajes de error en laCloud de Confiance consola, la CLI de gcloud y la API REST.
Cloud de Confiance mensajes de error de la consola
En la Cloud de Confiance consola, los mensajes de error tienen un aspecto similar al siguiente:
Estos mensajes de error contienen la siguiente información:
- El recurso al que has intentado acceder: el nombre del recurso aparece en el título de la página de error e indica el recurso al que intentabas acceder cuando se ha producido el error de permiso.
- Permisos obligatorios que faltan: lista de los permisos que necesitas para acceder al recurso.
Una lista de roles de gestión de identidades y accesos que contienen los permisos necesarios: Esta lista no es exhaustiva, sino que contiene una selección de roles que Cloud de Confiance sugiere para resolver el problema de acceso. El orden se basa en el tipo de acciones que permite el rol, la relevancia del servicio y el número de permisos.
Si tienes los permisos necesarios para asignar roles, esta sección se titula Selecciona un rol para asignarlo. Si no tienes los permisos necesarios, esta sección se titula Solicitar un rol específico.
Puedes hacer clic en un rol para obtener más información sobre él y solicitar que se te conceda. Si tienes los permisos necesarios para conceder roles, puedes concederte el rol a ti mismo en lugar de solicitarlo.
Mensajes de error de la CLI de Google Cloud y la API REST
La redacción exacta del mensaje de error depende del comando que ejecutes. Sin embargo, suele contener la siguiente información:
- El permiso necesario
- El recurso en el que has intentado realizar una acción
- La cuenta de autenticación
Por ejemplo, si no tienes permiso para mostrar los segmentos de un proyecto, verás un mensaje de error como el siguiente:
gcloud
ERROR: (gcloud.storage.buckets.list) HTTPError 403:
EMAIL_ADDRESS does not have
storage.buckets.list access to the Google Cloud project. Permission
'storage.buckets.list' denied on resource (or it may not exist). This command
is authenticated as EMAIL_ADDRESS which
is the active account specified by the [core/account] property.
REST
{
"error": {
"code": 403,
"message": "EMAIL_ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
"errors": [
{
"message": "EMAIL_ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
"domain": "global",
"reason": "forbidden"
}
]
}
}
Solicitar permisos que faltan
Si no tienes permiso para modificar las políticas relacionadas con el acceso en tu organización, no podrás resolver los errores de permisos por tu cuenta. Sin embargo, puedes enviar una solicitud de acceso a un administrador mediante el contexto del mensaje de error.
Puedes solicitar acceso de las siguientes formas:
Solicita los permisos necesarios. Esta solución es válida para todos los tipos de errores de permisos.
Solicita un rol con los permisos necesarios. Esta resolución solo es efectiva si el error de permiso se debe a tus políticas de permiso.
Si usas la Cloud de Confiance consola y tienes los permisos necesarios para asignar roles, puedes asignarte el rol directamente desde el mensaje de error en lugar de solicitarlo. Para obtener más información, consulta el artículo sobre cómo concederse un rol en la consola de Cloud de Confiance .
Solicitar los permisos necesarios
Para solicitar los permisos necesarios, haz lo siguiente:
Consola
En la lista de permisos que faltan, haz clic en Solicitar permisos.
En el panel Solicitar acceso, elige cómo quieres notificar a tu administrador:
Si tu organización admite Contactos Esenciales y permite enviar correos de solicitud de acceso generados automáticamente, puedes enviar un correo generado automáticamente al Contacto Esencial técnico de tu organización. Para enviar este correo, haz lo siguiente:
- Selecciona Enviar correo generado automáticamente.
- Añade el contexto que quieras sobre la solicitud.
- Haz clic en Enviar solicitud.
Para copiar la solicitud de acceso y pegarla en tu sistema de gestión de solicitudes preferido, sigue estos pasos:
- Si tu organización admite Contactos esenciales y permite enviar correos generados automáticamente, pero quieres enviar la notificación manualmente, selecciona Notificar manualmente.
- Añade el contexto que quieras sobre la solicitud.
- Haz clic en Copiar mensaje.
- Pega la solicitud en tu sistema de gestión de solicitudes preferido.
Tu administrador recibe tu solicitud de acceso, junto con cualquier contexto adicional que hayas proporcionado.
gcloud
Copia la lista de permisos que faltan del mensaje de error y, a continuación, usa el sistema de gestión de solicitudes que prefieras para pedirle a un administrador que te conceda esos permisos.
REST
Copia la lista de permisos que faltan del mensaje de error y, a continuación, usa el sistema de gestión de solicitudes que prefieras para pedirle a un administrador que te conceda esos permisos.
Solicitar un rol
Si el error de permiso se debe a una política de permiso, puedes solicitar a un administrador que te asigne un rol con los permisos necesarios para resolver el error.
Si el error se debe a otro tipo de política o no sabes qué tipo de política lo está provocando, solicita los permisos necesarios.
Consola
En la sección Solicitar un rol específico, consulta la lista de roles recomendados y elige el que quieras solicitar. Puede hacer clic en los roles para ver más detalles sobre ellos. Esta sección solo se muestra si el error de permiso se debe a una política de permiso.
Haz clic en el rol que has elegido y, a continuación, en Solicitar rol.
En el panel Solicitar acceso, elige una de las opciones para notificar a tu administrador:
Si tu organización admite Contactos esenciales y permite que se envíen correos de solicitud de acceso generados automáticamente, puedes enviar un correo generado automáticamente al contacto esencial técnico de tu organización. Para enviar este correo, sigue estos pasos:
- Selecciona Enviar correo generado automáticamente.
- Añade el contexto que quieras sobre la solicitud.
- Haz clic en Enviar solicitud.
Para copiar la solicitud de acceso y pegarla en tu sistema de gestión de solicitudes preferido, sigue estos pasos:
- Si tu organización admite Contactos esenciales y permite enviar correos generados automáticamente, pero quieres enviar la notificación manualmente, selecciona Notificar manualmente.
- Añade el contexto que quieras sobre la solicitud.
- Haz clic en Copiar mensaje.
- Pega la solicitud en tu sistema de gestión de solicitudes preferido.
Tu administrador recibe tu solicitud de acceso, junto con cualquier contexto adicional que hayas proporcionado.
gcloud
Identifica un rol de gestión de identidades y accesos que contenga los permisos que faltan.
Para ver todos los roles en los que se incluye un permiso determinado, busca el permiso en el índice de roles y permisos de gestión de identidades y accesos y, a continuación, haz clic en el nombre del permiso.
Si ninguno de los roles predefinidos se ajusta a tu caso práctico, puedes crear un rol personalizado.
Usa el sistema de gestión de solicitudes que prefieras para pedirle a un administrador que te conceda el rol.
REST
Identifica un rol de gestión de identidades y accesos que contenga los permisos que faltan.
Para ver todos los roles en los que se incluye un permiso determinado, busca el permiso en el índice de roles y permisos de gestión de identidades y accesos y, a continuación, haz clic en el nombre del permiso.
Si ninguno de los roles predefinidos se ajusta a tu caso práctico, puedes crear un rol personalizado.
Usa el sistema de gestión de solicitudes que prefieras para pedirle a un administrador que te conceda el rol.
Asignarte un rol en la Cloud de Confiance consola
Si se produce un error de permisos en la Cloud de Confiance consola y tienes los permisos necesarios para asignar roles, puedes asignarte un rol directamente desde el mensaje de error de permisos:
En la sección Selecciona un rol que quieras conceder, consulta la lista de roles recomendados y elige el que quieras solicitar. Puede hacer clic en los roles para ver más detalles sobre ellos.
Para conceder el rol que ha elegido, haga clic en él y, a continuación, en Conceder acceso.
Resolver errores de permisos de solicitudes de acceso
Si eres administrador, es posible que recibas solicitudes de acceso de usuarios que hayan tenido errores de permisos en la consola de Cloud de Confiance . Estas solicitudes se suelen enviar a las siguientes personas:
El contacto técnico de Essentials de tu organización. Si tu organización ha habilitado los contactos esenciales y permite los correos de solicitud de acceso generados automáticamente, los usuarios que tengan errores de permisos en la consolaCloud de Confiance podrán enviar una solicitud de acceso generada automáticamente al contacto esencial técnico de su organización.
Contactos configurados a través de tu sistema de gestión de solicitudes preferido. Los usuarios que tengan errores de permisos en la Cloud de Confiance consola pueden copiar un mensaje de solicitud de acceso y enviarlo mediante el sistema de gestión de solicitudes que prefieran.
Estos mensajes suelen tener el siguiente formato:
user@example.com is requesting a role on the resource example.com:example-project.
Requestor's message:
"I need access to example-project to complete my work."
You may be able to resolve this request by granting access directly at:
ACCESS_REQUEST_PANEL_URL
Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:
POLICY_TROUBLESHOOTER_URL
Puedes responder a estas solicitudes de las siguientes formas:
Resolver el acceso directamente: las solicitudes de acceso contienen un enlace a un panel de solicitudes de acceso en la consola de Cloud de Confiance . Si el error de permiso se debe a una política de permiso, puedes resolver el acceso directamente desde ese panel.
En el panel de solicitud de acceso, puedes revisar los detalles de la solicitud y elegir cómo quieres responder. Puedes responder de las siguientes formas:
- Asigna el rol solicitado
- Añadir el usuario a un grupo que ya tenga el acceso necesario
- Denegar la solicitud
Ver más detalles en la herramienta de solución de problemas de las políticas: las solicitudes de acceso contienen un enlace a la herramienta de solución de problemas de las políticas, que te permite ver qué políticas impiden el acceso del usuario. Puedes usar esta información para decidir cómo resolver el problema de acceso del usuario. Para obtener más información, consulta la sección Identificar las políticas que provocan errores de permisos de esta página.
Solucionar problemas de acceso con Solucionador de problemas de políticas (Vista previa): Las solicitudes de acceso también contienen un enlace a un resumen de la solución de la política, que describe los detalles de la solicitud, como el principal, el recurso y el permiso solicitados. En el resumen de corrección de políticas, puedes resolver directamente las solicitudes de acceso que impliquen políticas de permiso y obtener más información sobre las políticas que impiden el acceso de los usuarios.
Para obtener más información sobre cómo resolver solicitudes de acceso mediante el resumen de corrección de políticas, consulta Corregir problemas de acceso.
Resolver manualmente los errores de permisos
Si eres administrador y tienes permiso para modificar las políticas relacionadas con el acceso de tu organización, puedes usar estas estrategias para resolver errores de permisos, independientemente del tipo de política que los provoque.
Para resolver los errores de permisos, primero debes determinar qué políticas (permitir o denegar) están causando el error. Después, podrá resolver el error.
Identificar las políticas que provocan errores de permisos
Para determinar qué políticas están causando un error de permisos, usa el Solucionador de problemas de políticas.
Solucionador de problemas de políticas te ayuda a saber si una entidad de seguridad puede acceder a un recurso. Dado un principal, un recurso y un permiso, Solucionador de problemas de políticas examina las políticas de permiso, las políticas de denegación y las políticas de límites de acceso de principales (PAB) que afectan al acceso del principal. A continuación, te indica si, según esas políticas, la entidad puede usar el permiso especificado para acceder al recurso. También se indican las políticas pertinentes y se explica cómo afectan al acceso de la cuenta principal.Para saber cómo solucionar problemas de acceso e interpretar los resultados de la herramienta de solución de problemas de políticas, consulta Solucionar problemas de permisos de IAM.
Los mensajes de error de la consola Cloud de Confiance contienen un enlace a una página de corrección de problemas de políticas (vista previa) para el principal, los permisos y el recurso implicados en la solicitud. Para ver este enlace, haz clic en Ver detalles de solución de problemas y, a continuación, en Solucionador de problemas de políticas. Para obtener más información, consulta Corregir solicitudes de acceso.
Actualizar el acceso para resolver errores de permisos
Una vez que sepas qué políticas están provocando un error de permisos, puedes tomar medidas para resolverlo.
A menudo, para resolver un error, es necesario crear o actualizar políticas de permiso o denegación.
Sin embargo, hay otras opciones para resolver errores que no implican actualizar políticas. Por ejemplo, puedes añadir el usuario a un grupo que tenga los permisos necesarios o añadir etiquetas para eximir un recurso de una política.
Para saber cómo resolver los errores de permisos causados por cada uno de los tipos de políticas, consulte los siguientes artículos:
- Resolver errores de permiso de política de permitir
- Resolver errores de permiso de política de denegación
Resolver errores de permiso de la política de permitir
Para resolver los errores de permisos causados por las políticas de permiso, haga una de las siguientes acciones.
Conceder un rol con los permisos necesarios
Para buscar y asignar un rol con los permisos necesarios, sigue estos pasos:
Identifica un rol de gestión de identidades y accesos que contenga los permisos que faltan.
Para ver todos los roles en los que se incluye un permiso determinado, busca el permiso en el índice de roles y permisos de gestión de identidades y accesos y, a continuación, haz clic en el nombre del permiso.
Si ninguno de los roles predefinidos se ajusta a tu caso práctico, puedes crear un rol personalizado.
Identifica la cuenta principal a la que quieres asignar el rol:
- Si el usuario es el único que necesita el permiso, concédele el rol directamente.
- Si el usuario forma parte de un grupo de Google que contiene usuarios que necesitan permisos similares, considera la posibilidad de asignar el rol al grupo. Si asignas el rol al grupo, todos sus miembros podrán usar ese permiso, a menos que se les haya denegado explícitamente.
Asigna el rol a la cuenta principal.
Añadir el usuario a un grupo de Google
Si se asigna un rol a un grupo de Google en un recurso, todos los miembros de ese grupo podrán usar los permisos de ese rol para acceder al recurso.
Si ya se ha concedido un rol con los permisos necesarios a un grupo, puede dar los permisos necesarios a un usuario añadiéndolo a ese grupo:
Identifica un grupo que tenga un rol con los permisos necesarios. Si ya ha usado Solucionador de problemas de políticas para solucionar el problema de la solicitud, puede consultar los resultados de la herramienta para identificar un grupo con los permisos necesarios.
También puedes usar Analizador de políticas para identificar un grupo con los permisos necesarios.
Resolver errores de permisos de políticas de denegación
Para resolver los errores de permisos relacionados con las políticas de denegación, haga lo siguiente.
Eximirse de una política de denegación
Si una regla de denegación impide que un usuario acceda a un recurso, puedes hacer una de las siguientes acciones para eximir al usuario de la regla:
Añade al usuario como principal de excepción en la regla de denegación. Las entidades de seguridad de excepción son entidades de seguridad a las que no afecta la regla de denegación, aunque formen parte de un grupo incluido en la regla de denegación.
Para añadir un principal de excepción a una regla de denegación, sigue los pasos para actualizar la política de denegación. Cuando actualices la política de denegación, busca la regla de denegación que bloquea el acceso y, a continuación, añade el identificador principal del usuario como principal de excepción.
Añade al usuario a un grupo que esté exento de la regla. Si un grupo aparece como entidad principal de excepción, todos los miembros de ese grupo estarán exentos de la regla de denegación.
Para añadir el usuario a un grupo exento, siga estos pasos:
- Usa Solucionador de problemas de políticas para identificar las políticas de denegación que están bloqueando el acceso al recurso.
- Consulta la política de denegación.
- Consulta la lista de principales de excepción de los grupos.
- Si identificas un grupo exento, añade al usuario al grupo.
Quitar el permiso de la política de denegación
Las reglas de denegación impiden que las entidades principales incluidas en la lista usen permisos específicos. Si una regla de denegación impide que un usuario acceda a un recurso, puedes quitar los permisos que necesite de la regla de denegación.
Para quitar permisos de una regla de denegación, sigue los pasos para actualizar la política de denegación. Cuando actualices la política de denegación, busca la regla de denegación que bloquea el acceso y haz una de las siguientes acciones:
- Si la política de denegación enumera los permisos necesarios individualmente, busca los permisos necesarios y quítalos de la regla de denegación.
- Si la regla de denegación usa grupos de permisos, añade los permisos necesarios como permisos de excepción. Los permisos de excepción son permisos que no están bloqueados por la regla de denegación, aunque formen parte de un grupo de permisos incluido en la regla.
Excluir el recurso de la política de denegación
Puede usar condiciones en las políticas de denegación para aplicar una regla de denegación basada en las etiquetas de un recurso. Si las etiquetas del recurso no cumplen la condición de la regla de denegación, esta no se aplica.
Si una regla de denegación está bloqueando el acceso a un recurso, puedes editar las condiciones de la regla de denegación o las etiquetas del recurso para asegurarte de que la regla de denegación no se aplique al recurso.
Para saber cómo usar las condiciones en una regla de denegación, consulta Condiciones en las políticas de denegación.
Para saber cómo actualizar las políticas de denegación, consulta Actualizar una política de denegación.
Para saber cómo editar las etiquetas de un recurso, consulta Crear y gestionar etiquetas.