En este documento, se explican los mensajes de error que puedes encontrar si no tienes los permisos de acceso necesarios para un recurso y se describe cómo puedes resolver estos errores.
Mensajes de error de permisos
La consola, Google Cloud CLI y la API de REST muestran mensajes de error cuando intentas acceder a un recurso al que no tienes permiso para acceder. Trusted Cloud
Estos mensajes de error pueden deberse a cualquiera de los siguientes motivos:
- No tienes los permisos necesarios. Debes tener una vinculación de rol de política de permiso con los permisos necesarios. Si no tienes los permisos necesarios, Trusted Cloud mostrará un mensaje de error.
- Hay una política de denegación que bloquea el acceso. Si una política de denegación te impide usar cualquiera de los permisos obligatorios, Trusted Cloud mostrará un mensaje de error.
- El recurso no existe. Si el recurso no existe,Trusted Cloud muestra un mensaje de error.
En las siguientes secciones, se muestra cómo se ven estos mensajes de error en la consola deTrusted Cloud , gcloud CLI y la API de REST.
Mensajes de error de la consola deTrusted Cloud
En la Trusted Cloud consola, los mensajes de error son similares a los siguientes:
Estos mensajes de error contienen la siguiente información:
- El recurso al que intentaste acceder: El nombre del recurso aparece en el título de la página de error y muestra el recurso al que intentabas acceder cuando se produjo el error de permiso.
- Los permisos obligatorios faltantes: Es una lista de los permisos que necesitas tener para acceder al recurso.
Una lista de roles de IAM que contienen los permisos requeridos: Esta lista no es exhaustiva, sino que contiene una lista seleccionada de roles queTrusted Cloud sugiere para resolver el problema de acceso. El orden se basa en el tipo de acciones permitidas por el rol, la relevancia del servicio y la cantidad de permisos.
Si tienes los permisos necesarios para otorgar roles, esta sección se titula Selecciona un rol para otorgar. Si no tienes los permisos necesarios, esta sección se titula Solicita un rol específico.
Esta lista solo está disponible para los errores de permisos que se pueden resolver otorgando roles de IAM adicionales.
Puedes hacer clic en un rol para obtener más información sobre él y solicitar que se te otorgue. Si tienes los permisos necesarios para otorgar roles, puedes otorgarte el rol en lugar de solicitarlo.
Mensajes de error de Google Cloud CLI y la API de REST
La redacción exacta del mensaje de error depende del comando que ejecutes. Sin embargo, suele contener la siguiente información:
- El permiso requerido
- El recurso en el que intentaste realizar una acción
- La cuenta de autenticación
Por ejemplo, si no tienes permiso para mostrar la lista de buckets en un proyecto, verás un mensaje de error como el siguiente:
gcloud
ERROR: (gcloud.storage.buckets.list) HTTPError 403:
EMAIL_ADDRESS does not have
storage.buckets.list access to the Google Cloud project. Permission
'storage.buckets.list' denied on resource (or it may not exist). This command
is authenticated as EMAIL ADDRESS which
is the active account specified by the [core/account] property.
REST
{
"error": {
"code": 403,
"message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
"errors": [
{
"message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
"domain": "global",
"reason": "forbidden"
}
]
}
}
Cómo solicitar permisos faltantes
Si no tienes permiso para modificar las políticas relacionadas con el acceso en tu organización, no podrás resolver los errores de permisos por tu cuenta. Sin embargo, puedes enviar una solicitud de acceso a un administrador con el contexto del mensaje de error.
Puedes solicitar acceso de las siguientes maneras:
Solicita los permisos necesarios. Esta resolución es eficaz para todos los tipos de errores de permisos.
Solicita un rol con los permisos necesarios. Esta resolución solo es efectiva si el error de permiso se debe a tus políticas de permiso.
Si usas la consola de Trusted Cloud y tienes los permisos necesarios para otorgar roles, puedes otorgarte el rol directamente desde el mensaje de error en lugar de solicitarlo. Para obtener más información, consulta Cómo otorgarte un rol en la consola de Trusted Cloud .
Solicita los permisos necesarios
Para solicitar los permisos necesarios, haz lo siguiente:
Console
En la lista de permisos faltantes, haz clic en Solicitar permisos.
En el panel Solicitar acceso, elige cómo quieres notificar a tu administrador:
Si tu organización admite Contactos esenciales, puedes enviar un correo electrónico generado automáticamente al Contacto esencial técnico de tu organización. Para enviar este correo electrónico, haz lo siguiente:
- Selecciona Enviar correo electrónico generado automáticamente.
- Agrega el contexto sobre la solicitud que quieras incluir.
- Haz clic en Enviar solicitud.
Para copiar la solicitud de acceso y pegarla en tu sistema de administración de solicitudes preferido, haz lo siguiente:
- Si tu organización admite los contactos esenciales, pero quieres enviar la notificación de forma manual, selecciona Notificar manualmente.
- Agrega el contexto sobre la solicitud que quieras incluir.
- Haz clic en Copiar mensaje.
- Pega la solicitud en tu sistema de administración de solicitudes preferido.
El administrador recibe tu solicitud de acceso, junto con cualquier contexto adicional que hayas proporcionado.
gcloud
Copia la lista de permisos faltantes del mensaje de error y, luego, usa tu sistema de administración de solicitudes preferido para pedirle a un administrador que te otorgue esos permisos.
REST
Copia la lista de permisos faltantes del mensaje de error y, luego, usa tu sistema de administración de solicitudes preferido para pedirle a un administrador que te otorgue esos permisos.
Cómo solicitar un rol
Si el error de permiso se debe a una política de permiso, puedes solicitar a un administrador que te otorgue un rol con los permisos necesarios para resolver el error.
Si el error se debe a un tipo de política diferente o no sabes qué tipo de política lo está causando, solicita los permisos necesarios.
Console
En la sección Solicita un rol específico, revisa la lista de roles recomendados y elige el que deseas solicitar. Puedes hacer clic en los roles para ver más detalles sobre ellos. Esta sección solo se muestra si el error de permiso se debe a una política de permisos.
Haz clic en el rol que elegiste y, luego, en Solicitar rol.
En el panel Solicitar acceso, elige una de las opciones para notificar a tu administrador:
Si tu organización admite contactos esenciales, puedes enviar un correo electrónico generado automáticamente al contacto esencial técnico de tu organización. Para enviar este correo electrónico, haz lo siguiente:
- Selecciona Enviar correo electrónico generado automáticamente.
- Agrega el contexto sobre la solicitud que quieras incluir.
- Haz clic en Enviar solicitud.
Para copiar la solicitud de acceso y pegarla en tu sistema de administración de solicitudes preferido, haz lo siguiente:
- Si tu organización admite los contactos esenciales, pero quieres enviar la notificación de forma manual, selecciona Notificar manualmente.
- Agrega el contexto sobre la solicitud que quieras incluir.
- Haz clic en Copiar mensaje.
- Pega la solicitud en tu sistema de administración de solicitudes preferido.
El administrador recibe tu solicitud de acceso, junto con cualquier contexto adicional que hayas proporcionado.
gcloud
Identifica un rol de IAM que contenga los permisos faltantes.
Para ver todos los roles en los que se incluye un permiso determinado, busca el permiso en el índice de roles y permisos de IAM y, luego, haz clic en el nombre del permiso.
Si ninguna función predefinida coincide con tu caso de uso, puedes crear un rol personalizado.
Usa el sistema de administración de solicitudes que prefieras para solicitarle a un administrador que te otorgue el rol.
REST
Identifica un rol de IAM que contenga los permisos faltantes.
Para ver todos los roles en los que se incluye un permiso determinado, busca el permiso en el índice de roles y permisos de IAM y, luego, haz clic en el nombre del permiso.
Si ninguna función predefinida coincide con tu caso de uso, puedes crear un rol personalizado.
Usa el sistema de administración de solicitudes que prefieras para solicitarle a un administrador que te otorgue el rol.
Cómo otorgarte un rol en la consola de Trusted Cloud
Si encuentras un error de permiso en la consola de Trusted Cloud y tienes los permisos necesarios para otorgar roles, puedes otorgarte un rol directamente desde el mensaje de error de permiso:
En la sección Selecciona un rol para otorgar, revisa la lista de roles recomendados y elige el que deseas solicitar. Puedes hacer clic en los roles para ver más detalles sobre ellos.
Para otorgar el rol que elegiste, haz clic en él y, luego, en Otorgar acceso.
Cómo resolver errores de permisos de solicitudes de acceso
Si eres administrador, es posible que recibas solicitudes de acceso de usuarios que hayan tenido errores de permisos en la consola de Trusted Cloud . Por lo general, estas solicitudes se envían a las siguientes personas:
El contacto técnico esencial de tu organización Si tu organización habilitó los contactos esenciales, los usuarios que tengan errores de permisos en la consola deTrusted Cloud podrán enviar una solicitud de acceso al contacto esencial técnico de su organización.
Contactos configurados a través de tu sistema de administración de solicitudes preferido Los usuarios que tengan errores de permisos en la consola de Trusted Cloud pueden copiar un mensaje de solicitud de acceso y, luego, enviarlo con su sistema de administración de solicitudes preferido.
Por lo general, estos mensajes tienen el siguiente formato:
user@example.com is requesting a role on the resource example.com:example-project.
Requestor's message:
"I need access to example-project to complete my work."
You may be able to resolve this request by granting access directly at:
ACCESS_REQUEST_PANEL_URL
Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:
POLICY_TROUBLESHOOTER_URL
Puedes responder a estas solicitudes de las siguientes maneras:
Resuelve el acceso directamente: Las solicitudes de acceso contienen un vínculo a un panel de solicitudes de acceso en la consola de Trusted Cloud . Si el error de permiso se debe a una política de permisos, puedes resolver el acceso directamente desde ese panel.
En el panel de solicitud de acceso, puedes revisar los detalles de la solicitud y elegir cómo quieres responderla. Puedes responder de las siguientes maneras:
- Otorga el rol solicitado
- Agrega al usuario a un grupo existente que ya tenga el acceso requerido
- Rechazar la solicitud
Ver detalles adicionales en el Solucionador de problemas de políticas: Las solicitudes de acceso también contienen un vínculo al Solucionador de problemas de políticas, que te permite ver qué políticas bloquean el acceso del usuario. Puedes usar esta información para decidir cómo resolver el problema de acceso del usuario. Para obtener más información, consulta Cómo identificar las políticas que causan errores de permisos en esta página.
Cómo resolver errores de permisos de forma manual
Si eres administrador y tienes permiso para modificar las políticas relacionadas con el acceso en tu organización, puedes usar estas estrategias para resolver errores de permisos, independientemente del tipo de política que cause el error.
Para resolver los errores de permisos, primero debes determinar qué políticas (de permiso o denegación) están causando el error. Luego, puedes resolver el error.
Identifica las políticas que causan errores de permisos
Para determinar qué políticas están causando un error de permiso, usa el solucionador de problemas de políticas.
El solucionador de problemas de políticas te ayuda a comprender si un principal puede acceder a un recurso. Con una principal, un recurso y un permiso, el solucionador de problemas de políticas examina las políticas de permiso, de denegación y de límite de acceso de las principales (PAB) que afectan el acceso de la principal. Luego, te indica si, en función de esas políticas, el principal puede usar el permiso especificado para acceder al recurso. También, se enumeran las políticas relevantes y se explica cómo afectan el acceso de la principal.Si deseas obtener información para solucionar problemas de acceso y analizar los resultados del solucionador de problemas de políticas, consulta Soluciona problemas de permisos de IAM.
Los mensajes de error en la consola de Trusted Cloud contienen un vínculo a una página de resultados del solucionador de problemas de políticas para la principal, los permisos y el recurso involucrados en la solicitud. Para ver este vínculo, haz clic en Ver detalles de solución de problemas y, luego, busca el valor en el campo URL de solución de problemas.
Actualiza el acceso para resolver errores de permisos
Después de saber qué políticas están causando un error de permiso, puedes tomar medidas para resolverlo.
A menudo, resolver un error implica crear o actualizar políticas de permiso o denegación.
Sin embargo, existen otras opciones para resolver errores que no implican actualizar políticas. Por ejemplo, puedes agregar al usuario a un grupo que tenga los permisos necesarios o agregar etiquetas para eximir un recurso de una política.
Para conocer las diferentes formas en que puedes resolver los errores de permisos debido a cada uno de los diferentes tipos de políticas, consulta lo siguiente:
- Cómo resolver errores de permisos de la política de permisos
- Cómo resolver errores de permisos de la política de denegación
Cómo resolver errores de permisos de políticas de permisos
Para resolver los errores de permisos debido a las políticas de permiso, haz una de las siguientes acciones.
Otorga un rol con los permisos necesarios
Para encontrar y otorgar un rol con los permisos necesarios, haz lo siguiente:
Identifica un rol de IAM que contenga los permisos faltantes.
Para ver todos los roles en los que se incluye un permiso determinado, busca el permiso en el índice de roles y permisos de IAM y, luego, haz clic en el nombre del permiso.
Si ninguna función predefinida coincide con tu caso de uso, puedes crear un rol personalizado.
Identifica a la principal a la que le otorgarás el rol:
- Si el usuario es la única persona que necesita el permiso, otórgale el rol directamente.
- Si el usuario forma parte de un grupo de Google que contiene usuarios que necesitan permisos similares, considera otorgar el rol al grupo. Si otorgas el rol al grupo, todos los miembros de ese grupo podrán usar ese permiso, a menos que se les haya denegado explícitamente el uso.
Otorga el rol a la principal.
Agrega el usuario a un grupo de Google
Si a un grupo de Google se le otorga un rol en un recurso, todos los miembros de ese grupo pueden usar los permisos de ese rol para acceder al recurso.
Si a un grupo existente ya se le otorgó un rol con los permisos requeridos, puedes otorgarle a un usuario los permisos necesarios agregándolo a ese grupo:
Identifica un grupo que tenga un rol con los permisos necesarios. Si ya usaste el solucionador de problemas de políticas para solucionar el problema de la solicitud, puedes revisar los resultados del solucionador de problemas de políticas para identificar un grupo con los permisos necesarios.
Como alternativa, puedes usar el Analizador de políticas para identificar un grupo con los permisos necesarios.
Cómo resolver errores de permisos de la política de denegación
Para resolver los errores de permisos relacionados con las políticas de rechazo, realiza una de las siguientes acciones.
Cómo eximirte de una política de denegación
Si una regla de denegación bloquea el acceso de un usuario a un recurso, puedes realizar una de las siguientes acciones para eximir al usuario de la regla:
Agrega al usuario como principal de excepción en la regla de denegación. Las principales de excepción son aquellas que no se ven afectadas por la regla de denegación, incluso si forman parte de un grupo que se incluye en la regla de denegación.
Para agregar un principal de excepción a una regla de denegación, sigue los pasos para actualizar la política de denegación. Cuando actualices la política de denegación, busca la regla de denegación que bloquea el acceso y, luego, agrega el identificador principal del usuario como principal de excepción.
Agrega al usuario a un grupo que esté exento de la regla. Si un grupo se incluye como principal de excepción, todos los miembros de ese grupo estarán exentos de la regla de denegación.
Para agregar al usuario a un grupo exento, haz lo siguiente:
- Usa el Solucionador de problemas de políticas para identificar las políticas de denegación que bloquean el acceso al recurso.
- Consulta la política de denegación.
- Verifica la lista de principales de excepción para los grupos.
- Si identificas un grupo exento, agrega al usuario al grupo.
Quita el permiso de la política de denegación
Las reglas de denegación impiden que las principales enumeradas usen permisos específicos. Si una regla de denegación bloquea el acceso de un usuario a un recurso, puedes quitar los permisos que necesita de la regla de denegación.
Para quitar permisos de una regla de denegación, sigue los pasos para actualizar la política de denegación. Cuando actualices la política de denegación, busca la regla de denegación que bloquea el acceso y, luego, realiza una de las siguientes acciones:
- Si la política de rechazo enumera los permisos requeridos de forma individual, busca los permisos requeridos y quítalos de la regla de rechazo.
- Si la regla de denegación usa grupos de permisos, agrega los permisos requeridos como permisos de excepción. Los permisos de excepción son aquellos que no se bloquean con la regla de denegación, incluso si forman parte de un grupo de permisos que se incluye en la regla.
Excluye el recurso de la política de denegación
Puedes usar condiciones en las políticas de denegación para aplicar una regla de denegación basada en las etiquetas de un recurso. Si las etiquetas del recurso no cumplen con la condición de la regla de denegación, esta no se aplica.
Si una regla de denegación bloquea el acceso a un recurso, puedes editar las condiciones de la regla de denegación o las etiquetas del recurso para asegurarte de que la regla de denegación no se aplique al recurso.
Para obtener información sobre cómo usar condiciones en una regla de denegación, consulta Condiciones en las políticas de denegación.
Para obtener información sobre cómo actualizar políticas de denegación, consulta Actualiza una política de denegación.
Para obtener información sobre cómo editar las etiquetas de un recurso, consulta Crea y administra etiquetas.
¿Qué sigue?
- Prueba cambios de roles con Policy Simulator
- Prueba cambios en las políticas de denegación con Policy Simulator
- Prueba los cambios en la política de límite de acceso de la principal