Ce document traite des messages d'erreur que vous pouvez rencontrer si vous ne disposez pas des autorisations d'accès requises pour une ressource. Il explique également comment résoudre ces erreurs.
Messages d'erreur d'autorisation
La console Trusted Cloud , Google Cloud CLI et l'API REST affichent toutes des messages d'erreur lorsque vous essayez d'accéder à une ressource à laquelle vous n'êtes pas autorisé à accéder.
Ces messages d'erreur peuvent être dus à l'une des raisons suivantes :
- Vous ne disposez pas des autorisations nécessaires. Vous devez disposer d'une liaison de rôle de stratégie d'autorisation avec les autorisations requises. Si vous ne disposez pas des autorisations requises, Trusted Cloud affiche un message d'erreur.
- Une règle de refus bloque l'accès. Si une stratégie de refus vous empêche d'utiliser l'une des autorisations requises, Trusted Cloud affiche un message d'erreur.
- La ressource n'existe pas. Si la ressource n'existe pas,Trusted Cloud affiche un message d'erreur.
Les sections suivantes montrent à quoi ressemblent ces messages d'erreur pour la consoleTrusted Cloud , la gcloud CLI et l'API REST.
Messages d'erreur de la consoleTrusted Cloud
Dans la console Trusted Cloud , les messages d'erreur ressemblent à ce qui suit :
Ces messages d'erreur contiennent les informations suivantes :
- Ressource à laquelle vous avez tenté d'accéder : le nom de la ressource s'affiche dans le titre de la page d'erreur et indique la ressource à laquelle vous tentiez d'accéder lorsque l'erreur d'autorisation s'est produite.
- Autorisations requises manquantes : liste des autorisations dont vous avez besoin pour accéder à la ressource.
Liste des rôles IAM contenant les autorisations requises : cette liste n'est pas exhaustive. Elle contient une sélection de rôles queTrusted Cloud suggère pour résoudre le problème d'accès. Le classement est basé sur le type d'actions autorisées par le rôle, la pertinence du service et le nombre d'autorisations.
Si vous disposez des autorisations requises pour attribuer des rôles, cette section s'intitule Sélectionnez un rôle à attribuer. Si vous ne disposez pas des autorisations requises, cette section s'intitule Demander un rôle spécifique.
Cette liste n'est disponible que pour les erreurs d'autorisation qui peuvent être résolues en accordant des rôles IAM supplémentaires.
Vous pouvez cliquer sur un rôle pour en savoir plus et demander à ce qu'il vous soit attribué. Si vous disposez des autorisations requises pour attribuer des rôles, vous pouvez vous attribuer le rôle vous-même au lieu de le demander.
Messages d'erreur de Google Cloud CLI et de l'API REST
La formulation exacte du message d'erreur dépend de la commande que vous exécutez. Toutefois, il contient généralement les informations suivantes :
- Autorisation requise
- La ressource sur laquelle vous avez essayé d'effectuer une action
- Compte d'authentification
Par exemple, si vous n'êtes pas autorisé à lister les buckets d'un projet, un message d'erreur semblable à celui-ci s'affiche :
gcloud
ERROR: (gcloud.storage.buckets.list) HTTPError 403:
EMAIL_ADDRESS does not have
storage.buckets.list access to the Google Cloud project. Permission
'storage.buckets.list' denied on resource (or it may not exist). This command
is authenticated as EMAIL ADDRESS which
is the active account specified by the [core/account] property.
REST
{
"error": {
"code": 403,
"message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
"errors": [
{
"message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
"domain": "global",
"reason": "forbidden"
}
]
}
}
Demander les autorisations manquantes
Si vous n'êtes pas autorisé à modifier les règles liées à l'accès dans votre organisation, vous ne pourrez pas résoudre vous-même les erreurs d'autorisation. Toutefois, vous pouvez envoyer une demande d'accès à un administrateur en utilisant le contexte du message d'erreur.
Vous pouvez demander l'accès de différentes manières :
Demandez les autorisations requises. Cette résolution s'applique à tous les types d'erreurs d'autorisation.
Demandez un rôle disposant des autorisations requises. Cette résolution n'est efficace que si l'erreur d'autorisation est due à vos règles d'autorisation.
Si vous utilisez la console Trusted Cloud et que vous disposez des autorisations requises pour attribuer des rôles, vous pouvez vous attribuer le rôle directement à partir du message d'erreur au lieu de le demander. Pour en savoir plus, consultez S'attribuer un rôle dans la console Trusted Cloud .
Demander les autorisations requises
Pour demander les autorisations requises, procédez comme suit :
Console
Dans la liste des autorisations manquantes, cliquez sur Demander des autorisations.
Dans le panneau Demander l'accès, choisissez comment informer votre administrateur :
Si votre organisation accepte les contacts essentiels, vous pouvez envoyer un e-mail généré automatiquement au contact essentiel technique de votre organisation. Pour envoyer cet e-mail, procédez comme suit :
- Sélectionnez Envoyer un e-mail généré automatiquement.
- Ajoutez tout contexte concernant la demande que vous souhaitez inclure.
- Cliquez sur Envoyer la demande.
Pour copier la demande d'accès et la coller dans votre système de gestion des demandes préféré, procédez comme suit :
- Si votre organisation accepte les contacts essentiels, mais que vous souhaitez envoyer la notification manuellement, sélectionnez Envoyer une notification manuellement.
- Ajoutez tout contexte concernant la demande que vous souhaitez inclure.
- Cliquez sur Copier le message.
- Collez la demande dans votre système de gestion des demandes préféré.
Votre administrateur reçoit votre demande d'accès, ainsi que tout contexte supplémentaire que vous avez fourni.
gcloud
Copiez la liste des autorisations manquantes à partir du message d'erreur, puis utilisez le système de gestion des demandes de votre choix pour demander à un administrateur de vous accorder ces autorisations.
REST
Copiez la liste des autorisations manquantes à partir du message d'erreur, puis utilisez le système de gestion des demandes de votre choix pour demander à un administrateur de vous accorder ces autorisations.
Demander un rôle
Si l'erreur d'autorisation est due à une règle d'autorisation, vous pouvez demander à un administrateur de vous attribuer un rôle disposant des autorisations requises pour résoudre l'erreur.
Si l'erreur est due à un autre type de règle ou si vous n'êtes pas sûr du type de règle à l'origine de l'erreur, demandez plutôt les autorisations requises.
Console
Dans la section Demander un rôle spécifique, consultez la liste des rôles recommandés et choisissez celui que vous souhaitez demander. Vous pouvez cliquer sur les rôles pour en savoir plus. Cette section n'est visible que si l'erreur d'autorisation est due à une règle d'autorisation.
Cliquez sur le rôle que vous avez choisi, puis sur Demander le rôle.
Dans le panneau Demander l'accès, choisissez l'une des options permettant d'informer votre administrateur :
Si votre organisation accepte les contacts essentiels, vous pouvez envoyer un e-mail généré automatiquement au contact essentiel technique de votre organisation. Pour envoyer cet e-mail :
- Sélectionnez Envoyer un e-mail généré automatiquement.
- Ajoutez tout contexte concernant la demande que vous souhaitez inclure.
- Cliquez sur Envoyer la demande.
Pour copier la demande d'accès et la coller dans votre système de gestion des demandes préféré, procédez comme suit :
- Si votre organisation accepte les contacts essentiels, mais que vous souhaitez envoyer la notification manuellement, sélectionnez Envoyer une notification manuellement.
- Ajoutez tout contexte concernant la demande que vous souhaitez inclure.
- Cliquez sur Copier le message.
- Collez la demande dans votre système de gestion des demandes préféré.
Votre administrateur reçoit votre demande d'accès, ainsi que tout contexte supplémentaire que vous avez fourni.
gcloud
Identifiez un rôle IAM qui contient les autorisations manquantes.
Pour afficher tous les rôles dans lesquels une autorisation donnée est incluse, recherchez l'autorisation dans l'index des rôles et autorisations IAM, puis cliquez sur le nom de l'autorisation.
Si aucun rôle prédéfini ne correspond à votre cas d'utilisation, vous pouvez créer un rôle personnalisé.
Utilisez le système de gestion des demandes de votre choix pour demander à un administrateur de vous attribuer le rôle.
REST
Identifiez un rôle IAM qui contient les autorisations manquantes.
Pour afficher tous les rôles dans lesquels une autorisation donnée est incluse, recherchez l'autorisation dans l'index des rôles et autorisations IAM, puis cliquez sur le nom de l'autorisation.
Si aucun rôle prédéfini ne correspond à votre cas d'utilisation, vous pouvez créer un rôle personnalisé.
Utilisez le système de gestion des demandes de votre choix pour demander à un administrateur de vous attribuer le rôle.
S'attribuer un rôle dans la console Trusted Cloud
Si vous rencontrez une erreur d'autorisation dans la console Trusted Cloud et que vous disposez des autorisations requises pour attribuer des rôles, vous pouvez vous attribuer un rôle directement à partir du message d'erreur d'autorisation :
Dans la section Sélectionner un rôle à attribuer, consultez la liste des rôles recommandés et choisissez celui que vous souhaitez demander. Vous pouvez cliquer sur les rôles pour en savoir plus.
Pour attribuer le rôle que vous avez choisi, cliquez dessus, puis sur Accorder l'accès.
Résoudre les erreurs d'autorisation liées aux demandes d'accès
Si vous êtes administrateur, vous pouvez recevoir des demandes d'accès d'utilisateurs qui ont rencontré des erreurs d'autorisation dans la console Trusted Cloud . Ces demandes sont généralement envoyées aux personnes suivantes :
Le contact technique essentiel de votre organisation Si votre organisation a activé les contacts essentiels, les utilisateurs qui rencontrent des erreurs d'autorisation dans la consoleTrusted Cloud peuvent envoyer une demande d'accès au contact essentiel technique de leur organisation.
Contacts configurés dans votre système de gestion des demandes préféré Les utilisateurs qui rencontrent des erreurs d'autorisation dans la console Trusted Cloud peuvent copier un message de demande d'accès, puis l'envoyer à l'aide du système de gestion des demandes de leur choix.
Ces messages se présentent généralement au format suivant :
user@example.com is requesting a role on the resource example.com:example-project.
Requestor's message:
"I need access to example-project to complete my work."
You may be able to resolve this request by granting access directly at:
ACCESS_REQUEST_PANEL_URL
Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:
POLICY_TROUBLESHOOTER_URL
Vous pouvez répondre à ces demandes de différentes manières :
Résoudre l'accès directement : les demandes d'accès contiennent un lien vers un panneau de demandes d'accès dans la console Trusted Cloud . Si l'erreur d'autorisation est due à une stratégie d'autorisation, vous pouvez résoudre le problème d'accès directement depuis ce panneau.
Dans le panneau de demande d'accès, vous pouvez examiner les détails de la demande et choisir comment y répondre. Vous pouvez répondre de différentes manières :
- Attribuer le rôle demandé
- Ajouter l'utilisateur à un groupe existant qui dispose déjà de l'accès requis
- Refuser la demande
Afficher plus de détails dans Policy Troubleshooter : les demandes d'accès contiennent également un lien vers Policy Troubleshooter, qui vous permet de voir quelles règles bloquent l'accès de l'utilisateur. Vous pouvez utiliser ces informations pour décider comment résoudre le problème d'accès de l'utilisateur. Pour en savoir plus, consultez la section Identifier les règles à l'origine des erreurs d'autorisation sur cette page.
Résoudre manuellement les erreurs d'autorisation
Si vous êtes un administrateur autorisé à modifier les règles d'accès dans votre organisation, vous pouvez utiliser ces stratégies pour résoudre les erreurs d'autorisation, quel que soit le type de règle à l'origine de l'erreur.
Pour résoudre les erreurs d'autorisation, vous devez d'abord déterminer quelles stratégies (d'autorisation ou de refus) sont à l'origine de l'erreur. Vous pourrez ensuite résoudre l'erreur.
Identifier les règles à l'origine des erreurs d'autorisation
Pour déterminer quelles stratégies sont à l'origine d'une erreur d'autorisation, utilisez Policy Troubleshooter.
Policy Troubleshooter vous aide à déterminer si un compte principal peut accéder à une ressource. À l'aide d'un compte principal, d'une ressource et d'une autorisation, Policy Troubleshooter examine les règles d'autorisation, les règles de refus et les stratégies de limite d'accès des comptes principaux (PAB, Principal Access Boundary) qui affectent l'accès du compte principal. Il vous indique ensuite si, en fonction de ces stratégies, le compte principal peut utiliser l'autorisation spécifiée pour accéder à la ressource. Il répertorie également les stratégies pertinentes et explique leur impact sur l'accès du compte principal.Pour savoir comment résoudre les problèmes d'accès et interpréter les résultats de Policy Troubleshooter, consultez Résoudre les problèmes liés aux autorisations IAM.
Les messages d'erreur dans la console Trusted Cloud contiennent un lien vers une page de résultats de l'outil de dépannage des autorisations pour le compte principal, les autorisations et la ressource concernés par la requête. Pour afficher ce lien, cliquez sur Afficher les détails de dépannage, puis recherchez la valeur dans le champ URL de dépannage.
Mettre à jour l'accès pour résoudre les erreurs d'autorisation
Une fois que vous avez identifié les règles à l'origine d'une erreur d'autorisation, vous pouvez prendre des mesures pour résoudre le problème.
Pour résoudre une erreur, il faut souvent créer ou mettre à jour des stratégies d'autorisation ou de refus.
Toutefois, il existe d'autres options pour résoudre les erreurs qui n'impliquent pas de modifier les règles. Par exemple, vous pouvez ajouter l'utilisateur à un groupe disposant des autorisations requises ou ajouter des tags pour exempter une ressource d'une règle.
Pour découvrir les différentes façons de résoudre les erreurs d'autorisation dues à chacun des types de règles, consultez les pages suivantes :
- Résoudre les erreurs d'autorisation liées à la stratégie d'autorisation
- Résoudre les erreurs d'autorisation liées aux stratégies de refus
Résoudre les erreurs d'autorisation liées aux stratégies d'autorisation
Pour résoudre les erreurs d'autorisation dues aux règles d'autorisation, effectuez l'une des opérations suivantes.
Attribuer un rôle avec les autorisations requises
Pour trouver et attribuer un rôle disposant des autorisations requises, procédez comme suit :
Identifiez un rôle IAM qui contient les autorisations manquantes.
Pour afficher tous les rôles dans lesquels une autorisation donnée est incluse, recherchez l'autorisation dans l'index des rôles et autorisations IAM, puis cliquez sur le nom de l'autorisation.
Si aucun rôle prédéfini ne correspond à votre cas d'utilisation, vous pouvez créer un rôle personnalisé.
Identifiez un compte principal auquel attribuer le rôle :
- Si l'utilisateur est la seule personne à avoir besoin de cette autorisation, accordez-lui directement le rôle.
- Si l'utilisateur fait partie d'un groupe Google dont tous les membres ont besoin d'autorisations similaires, envisagez d'attribuer le rôle au groupe. Si vous accordez le rôle au groupe, tous les membres de ce groupe peuvent utiliser cette autorisation, sauf si l'utilisation leur a été expressément refusée.
Attribuez le rôle au compte principal.
Ajouter l'utilisateur à un groupe Google
Si un rôle est attribué à un groupe Google sur une ressource, tous les membres de ce groupe peuvent utiliser les autorisations de ce rôle pour accéder à la ressource.
Si un groupe existant s'est déjà vu attribuer un rôle avec les autorisations requises, vous pouvez accorder les autorisations nécessaires à un utilisateur en l'ajoutant à ce groupe :
Identifiez un groupe disposant d'un rôle avec les autorisations requises. Si vous avez déjà utilisé Policy Troubleshooter pour résoudre le problème lié à la demande, vous pouvez consulter les résultats de Policy Troubleshooter pour identifier un groupe disposant des autorisations requises.
Vous pouvez également utiliser Policy Analyzer pour identifier un groupe disposant des autorisations requises.
Résoudre les erreurs d'autorisation liées aux règles de refus
Pour résoudre les erreurs d'autorisation liées aux règles de refus, effectuez l'une des opérations suivantes.
S'exempter d'une stratégie de refus
Si une règle de refus bloque l'accès d'un utilisateur à une ressource, vous pouvez effectuer l'une des opérations suivantes pour l'exempter de la règle :
Ajoutez l'utilisateur en tant que compte principal d'exception dans la règle de refus. Les comptes principaux d'exception sont des comptes principaux qui ne sont pas concernés par la règle de refus, même s'ils font partie d'un groupe inclus dans la règle de refus.
Pour ajouter un compte principal d'exception à une règle de refus, suivez la procédure de mise à jour de la stratégie de refus. Lorsque vous mettez à jour la règle de refus, recherchez la règle de refus qui bloque l'accès, puis ajoutez l'identifiant du compte principal de l'utilisateur en tant que compte principal d'exception.
Ajoutez l'utilisateur à un groupe exempté de la règle. Si un groupe est listé comme principal d'exception, tous ses membres sont exemptés de la règle de refus.
Pour ajouter l'utilisateur à un groupe exempté :
- Utilisez Policy Troubleshooter pour identifier les stratégies de refus qui bloquent l'accès à la ressource.
- Affichez la stratégie de refus.
- Consultez la liste des principaux d'exception pour les groupes.
- Si vous identifiez un groupe exempté, ajoutez l'utilisateur au groupe.
Supprimer l'autorisation de la règle de refus
Les règles de refus empêchent les comptes principaux listés d'utiliser des autorisations spécifiques. Si une règle de refus bloque l'accès d'un utilisateur à une ressource, vous pouvez supprimer les autorisations dont il a besoin de la règle de refus.
Pour supprimer des autorisations d'une règle de refus, suivez la procédure de mise à jour de la stratégie de refus. Lorsque vous mettez à jour la règle de refus, recherchez la règle de refus qui bloque l'accès, puis effectuez l'une des actions suivantes :
- Si la stratégie de refus liste les autorisations requises individuellement, recherchez-les et supprimez-les de la règle de refus.
- Si la règle de refus utilise des groupes d'autorisations, ajoutez les autorisations requises en tant qu'autorisations d'exception. Les autorisations d'exception sont des autorisations qui ne sont pas bloquées par la règle de refus, même si elles font partie d'un groupe d'autorisations inclus dans la règle.
Exclure la ressource de la règle de refus
Vous pouvez utiliser des conditions dans les règles de refus pour appliquer une règle de refus en fonction des tags d'une ressource. Si les tags de la ressource ne remplissent pas la condition de la règle de refus, cette règle ne s'applique pas.
Si une règle de refus bloque l'accès à une ressource, vous pouvez modifier les conditions de la règle de refus ou les tags de la ressource pour vous assurer que la règle de refus ne s'applique pas à la ressource.
Pour savoir comment utiliser des conditions dans une règle de refus, consultez Conditions dans les règles de refus.
Pour savoir comment mettre à jour des règles de refus, consultez Mettre à jour une règle de refus.
Pour savoir comment modifier les tags d'une ressource, consultez Créer et gérer des tags.
Étapes suivantes
- Tester les modifications de rôle avec Policy Simulator
- Tester les modifications apportées aux règles de refus avec Policy Simulator
- Tester les modifications apportées à la stratégie de limite d'accès des comptes principaux