Risolvere i problemi relativi ai messaggi di errore di autorizzazione

Questo documento tratta i messaggi di errore che potresti riscontrare se non disponi delle autorizzazioni di accesso richieste per una risorsa e descrive come risolvere questi errori.

Messaggi di errore di autorizzazione

La console Trusted Cloud , Google Cloud CLI e l'API REST mostrano messaggi di errore quando tenti di accedere a una risorsa a cui non hai l'autorizzazione.

Questi messaggi di errore possono essere causati da uno dei seguenti motivi:

  • Non disponi delle autorizzazioni necessarie. Devi disporre di un'associazione di ruolo di policy allow con le autorizzazioni richieste. Se non disponi delle autorizzazioni richieste, Trusted Cloud viene visualizzato un messaggio di errore.
  • Esiste un criterio di negazione che blocca l'accesso. Se un'norma di negazione ti impedisce di utilizzare una delle autorizzazioni richieste, Trusted Cloud mostra un messaggio di errore.
  • La risorsa non esiste. Se la risorsa non esiste,Trusted Cloud visualizza un messaggio di errore.

Le sezioni seguenti mostrano l'aspetto di questi messaggi di errore per la consoleTrusted Cloud , gcloud CLI e l'API REST.

Trusted Cloud Messaggi di errore della console

Nella console Trusted Cloud , i messaggi di errore sono simili ai seguenti:

Questi messaggi di errore contengono le seguenti informazioni:

  • La risorsa a cui hai tentato di accedere: il nome della risorsa viene visualizzato nel titolo della pagina di errore e indica la risorsa a cui stavi tentando di accedere quando si è verificato l'errore di autorizzazione.
  • Autorizzazioni obbligatorie mancanti:un elenco delle autorizzazioni necessarie per accedere alla risorsa.

  • Un elenco di ruoli IAM che contengono le autorizzazioni richieste: Questo elenco non è esaustivo: contiene un elenco selezionato di ruoli che Trusted Cloud suggerisce di risolvere il problema di accesso. L'ordinamento si basa sul tipo di azioni consentite dal ruolo, sulla pertinenza del servizio e sul numero di autorizzazioni.

    Se disponi delle autorizzazioni necessarie per concedere ruoli, questa sezione si intitola Seleziona un ruolo da concedere. Se non disponi delle autorizzazioni richieste, questa sezione si chiama Richiedi un ruolo specifico.

    Questo elenco è disponibile solo per gli errori di autorizzazione che possono essere risolti concedendo ulteriori ruoli IAM.

    Puoi fare clic su un ruolo per saperne di più e richiedere che ti venga concesso. Se disponi delle autorizzazioni necessarie per concedere i ruoli, puoi concederti il ruolo anziché richiederlo.

Messaggi di errore di Google Cloud CLI e dell'API REST

Il testo esatto del messaggio di errore dipende dal comando eseguito. Tuttavia, in genere contiene le seguenti informazioni:

  • L'autorizzazione obbligatoria
  • La risorsa su cui hai tentato di eseguire un'azione
  • L'account di autenticazione

Ad esempio, se non hai l'autorizzazione per elencare i bucket in un progetto, viene visualizzato un messaggio di errore come il seguente:

gcloud

ERROR: (gcloud.storage.buckets.list) HTTPError 403:
EMAIL_ADDRESS does not have
storage.buckets.list access to the Google Cloud project. Permission
'storage.buckets.list' denied on resource (or it may not exist). This command
is authenticated as EMAIL ADDRESS which
is the active account specified by the [core/account] property.

REST

{
  "error": {
    "code": 403,
    "message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
    "errors": [
      {
        "message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
        "domain": "global",
        "reason": "forbidden"
      }
    ]
  }
}

Richiedere le autorizzazioni mancanti

Se non disponi dell'autorizzazione per modificare i criteri relativi all'accesso nella tua organizzazione, non puoi risolvere autonomamente gli errori di autorizzazione. Tuttavia, puoi inviare a un amministratore una richiesta di accesso utilizzando il contesto del messaggio di errore.

Puoi richiedere l'accesso nei seguenti modi:

Se utilizzi la console Trusted Cloud e disponi delle autorizzazioni necessarie per concedere i ruoli, puoi concederti il ruolo direttamente dal messaggio di errore anziché richiederlo. Per ulteriori informazioni, consulta Concedere autonomamente un ruolo nella console Trusted Cloud .

Richiedi le autorizzazioni necessarie

Per richiedere le autorizzazioni necessarie:

Console

  1. Nell'elenco delle autorizzazioni mancanti, fai clic su Richiedi autorizzazioni.

  2. Nel riquadro Richiedi accesso, scegli come vuoi avvisare l'amministratore:

    • Se la tua organizzazione supporta Essential Contacts, puoi inviare un'email generata automaticamente al contatto tecnico essenziale della tua organizzazione. Per inviare questa email:

      1. Seleziona Invia email generata automaticamente.
      2. Aggiungi il contesto della richiesta che vuoi includere.
      3. Fai clic su Invia richiesta.

    • Per copiare la richiesta di accesso e incollarla nel sistema di gestione delle richieste che preferisci:

      1. Se la tua organizzazione supporta i contatti essenziali, ma vuoi inviare la notifica manualmente, seleziona Notifica manualmente.
      2. Aggiungi il contesto della richiesta che vuoi includere.
      3. Fai clic su Copia messaggio.
      4. Incolla la richiesta nel sistema di gestione delle richieste che preferisci.

      L'amministratore riceve la tua richiesta di accesso, insieme a qualsiasi contesto aggiuntivo che hai fornito.

gcloud

Copia l'elenco delle autorizzazioni mancanti dal messaggio di errore, quindi utilizza il sistema di gestione delle richieste che preferisci per chiedere a un amministratore di concederti queste autorizzazioni.

REST

Copia l'elenco delle autorizzazioni mancanti dal messaggio di errore, quindi utilizza il sistema di gestione delle richieste che preferisci per chiedere a un amministratore di concederti queste autorizzazioni.

Richiedere un ruolo

Se l'errore di autorizzazione è dovuto a un criterio di autorizzazione, puoi richiedere a un amministratore di concederti un ruolo con le autorizzazioni necessarie per risolvere l'errore.

Se l'errore è dovuto a un tipo di norma diverso o se non sai quale tipo di norma sta causando l'errore, richiedi le autorizzazioni necessarie.

Console

  1. Nella sezione Richiedi un ruolo specifico, esamina l'elenco dei ruoli consigliati e scegli quello che vuoi richiedere. Puoi fare clic sui ruoli per visualizzare maggiori dettagli. Questa sezione è visibile solo se l'errore di autorizzazione è dovuto a una policy di autorizzazione.

  2. Fai clic sul ruolo che hai scelto, poi fai clic su Richiedi ruolo.

  3. Nel riquadro Richiedi accesso, scegli una delle opzioni per notificare l'amministratore:

    • Se la tua organizzazione supporta i contatti essenziali, puoi inviare un'email generata automaticamente al contatto essenziale tecnico della tua organizzazione. Per inviare questa email:

      1. Seleziona Invia email generata automaticamente.
      2. Aggiungi il contesto della richiesta che vuoi includere.
      3. Fai clic su Invia richiesta.

    • Per copiare la richiesta di accesso e incollarla nel sistema di gestione delle richieste che preferisci:

      1. Se la tua organizzazione supporta i contatti essenziali, ma vuoi inviare la notifica manualmente, seleziona Notifica manualmente.
      2. Aggiungi il contesto della richiesta che vuoi includere.
      3. Fai clic su Copia messaggio.
      4. Incolla la richiesta nel sistema di gestione delle richieste che preferisci.

    L'amministratore riceve la tua richiesta di accesso, insieme a qualsiasi contesto aggiuntivo che hai fornito.

gcloud

  1. Identifica un ruolo IAM che contenga le autorizzazioni mancanti.

    Per visualizzare tutti i ruoli in cui è inclusa una determinata autorizzazione, cerca l'autorizzazione nell'indice di autorizzazioni e ruoli IAM, quindi fai clic sul nome dell'autorizzazione.

    Se nessun ruolo predefinito corrisponde al tuo caso d'uso, puoi creare un ruolo personalizzato.

  2. Utilizza il sistema di gestione delle richieste che preferisci per chiedere a un amministratore di concederti il ruolo.

REST

  1. Identifica un ruolo IAM che contenga le autorizzazioni mancanti.

    Per visualizzare tutti i ruoli in cui è inclusa una determinata autorizzazione, cerca l'autorizzazione nell'indice di autorizzazioni e ruoli IAM, quindi fai clic sul nome dell'autorizzazione.

    Se nessun ruolo predefinito corrisponde al tuo caso d'uso, puoi creare un ruolo personalizzato.

  2. Utilizza il sistema di gestione delle richieste che preferisci per chiedere a un amministratore di concederti il ruolo.

Concedere autonomamente un ruolo nella console Trusted Cloud

Se si verifica un errore di autorizzazione nella console Trusted Cloud e disponi delle autorizzazioni necessarie per concedere i ruoli, puoi concederti un ruolo direttamente dal messaggio di errore di autorizzazione:

  1. Nella sezione Seleziona un ruolo da concedere, esamina l'elenco dei ruoli consigliati e scegli quello che vuoi richiedere. Puoi fare clic sui ruoli per visualizzare maggiori dettagli.

  2. Per concedere il ruolo che hai scelto, fai clic sul ruolo e poi su Concedi accesso.

Risolvere gli errori di autorizzazione dalle richieste di accesso

Se sei un amministratore, potresti ricevere richieste di accesso da utenti che hanno riscontrato errori di autorizzazione nella console Trusted Cloud . Queste richieste vengono in genere inviate alle seguenti persone:

  • Il contatto tecnico essenziale della tua organizzazione. Se la tua organizzazione ha attivato i contatti essenziali, gli utenti che riscontrano errori di autorizzazione nella consoleTrusted Cloud hanno la possibilità di inviare una richiesta di accesso al contatto essenziale tecnico della loro organizzazione.

  • Contatti configurati tramite il sistema di gestione delle richieste che preferisci. Gli utenti che riscontrano errori di autorizzazione nella console Trusted Cloud hanno la possibilità di copiare un messaggio di richiesta di accesso e inviarlo utilizzando il sistema di gestione delle richieste preferito.

Questi messaggi in genere hanno il seguente formato:

user@example.com is requesting a role on the resource example.com:example-project.

Requestor's message:

"I need access to example-project to complete my work."

You may be able to resolve this request by granting access directly at:

ACCESS_REQUEST_PANEL_URL

Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:

POLICY_TROUBLESHOOTER_URL

Puoi rispondere a queste richieste nei seguenti modi:

  • Risolvi l'accesso direttamente: le richieste di accesso contengono un link a un pannello di richieste di accesso nella console Trusted Cloud . Se l'errore di autorizzazione è dovuto a una policy di autorizzazione, puoi risolvere il problema di accesso direttamente da questo pannello.

    Nel riquadro della richiesta di accesso, puoi esaminare i dettagli della richiesta e scegliere come rispondere. Puoi rispondere nei seguenti modi:

    • Concedere il ruolo richiesto
    • Aggiungi l'utente a un gruppo esistente che dispone già dell'accesso richiesto
    • Rifiutare la richiesta

  • Visualizza ulteriori dettagli in Policy Troubleshooter: le richieste di accesso contengono anche un link a Policy Troubleshooter, che ti consente di vedere quali norme bloccano l'accesso dell'utente. Puoi utilizzare queste informazioni per decidere come risolvere il problema di accesso dell'utente. Per ulteriori informazioni, consulta Identificare le norme che causano errori di autorizzazione in questa pagina.

Risolvere manualmente gli errori di autorizzazione

Se sei un amministratore con l'autorizzazione per modificare le policy relative all'accesso nella tua organizzazione, puoi utilizzare queste strategie per risolvere gli errori di autorizzazione, indipendentemente dal tipo di policy che causa l'errore.

Per risolvere gli errori di autorizzazione, devi prima determinare quali policy (consenti o nega) causano l'errore. A questo punto, puoi risolvere l'errore.

Identificare i criteri che causano errori di autorizzazione

Per determinare quali criteri causano un errore di autorizzazione, utilizza Policy Troubleshooter.

Policy Troubleshooter ti aiuta a capire se un'entità può accedere a una risorsa. Dati un'entità, una risorsa e un'autorizzazione, Policy Troubleshooter esamina le policy di autorizzazione, di negazione e di Principal Access Boundary (PAB) che influiscono sull'accesso dell'entità. Poi, ti dice se, in base a queste policy, l'entità può utilizzare l'autorizzazione specificata per accedere alla risorsa. Inoltre, elenca le policy pertinenti e spiega in che modo influiscono sull'accesso dell'entità.

Per scoprire come risolvere i problemi di accesso e interpretare i risultati di Policy Troubleshooter, consulta Risolvere i problemi delle autorizzazioni IAM.

I messaggi di errore nella console Trusted Cloud contengono un link a una pagina dei risultati dello strumento per la risoluzione dei problemi relativi alle policy per il principal, le autorizzazioni e la risorsa coinvolti nella richiesta. Per visualizzare questo link, fai clic su Visualizza i dettagli per la risoluzione dei problemi, quindi trova il valore nel campo URL per la risoluzione dei problemi.

Aggiornare l'accesso per risolvere gli errori di autorizzazione

Una volta individuate le policy che causano un errore di autorizzazione, puoi adottare le misure per risolvere il problema.

Spesso, la risoluzione di un errore comporta la creazione o l'aggiornamento di criteri di autorizzazione o negazione.

Tuttavia, esistono altre opzioni per risolvere gli errori che non prevedono l'aggiornamento dei criteri. Ad esempio, puoi aggiungere l'utente a un gruppo con le autorizzazioni richieste o aggiungere tag per esentare una risorsa da un criterio.

Per scoprire i diversi modi in cui puoi risolvere gli errori di autorizzazione dovuti a ciascuno dei diversi tipi di norme, consulta quanto segue:

Risolvi gli errori di autorizzazione della policy di autorizzazione

Per risolvere gli errori di autorizzazione dovuti alle policy di autorizzazione, esegui una delle seguenti operazioni.

Concedere un ruolo con le autorizzazioni richieste

Per trovare e concedere un ruolo con le autorizzazioni richieste:

  1. Identifica un ruolo IAM che contenga le autorizzazioni mancanti.

    Per visualizzare tutti i ruoli in cui è inclusa una determinata autorizzazione, cerca l'autorizzazione nell'indice di autorizzazioni e ruoli IAM, quindi fai clic sul nome dell'autorizzazione.

    Se nessun ruolo predefinito corrisponde al tuo caso d'uso, puoi creare un ruolo personalizzato.

  2. Identifica un'entità a cui concedere il ruolo:

    • Se l'utente è l'unica persona che ha bisogno dell'autorizzazione, concedi il ruolo direttamente all'utente.
    • Se l'utente fa parte di un gruppo Google contenente utenti che hanno bisogno di autorizzazioni simili, valuta la possibilità di concedere il ruolo al gruppo. Se concedi il ruolo al gruppo, tutti i membri del gruppo possono utilizzare questa autorizzazione, a meno che non sia stato esplicitamente negato l'utilizzo.

  3. Concedi il ruolo all'entità.

Aggiungere l'utente a un gruppo Google

Se a un gruppo Google viene concesso un ruolo su una risorsa, tutti i membri del gruppo possono utilizzare le autorizzazioni del ruolo per accedere alla risorsa.

Se a un gruppo esistente è già stato concesso un ruolo con le autorizzazioni richieste, puoi concedere a un utente le autorizzazioni richieste aggiungendolo a quel gruppo:

  1. Identifica un gruppo che ha un ruolo con le autorizzazioni richieste. Se hai già utilizzato Policy Troubleshooter per risolvere i problemi relativi alla richiesta, puoi esaminare i risultati di Policy Troubleshooter per identificare un gruppo con le autorizzazioni richieste.

    In alternativa, puoi utilizzare Policy Analyzer per identificare un gruppo con le autorizzazioni richieste.

  2. Aggiungi l'utente al gruppo.

Risolvere gli errori di autorizzazione della policy di negazione

Per risolvere gli errori di autorizzazione relativi alle policy di negazione, procedi in uno dei seguenti modi.

Esonerarsi da una policy di negazione

Se una regola di negazione blocca l'accesso di un utente a una risorsa, puoi eseguire una delle seguenti operazioni per esentare l'utente dalla regola:

  • Aggiungi l'utente come entità di eccezione nella regola di negazione. Le entità di eccezione sono entità non interessate dalla regola di negazione, anche se fanno parte di un gruppo incluso nella regola di negazione.

    Per aggiungere un'entità di eccezione a una regola di negazione, segui i passaggi per aggiornare la policy di negazione. Quando aggiorni la policy di negazione, trova la regola di negazione che blocca l'accesso, quindi aggiungi l'identificatore dell'entità dell'utente come entità di eccezione.

  • Aggiungi l'utente a un gruppo esente dalla regola. Se un gruppo è elencato come entità di eccezione, tutti i membri del gruppo sono esenti dalla regola di negazione.

    Per aggiungere l'utente a un gruppo esente:

    1. Utilizza Policy Troubleshooter per identificare le policy di negazione che bloccano l'accesso alla risorsa.
    2. Visualizza la policy di negazione.
    3. Controlla l'elenco delle entità di eccezione per i gruppi.
    4. Se identifichi un gruppo esente, aggiungi l'utente al gruppo.

Rimuovi l'autorizzazione dalla policy di negazione

Le regole di negazione impediscono alle entità elencate di utilizzare autorizzazioni specifiche. Se una regola di negazione blocca l'accesso di un utente a una risorsa, puoi rimuovere le autorizzazioni necessarie dalla regola di negazione.

Per rimuovere le autorizzazioni da una regola di negazione, segui i passaggi per aggiornare la policy di negazione. Quando aggiorni il criterio di negazione, trova la regola di negazione che blocca l'accesso, quindi esegui una delle seguenti operazioni:

  • Se la policy di negazione elenca le autorizzazioni richieste singolarmente, trova le autorizzazioni richieste e rimuovile dalla regola di negazione.
  • Se la regola di negazione utilizza gruppi di autorizzazioni, aggiungi le autorizzazioni richieste come autorizzazioni di eccezione. Le autorizzazioni di eccezione sono autorizzazioni non bloccate dalla regola di negazione, anche se fanno parte di un gruppo di autorizzazioni incluso nella regola.

Escludi la risorsa dalla policy di negazione

Puoi utilizzare le condizioni nelle policy di negazione per applicare una regola di negazione in base ai tag di una risorsa. Se i tag della risorsa non soddisfano la condizione nella regola di negazione, quest'ultima non viene applicata.

Se una regola di negazione blocca l'accesso a una risorsa, puoi modificare le condizioni nella regola di negazione o i tag nella risorsa per assicurarti che la regola di negazione non si applichi alla risorsa.

Passaggi successivi