Este documento aborda as mensagens de erro que pode encontrar se não tiver as autorizações de acesso necessárias para um recurso e descreve como pode resolver estes erros.
Mensagens de erro de autorização
A Trusted Cloud consola, a CLI do Google Cloud e a API REST apresentam mensagens de erro quando tenta aceder a um recurso ao qual não tem autorização de acesso.
Estas mensagens de erro podem dever-se a qualquer um dos seguintes motivos:
- Não tem as autorizações necessárias. Tem de ter uma associação de funções de política de autorização com as autorizações necessárias. Se não tiver as autorizações necessárias, Trusted Cloud é apresentada uma mensagem de erro.
- Existe uma política de negação a bloquear o acesso. Se uma política de recusa impedir a utilização de quaisquer autorizações necessárias, o Trusted Cloud apresenta uma mensagem de erro.
- O recurso não existe. Se o recurso não existir, o íconeTrusted Cloud apresenta uma mensagem de erro.
As secções seguintes mostram o aspeto destas mensagens de erro para a Trusted Cloud consola, a CLI gcloud e a API REST.
Trusted Cloud mensagens de erro da consola
Na Trusted Cloud consola, as mensagens de erro são semelhantes às seguintes:
Estas mensagens de erro contêm as seguintes informações:
- O recurso ao qual tentou aceder: o nome do recurso aparece no título da página de erro e indica o recurso ao qual estava a tentar aceder quando encontrou o erro de autorização.
- As autorizações necessárias em falta: uma lista das autorizações que precisa de ter para aceder ao recurso.
Uma lista de funções do IAM que contêm as autorizações necessárias: Esta lista não é exaustiva. Contém uma lista organizada de funções que Trusted Cloud sugere para resolver o problema de acesso. A ordenação baseia-se no tipo de ações permitidas pela função, na relevância do serviço e no número de autorizações.
Se tiver as autorizações necessárias para conceder funções, esta secção tem o título Selecione uma função a conceder. Se não tiver as autorizações necessárias, esta secção tem o título Peça uma função específica.
Esta lista só está disponível para erros de autorização que podem ser resolvidos através da concessão de funções de IAM adicionais.
Pode clicar numa função para saber mais sobre a mesma e pedir que lhe seja concedida. Se tiver as autorizações necessárias para conceder funções, pode conceder a função a si próprio em vez de a pedir.
Mensagens de erro da API REST e da CLI gcloud do Google Cloud
A redação exata da mensagem de erro depende do comando que executar. No entanto, normalmente, contém as seguintes informações:
- A autorização necessária
- O recurso no qual tentou realizar uma ação
- A conta de autenticação
Por exemplo, se não tiver autorização para listar contentores num projeto, é apresentada uma mensagem de erro semelhante à seguinte:
gcloud
ERROR: (gcloud.storage.buckets.list) HTTPError 403:
EMAIL_ADDRESS does not have
storage.buckets.list access to the Google Cloud project. Permission
'storage.buckets.list' denied on resource (or it may not exist). This command
is authenticated as EMAIL ADDRESS which
is the active account specified by the [core/account] property.
REST
{
"error": {
"code": 403,
"message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
"errors": [
{
"message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
"domain": "global",
"reason": "forbidden"
}
]
}
}
Peça autorizações em falta
Se não tiver autorização para modificar as políticas relacionadas com o acesso na sua organização, não pode resolver os erros de autorização sozinho. No entanto, pode enviar um pedido de acesso a um administrador através do contexto da mensagem de erro.
Pode pedir acesso das seguintes formas:
Peça as autorizações necessárias. Esta resolução é eficaz para todos os tipos de erros de autorização.
Peça uma função com as autorizações necessárias. Esta resolução só é eficaz se o erro de autorização se dever às suas políticas de permissão.
Se estiver a usar a Trusted Cloud consola e tiver as autorizações necessárias para atribuir funções, pode atribuir a função a si mesmo diretamente a partir da mensagem de erro, em vez de a pedir. Para mais informações, consulte o artigo Conceda-se uma função na Trusted Cloud consola.
Peça as autorizações necessárias
Para pedir as autorizações necessárias, faça o seguinte:
Consola
Na lista de autorizações em falta, clique em Pedir autorizações.
No painel Pedir acesso, escolha como quer notificar o seu administrador:
Se a sua organização suportar contactos essenciais, pode enviar um email gerado automaticamente para o contacto essencial técnico da sua organização. Para enviar este email, faça o seguinte:
- Selecione Enviar email gerado automaticamente.
- Adicione qualquer contexto acerca do pedido que queira incluir.
- Clique em Enviar pedido.
Para copiar o pedido de acesso e colá-lo no seu sistema de gestão de pedidos preferido, faça o seguinte:
- Se a sua organização suportar contactos essenciais, mas quiser enviar a notificação manualmente, selecione Notificar manualmente.
- Adicione qualquer contexto acerca do pedido que queira incluir.
- Clique em Copiar mensagem.
- Cole o pedido no seu sistema de gestão de pedidos preferido.
O administrador recebe o seu pedido de acesso, juntamente com qualquer contexto adicional que tenha fornecido.
gcloud
Copie a lista de autorizações em falta da mensagem de erro e, em seguida, use o seu sistema de gestão de pedidos preferencial para pedir a um administrador que lhe conceda estas autorizações.
REST
Copie a lista de autorizações em falta da mensagem de erro e, em seguida, use o seu sistema de gestão de pedidos preferencial para pedir a um administrador que lhe conceda estas autorizações.
Peça uma função
Se o erro de autorização se dever a uma política de permissão, pode pedir a um administrador que lhe conceda uma função com as autorizações necessárias para resolver o erro.
Se o erro se dever a um tipo de política diferente ou se não tiver a certeza de que tipo de política está a causar o erro, peça as autorizações necessárias.
Consola
Na secção Peça uma função específica, reveja a lista de funções recomendadas e escolha a que quer pedir. Pode clicar nas funções para ver mais detalhes sobre as mesmas. Esta secção só é visível se o erro de autorização se dever a uma política de permissão.
Clique na função que escolheu e, de seguida, clique em Pedir função.
No painel Pedir acesso, escolha uma das opções para notificar o seu administrador:
Se a sua organização suportar contactos essenciais, pode enviar um email gerado automaticamente ao contacto essencial técnico da sua organização. Para enviar este email, faça o seguinte:
- Selecione Enviar email gerado automaticamente.
- Adicione qualquer contexto acerca do pedido que queira incluir.
- Clique em Enviar pedido.
Para copiar o pedido de acesso e colá-lo no seu sistema de gestão de pedidos preferido, faça o seguinte:
- Se a sua organização suportar contactos essenciais, mas quiser enviar a notificação manualmente, selecione Notificar manualmente.
- Adicione qualquer contexto acerca do pedido que queira incluir.
- Clique em Copiar mensagem.
- Cole o pedido no seu sistema de gestão de pedidos preferido.
O administrador recebe o seu pedido de acesso, juntamente com qualquer contexto adicional que tenha fornecido.
gcloud
Identifique uma função de IAM que contenha as autorizações em falta.
Para ver todas as funções nas quais uma determinada autorização está incluída, pesquise a autorização no índice Funções e autorizações de IAM e, de seguida, clique no nome da autorização.
Se nenhuma das funções predefinidas corresponder ao seu exemplo de utilização, pode criar uma função personalizada.
Use o seu sistema de gestão de pedidos preferido para pedir a um administrador que lhe atribua a função.
REST
Identifique uma função de IAM que contenha as autorizações em falta.
Para ver todas as funções nas quais uma determinada autorização está incluída, pesquise a autorização no índice Funções e autorizações de IAM e, de seguida, clique no nome da autorização.
Se nenhuma das funções predefinidas corresponder ao seu exemplo de utilização, pode criar uma função personalizada.
Use o seu sistema de gestão de pedidos preferido para pedir a um administrador que lhe atribua a função.
Conceda-se uma função na Trusted Cloud consola
Se encontrar um erro de autorização na Trusted Cloud consola e tiver as autorizações necessárias para conceder funções, pode conceder-se uma função diretamente a partir da mensagem de erro de autorização:
Na secção Selecione uma função a conceder, reveja a lista de funções recomendadas e escolha a que quer pedir. Pode clicar nas funções para ver mais detalhes sobre as mesmas.
Para conceder a função que escolheu, clique na função e, de seguida, em Conceder acesso.
Resolva erros de autorização de pedidos de acesso
Se for administrador, pode receber pedidos de acesso de utilizadores que encontraram erros de autorização na Trusted Cloud consola. Estes pedidos são normalmente enviados às seguintes pessoas:
O contacto técnico essencial da sua organização. Se a sua organização tiver ativado os contactos essenciais, os utilizadores que encontrem erros de autorização na consolaTrusted Cloud têm a opção de enviar um pedido de acesso ao contacto essencial técnico da respetiva organização.
Contactos configurados através do seu sistema de gestão de pedidos preferido. Os utilizadores que encontram erros de autorização na Trusted Cloud consola têm a opção de copiar uma mensagem de pedido de acesso e, em seguida, enviá-la através do respetivo sistema de gestão de pedidos preferencial.
Normalmente, estas mensagens têm o seguinte formato:
user@example.com is requesting a role on the resource example.com:example-project.
Requestor's message:
"I need access to example-project to complete my work."
You may be able to resolve this request by granting access directly at:
ACCESS_REQUEST_PANEL_URL
Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:
POLICY_TROUBLESHOOTER_URL
Pode responder a estas solicitações das seguintes formas:
Resolva o acesso diretamente: os pedidos de acesso contêm um link para um painel de pedidos de acesso na Trusted Cloud consola. Se o erro de autorização se dever a uma política de autorização, pode resolver o acesso diretamente a partir desse painel.
No painel de pedido de acesso, pode rever os detalhes do pedido e escolher como quer responder ao pedido. Pode responder das seguintes formas:
- Conceder a função pedida
- Adicione o utilizador a um grupo existente que já tenha o acesso necessário
- Negar o pedido
Ver detalhes adicionais no resolutor de problemas de políticas: os pedidos de acesso também contêm um link para o resolutor de problemas de políticas, que lhe permite ver que políticas estão a bloquear o acesso do utilizador. Pode usar estas informações para decidir como resolver o problema de acesso do utilizador. Para mais informações, consulte o artigo Identifique as políticas que causam erros de autorização nesta página.
Resolva manualmente erros de autorização
Se for um administrador com autorização para modificar as políticas relacionadas com o acesso na sua organização, pode usar estas estratégias para resolver erros de autorização, independentemente do tipo de política que está a causar o erro.
Para resolver erros de autorização, primeiro tem de determinar que políticas (permitir ou recusar) estão a causar o erro. Em seguida, pode resolver o erro.
Identifique as políticas que causam erros de autorização
Para determinar que políticas estão a causar um erro de autorização, use a resolução de problemas de políticas.
A resolução de problemas de políticas ajuda a compreender se um principal pode aceder a um recurso. Dado um principal, um recurso e uma autorização, a ferramenta de resolução de problemas de políticas examina as políticas de permissão, as políticas de negação e as políticas de limite de acesso principal (PAB) que afetam o acesso do principal. Em seguida, indica se, com base nessas políticas, o principal pode usar a autorização especificada para aceder ao recurso. Também indica as políticas relevantes e explica como afetam o acesso do principal.Para saber como resolver problemas de acesso e interpretar os resultados do resolucionador de problemas de políticas, consulte o artigo Resolva problemas de autorizações IAM.
As mensagens de erro na Trusted Cloud consola contêm um link para uma página de resultados da resolução de problemas de políticas para o principal, as autorizações e o recurso envolvido no pedido. Para ver este link, clique em Ver detalhes de resolução de problemas e, de seguida, encontre o valor no campo URL de resolução de problemas.
Atualize o acesso para resolver erros de autorização
Depois de saber que políticas estão a causar um erro de autorização, pode tomar medidas para resolver o erro.
Muitas vezes, a resolução de um erro envolve a criação ou a atualização de políticas de permissão ou negação.
No entanto, existem outras opções para resolver erros que não envolvem a atualização de políticas. Por exemplo, pode adicionar o utilizador a um grupo que tenha as autorizações necessárias ou adicionar etiquetas para isentar um recurso de uma política.
Para saber as diferentes formas de resolver erros de autorização devido a cada um dos diferentes tipos de políticas, consulte o seguinte:
Resolva erros de autorização de políticas de permissão
Para resolver erros de autorização devido a políticas de permissão, faça uma das seguintes ações.
Conceda uma função com as autorizações necessárias
Para encontrar e conceder uma função com as autorizações necessárias, faça o seguinte:
Identifique uma função de IAM que contenha as autorizações em falta.
Para ver todas as funções nas quais uma determinada autorização está incluída, pesquise a autorização no índice Funções e autorizações de IAM e, de seguida, clique no nome da autorização.
Se nenhuma das funções predefinidas corresponder ao seu exemplo de utilização, pode criar uma função personalizada.
Identifique um principal ao qual conceder a função:
- Se o utilizador for a única pessoa que precisa da autorização, atribua a função diretamente ao utilizador.
- Se o utilizador fizer parte de um grupo Google que contenha utilizadores que precisam de autorizações semelhantes, considere atribuir a função ao grupo. Se atribuir a função ao grupo, todos os membros desse grupo podem usar essa autorização, a menos que lhes tenha sido explicitamente recusada a utilização da mesma.
Conceda a função ao principal.
Adicione o utilizador a um grupo Google
Se for concedida uma função a um grupo Google num recurso, todos os membros desse grupo podem usar as autorizações nessa função para aceder ao recurso.
Se já tiver sido concedida a um grupo existente uma função com as autorizações necessárias, pode conceder a um utilizador as autorizações necessárias adicionando-o a esse grupo:
Identifique um grupo que tenha uma função com as autorizações necessárias. Se já usou a resolução de problemas de políticas para resolver problemas do pedido, pode rever os resultados da resolução de problemas de políticas para identificar um grupo com as autorizações necessárias.
Em alternativa, pode usar o analisador de políticas para identificar um grupo com as autorizações necessárias.
Resolva erros de autorização de políticas de negação
Para resolver erros de autorização relacionados com políticas de recusa, faça uma das seguintes ações.
Isente-se de uma política de recusa
Se uma regra de recusa estiver a bloquear o acesso de um utilizador a um recurso, pode fazer uma das seguintes ações para isentar o utilizador da regra:
Adicione o utilizador como um principal de exceção na regra de recusa. Os principais de exceção são principais que não são afetados pela regra de recusa, mesmo que façam parte de um grupo incluído na regra de recusa.
Para adicionar um principal de exceção a uma regra de recusa, siga os passos para atualizar a política de recusa. Quando atualizar a política de recusa, procure a regra de recusa que bloqueia o acesso e, em seguida, adicione o identificador principal do utilizador como um principal de exceção.
Adicione o utilizador a um grupo isento da regra. Se um grupo for apresentado como um principal de exceção, todos os membros desse grupo estão isentos da regra de recusa.
Para adicionar o utilizador a um grupo isento, faça o seguinte:
- Use a resolução de problemas de políticas para identificar as políticas de negação que estão a bloquear o acesso ao recurso.
- Veja a política de recusa.
- Verifique a lista de principais de exceção para grupos.
- Se identificar um grupo isento, adicione o utilizador ao grupo.
Remova a autorização da política de negação
As regras de recusa impedem que os responsáveis listados usem autorizações específicas. Se uma regra de negação estiver a bloquear o acesso de um utilizador a um recurso, pode remover as autorizações de que necessita da regra de negação.
Para remover autorizações de uma regra de recusa, siga os passos para atualizar a política de recusa. Quando atualizar a política de recusa, encontre a regra de recusa que bloqueia o acesso e, em seguida, faça uma das seguintes ações:
- Se a política de recusa listar as autorizações necessárias individualmente, encontre as autorizações necessárias e remova-as da regra de recusa.
- Se a regra de recusa usar grupos de autorizações, adicione as autorizações necessárias como autorizações de exceção. As autorizações de exceção são autorizações que não são bloqueadas pela regra de recusa, mesmo que façam parte de um grupo de autorizações incluído na regra.
Exclua o recurso da política de recusa
Pode usar condições em políticas de recusa para aplicar uma regra de recusa com base nas etiquetas de um recurso. Se as etiquetas do recurso não cumprirem a condição na regra de recusa, a regra de recusa não se aplica.
Se uma regra de recusa estiver a bloquear o acesso a um recurso, pode editar as condições na regra de recusa ou as etiquetas no recurso para garantir que a regra de recusa não se aplica ao recurso.
Para saber como usar condições numa regra de recusa, consulte o artigo Condições nas políticas de recusa.
Para saber como atualizar as políticas de recusa, consulte o artigo Atualize uma política de recusa.
Para saber como editar as etiquetas de um recurso, consulte o artigo Criar e gerir etiquetas.
O que se segue?
- Teste as alterações de funções com o Simulador de políticas
- Teste alterações à política de recusa com o Simulador de políticas
- Teste as alterações à política de limite de acesso principal