En este documento, se describen los diferentes métodos que los administradores pueden usar para identificar y resolver errores de permisos de los usuarios de su organización.
Cómo resolver errores de permisos de solicitudes de acceso
Si eres administrador, es posible que recibas solicitudes de acceso de usuarios que hayan tenido errores de permisos en la consola de Cloud de Confiance . Por lo general, estas solicitudes se envían a las siguientes personas:
El Contacto esencial técnico de tu organización Si tu organización habilitó los contactos esenciales y permite los correos electrónicos de solicitud de acceso generados automáticamente, los usuarios que experimenten errores de permisos en la consola deCloud de Confiance tendrán la opción de enviar una solicitud de acceso generada automáticamente al contacto esencial técnico de su organización.
Contactos configurados a través de tu sistema de administración de solicitudes preferido. Los usuarios que tengan errores de permisos en la consola de Cloud de Confiance pueden copiar un mensaje de solicitud de acceso y, luego, enviarlo con su sistema de administración de solicitudes preferido.
Por lo general, estos mensajes tienen el siguiente formato:
user@example.com is requesting a role on the resource example.com:example-project.
Requestor's message:
"I need access to example-project to complete my work."
You may be able to resolve this request by granting access directly at:
ACCESS_REQUEST_PANEL_URL
Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:
POLICY_TROUBLESHOOTER_URL
Puedes responder a estas solicitudes de las siguientes maneras:
Resuelve el acceso directamente: Las solicitudes de acceso contienen un vínculo a un panel de solicitudes de acceso en la consola de Cloud de Confiance . Si el error de permiso se debe a una política de permisos, puedes resolver el acceso directamente desde ese panel.
En el panel de solicitud de acceso, puedes revisar los detalles de la solicitud y elegir cómo quieres responderla. Puedes responder de las siguientes maneras:
- Otorga el rol solicitado
- Agrega al usuario a un grupo existente que ya tenga el acceso requerido
- Rechazar la solicitud
Ver detalles adicionales en el Solucionador de problemas de políticas: Las solicitudes de acceso contienen un vínculo al Solucionador de problemas de políticas, que te permite ver qué políticas bloquean el acceso del usuario. Puedes usar esta información para decidir cómo resolver el problema de acceso del usuario. Para obtener más información, consulta Cómo identificar las políticas que causan errores de permisos en esta página.
Soluciona problemas de acceso con el Solucionador de problemas de políticas (Versión preliminar): Las solicitudes de acceso también contienen un vínculo a un resumen de corrección de políticas, que describe los detalles de la solicitud, incluidos el principal solicitante, el recurso y el permiso. En el resumen de corrección de políticas, puedes resolver directamente las solicitudes de acceso que involucran políticas de permisos y obtener más información sobre las políticas que bloquean el acceso de los usuarios.
Para obtener más información sobre cómo resolver solicitudes de acceso con el resumen de corrección de políticas, consulta Cómo corregir problemas de acceso.
Cómo resolver errores de permisos de forma manual
Si eres administrador y tienes permiso para modificar las políticas relacionadas con el acceso en tu organización, puedes usar estas estrategias para resolver errores de permisos, independientemente del tipo de política que cause el error.
Para resolver los errores de permisos, primero debes determinar qué políticas (de permiso o denegación) están causando el error. Luego, puedes resolver el error.
Identifica las políticas que causan errores de permisos
Para determinar qué políticas están causando un error de permiso, usa el solucionador de problemas de políticas.
El solucionador de problemas de políticas te ayuda a comprender si un principal puede acceder a un recurso. Con una principal, un recurso y un permiso, el solucionador de problemas de políticas examina las políticas de permiso, de denegación y de límite de acceso de las principales (PAB) que afectan el acceso de la principal. Luego, te indica si, en función de esas políticas, el principal puede usar el permiso especificado para acceder al recurso. También, se enumeran las políticas relevantes y se explica cómo afectan el acceso de la principal.Si deseas obtener información para solucionar problemas de acceso y analizar los resultados del solucionador de problemas de políticas, consulta Soluciona problemas de permisos de IAM.
Los mensajes de error en la consola de Cloud de Confiance contienen un vínculo a una página de corrección del Solucionador de problemas de políticas (Vista previa) para el principal, los permisos y el recurso involucrados en la solicitud. Para ver este vínculo, haz clic en Ver detalles de solución de problemas y, luego, en Solucionador de problemas de políticas. Para obtener más información, consulta Cómo corregir solicitudes de acceso.
Actualiza el acceso para resolver errores de permisos
Después de saber qué políticas causan un error de permiso, puedes tomar medidas para resolverlo.
A menudo, resolver un error implica crear o actualizar políticas de permiso o denegación.
Sin embargo, existen otras opciones para resolver errores que no implican actualizar políticas. Por ejemplo, puedes agregar al usuario a un grupo que tenga los permisos necesarios o agregar etiquetas para eximir un recurso de una política.
Para conocer las diferentes formas en que puedes resolver los errores de permisos causados por cada uno de los diferentes tipos de políticas, consulta lo siguiente:
- Cómo resolver errores de permisos de la política de permisos
- Cómo resolver errores de permisos de la política de denegación
Cómo resolver errores de permisos de políticas de permisos
Para resolver los errores de permisos causados por las políticas de permiso, haz una de las siguientes acciones.
Otorga un rol con los permisos necesarios
Para encontrar y otorgar un rol con los permisos necesarios, haz lo siguiente:
Identifica un rol de IAM que contenga los permisos faltantes.
Para ver todos los roles en los que se incluye un permiso determinado, busca el permiso en el índice de roles y permisos de IAM y, luego, haz clic en el nombre del permiso.
Si ninguna función predefinida coincide con tu caso de uso, puedes crear un rol personalizado.
Identifica una principal a la que quieras otorgarle el rol:
- Si el usuario es la única persona que necesita el permiso, otórgale el rol directamente.
- Si el usuario forma parte de un grupo de Google que contiene usuarios que necesitan permisos similares, considera otorgar el rol al grupo. Si otorgas el rol al grupo, todos los miembros de ese grupo podrán usar ese permiso, a menos que se les haya denegado explícitamente el uso.
Otorga el rol a la principal.
Agrega el usuario a un grupo de Google
Si a un grupo de Google se le otorga un rol en un recurso, todos los miembros de ese grupo pueden usar los permisos de ese rol para acceder al recurso.
Si a un grupo existente ya se le otorgó un rol con los permisos requeridos, puedes otorgarle a un usuario los permisos necesarios agregándolo a ese grupo:
Identifica un grupo que tenga un rol con los permisos necesarios. Si ya usaste el solucionador de problemas de políticas para solucionar el problema de la solicitud, puedes revisar los resultados del solucionador de problemas de políticas para identificar un grupo con los permisos requeridos.
Como alternativa, puedes usar el Analizador de políticas para identificar un grupo con los permisos necesarios.
Cómo resolver errores de permisos de la política de denegación
Para resolver los errores de permisos relacionados con las políticas de rechazo, realiza una de las siguientes acciones.
Cómo eximirte de una política de denegación
Si una regla de denegación bloquea el acceso de un usuario a un recurso, puedes realizar una de las siguientes acciones para eximir al usuario de la regla:
Agrega al usuario como una principal de excepción en la regla de denegación. Las principales de excepción son aquellas que no se ven afectadas por la regla de denegación, incluso si forman parte de un grupo que se incluye en la regla de denegación.
Para agregar una principal de excepción a una regla de denegación, sigue los pasos para actualizar la política de denegación. Cuando actualices la política de denegación, busca la regla de denegación que bloquea el acceso y, luego, agrega el identificador principal del usuario como principal de excepción.
Agrega al usuario a un grupo que esté exento de la regla. Si un grupo se incluye como principal de excepción, todos los miembros de ese grupo estarán exentos de la regla de denegación.
Para agregar al usuario a un grupo exento, haz lo siguiente:
- Usa el Solucionador de problemas de políticas para identificar las políticas de denegación que bloquean el acceso al recurso.
- Consulta la política de denegación.
- Verifica la lista de principales de excepción para los grupos.
- Si identificas un grupo exento, agrega al usuario al grupo.
Quita el permiso de la política de denegación
Las reglas de denegación impiden que las principales enumeradas usen permisos específicos. Si una regla de denegación bloquea el acceso de un usuario a un recurso, puedes quitar los permisos que necesita de la regla de denegación.
Para quitar permisos de una regla de denegación, sigue los pasos para actualizar la política de denegación. Cuando actualices la política de denegación, busca la regla de denegación que bloquea el acceso y, luego, realiza una de las siguientes acciones:
- Si la política de rechazo enumera los permisos requeridos de forma individual, busca los permisos requeridos y quítalos de la regla de rechazo.
- Si la regla de denegación usa grupos de permisos, agrega los permisos requeridos como permisos de excepción. Los permisos de excepción son aquellos que no se bloquean con la regla de denegación, incluso si forman parte de un grupo de permisos que se incluye en la regla.
Excluye el recurso de la política de denegación
Puedes usar condiciones en las políticas de denegación para aplicar una regla de denegación basada en las etiquetas de un recurso. Si las etiquetas del recurso no cumplen con la condición de la regla de denegación, esta no se aplica.
Si una regla de denegación bloquea el acceso a un recurso, puedes editar las condiciones de la regla de denegación o las etiquetas del recurso para asegurarte de que la regla de denegación no se aplique al recurso.
Para obtener información sobre cómo usar condiciones en una regla de denegación, consulta Condiciones en las políticas de denegación.
Para obtener información sobre cómo actualizar políticas de denegación, consulta Actualiza una política de denegación.
Para obtener información sobre cómo editar las etiquetas de un recurso, consulta Crea y administra etiquetas.
Inhabilita los correos electrónicos de solicitud de acceso generados automáticamente
Puedes inhabilitar las solicitudes de acceso generadas automáticamente para evitar que los usuarios las envíen directamente a tu contacto técnico esencial de la organización. Después de que se inhabilite esta función, los usuarios que tengan errores de permisos podrán copiar la solicitud de acceso y enviarla a un administrador de forma manual.
Para inhabilitar las solicitudes de acceso generadas automáticamente, haz lo siguiente:
En la consola de Cloud de Confiance , ve a la página Configuración.
En la sección Solicitudes de corrección automatizadas, selecciona Inhabilitado.