Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Cloud de Confiance dari S3NS. Lihat Perbedaan dengan Google Cloud untuk mengetahui detail selengkapnya.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengatasi error izin

Dokumen ini menjelaskan berbagai metode yang dapat digunakan administrator untuk mengidentifikasi dan menyelesaikan error izin bagi pengguna di organisasi mereka.

Mengatasi error izin dari permintaan akses

Jika Anda adalah administrator, Anda mungkin menerima permintaan akses dari pengguna yang mengalami error izin di konsol Cloud de Confiance . Permintaan ini biasanya dikirim kepada orang-orang berikut:

Kontak Penting teknis organisasi Anda. Jika organisasi Anda telah mengaktifkan Kontak Penting dan mengizinkan email permintaan akses yang dibuat otomatis, maka pengguna yang mengalami error izin di konsol Cloud de Confiance memiliki opsi untuk mengirim permintaan akses yang dibuat otomatis ke Kontak Penting teknis organisasi mereka.
Kontak yang dikonfigurasi melalui sistem pengelolaan permintaan pilihan Anda. Pengguna yang mengalami error izin di konsol Cloud de Confiance memiliki opsi untuk menyalin pesan permintaan akses, lalu mengirimkannya menggunakan sistem pengelolaan permintaan pilihan mereka.

Pesan ini biasanya memiliki format berikut:

user@example.com is requesting a role on the resource example.com:example-project.

Requestor's message:

"I need access to example-project to complete my work."

You may be able to resolve this request by granting access directly at:

ACCESS_REQUEST_PANEL_URL

Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:

POLICY_TROUBLESHOOTER_URL

Anda dapat menangani permintaan ini dengan cara berikut:

Menyelesaikan akses secara langsung: Permintaan akses berisi link ke panel permintaan akses di konsol Cloud de Confiance . Jika error izin disebabkan oleh kebijakan izin, Anda dapat menyelesaikan akses langsung dari panel tersebut.

Di panel permintaan akses, Anda dapat meninjau detail permintaan dan memilih cara Anda ingin merespons permintaan tersebut. Anda dapat merespons dengan cara berikut:
- Memberikan peran yang diminta
- Tambahkan pengguna ke grup yang sudah ada dan memiliki akses yang diperlukan
- Menolak permintaan
Melihat detail tambahan di Pemecah Masalah Kebijakan: Permintaan akses berisi link ke Pemecah Masalah Kebijakan, yang memungkinkan Anda melihat kebijakan mana yang memblokir akses pengguna. Anda dapat menggunakan informasi ini untuk memutuskan cara menyelesaikan masalah akses pengguna. Untuk informasi selengkapnya, lihat Mengidentifikasi kebijakan yang menyebabkan error izin di halaman ini.
Mengatasi masalah akses dengan Pemecah Masalah Kebijakan (Pratinjau): Permintaan akses juga berisi link ke ringkasan perbaikan kebijakan, yang menjelaskan detail permintaan, termasuk akun utama yang meminta, resource, dan izin. Dari ringkasan perbaikan kebijakan, Anda dapat langsung menyelesaikan permintaan akses yang melibatkan kebijakan izin, dan mendapatkan informasi lebih lanjut tentang kebijakan yang memblokir akses pengguna.

Untuk mengetahui informasi selengkapnya tentang cara menyelesaikan permintaan akses menggunakan ringkasan perbaikan kebijakan, lihat Memperbaiki masalah akses.

Mengatasi error izin secara manual

Jika Anda adalah administrator dengan izin untuk mengubah kebijakan terkait akses di organisasi Anda, Anda dapat menggunakan strategi ini untuk mengatasi error izin, terlepas dari jenis kebijakan yang menyebabkan error.

Untuk mengatasi error izin, Anda harus menentukan terlebih dahulu kebijakan mana (izinkan atau tolak) yang menyebabkan error. Kemudian, Anda dapat mengatasi error tersebut.

Mengidentifikasi kebijakan yang menyebabkan error izin

Untuk menentukan kebijakan mana yang menyebabkan error izin, gunakan Pemecah Masalah Kebijakan.

Pemecah Masalah Kebijakan membantu Anda memahami apakah akun utama dapat mengakses resource. Dengan mempertimbangkan akun utama, resource, dan izin, Pemecah Masalah Kebijakan memeriksa kebijakan izinkan, kebijakan tolak, dan kebijakan batas akses utama (PAB) yang memengaruhi akses akun utama. Kemudian, class memberi tahu Anda apakah, berdasarkan kebijakan tersebut, akun utama dapat menggunakan izin yang ditentukan untuk mengakses resource. Bagian ini juga mencantumkan kebijakan yang relevan dan menjelaskan pengaruhnya terhadap akses akun utama.

Untuk mempelajari cara memecahkan masalah akses dan menafsirkan hasil Pemecah Masalah Kebijakan, lihat Memecahkan masalah izin IAM.

Pesan error di konsol Cloud de Confiance berisi link ke halaman perbaikan Pemecah Masalah Kebijakan (Pratinjau) untuk pokok, izin, dan resource yang terlibat dalam permintaan. Untuk melihat link ini, klik Lihat detail pemecahan masalah, lalu klik Pemecah Masalah Kebijakan. Untuk mengetahui informasi selengkapnya, lihat Memperbaiki permintaan akses.

Memperbarui akses untuk mengatasi error izin

Setelah mengetahui kebijakan mana yang menyebabkan error izin, Anda dapat melakukan langkah-langkah untuk mengatasi error tersebut.

Sering kali, menyelesaikan error melibatkan pembuatan atau pembaruan kebijakan izinkan atau tolak.

Namun, ada opsi lain untuk menyelesaikan error yang tidak melibatkan pembaruan kebijakan. Misalnya, Anda dapat menambahkan pengguna ke grup yang memiliki izin yang diperlukan atau menambahkan tag untuk mengecualikan resource dari kebijakan.

Untuk mempelajari berbagai cara mengatasi error izin yang disebabkan oleh setiap jenis kebijakan yang berbeda, lihat artikel berikut:

Mengatasi error izin kebijakan izinkan
Mengatasi error izin kebijakan ditolak

Mengatasi error izin kebijakan izinkan

Untuk mengatasi error izin yang disebabkan oleh kebijakan izin, lakukan salah satu tindakan berikut.

Memberikan peran dengan izin yang diperlukan

Untuk menemukan dan memberikan peran dengan izin yang diperlukan, lakukan hal berikut:

Identifikasi peran IAM yang berisi izin yang tidak ada.

Untuk melihat semua peran yang menyertakan izin tertentu, telusuri izin tersebut dalam indeks peran dan izin IAM, lalu klik nama izin.

Jika tidak ada peran bawaan yang sesuai dengan kasus penggunaan Anda, Anda dapat membuat peran khusus.
Identifikasi akun utama yang akan diberi peran:
- Jika pengguna adalah satu-satunya individu yang memerlukan izin, berikan peran langsung kepada pengguna.
- Jika pengguna adalah bagian dari grup Google yang berisi pengguna yang semuanya memerlukan izin serupa, pertimbangkan untuk memberikan peran kepada grup tersebut. Jika Anda memberikan peran kepada grup, semua anggota grup tersebut dapat menggunakan izin tersebut, kecuali jika mereka telah ditolak secara eksplisit untuk menggunakannya.
Berikan peran kepada akun utama.

Tambahkan pengguna ke grup Google

Jika grup Google diberi peran pada resource, semua anggota grup tersebut dapat menggunakan izin dalam peran tersebut untuk mengakses resource.

Jika grup yang ada telah diberi peran dengan izin yang diperlukan, Anda dapat memberikan izin yang diperlukan kepada pengguna dengan menambahkannya ke grup tersebut:

Identifikasi grup yang memiliki peran dengan izin yang diperlukan. Jika Anda telah menggunakan Pemecah Masalah Kebijakan untuk memecahkan masalah permintaan, Anda dapat meninjau hasil Pemecah Masalah Kebijakan untuk mengidentifikasi grup dengan izin yang diperlukan.

Atau, Anda dapat menggunakan Penganalisis Kebijakan untuk mengidentifikasi grup dengan izin yang diperlukan.
Tambahkan pengguna ke grup.

Mengatasi error izin kebijakan penolakan

Untuk mengatasi error izin terkait kebijakan penolakan, lakukan salah satu tindakan berikut.

Mengecualikan diri Anda dari kebijakan penolakan

Jika aturan penolakan memblokir akses pengguna ke suatu resource, Anda dapat melakukan salah satu tindakan berikut untuk mengecualikan pengguna dari aturan tersebut:

Tambahkan pengguna sebagai akun utama pengecualian dalam aturan penolakan. Akun utama pengecualian adalah akun utama yang tidak terpengaruh oleh aturan penolakan, meskipun akun utama tersebut merupakan bagian dari grup yang disertakan dalam aturan penolakan.

Untuk menambahkan akun utama pengecualian ke aturan penolakan, ikuti langkah-langkah untuk memperbarui kebijakan penolakan. Saat memperbarui kebijakan penolakan, temukan aturan penolakan yang memblokir akses, lalu tambahkan ID akun utama pengguna sebagai akun utama pengecualian.
Tambahkan pengguna ke grup yang dikecualikan dari aturan. Jika grup tercantum sebagai prinsipal pengecualian, semua anggota grup tersebut akan dikecualikan dari aturan penolakan.

Untuk menambahkan pengguna ke grup yang dikecualikan, lakukan hal berikut:
1. Gunakan Pemecah Masalah Kebijakan untuk mengidentifikasi kebijakan penolakan yang memblokir akses ke resource.
2. Lihat kebijakan penolakan.
3. Periksa daftar prinsipal pengecualian untuk grup.
4. Jika Anda mengidentifikasi grup yang dikecualikan, tambahkan pengguna ke grup tersebut.

Menghapus izin dari kebijakan penolakan

Aturan penolakan mencegah akun utama yang tercantum menggunakan izin tertentu. Jika aturan penolakan memblokir akses pengguna ke resource, Anda dapat menghapus izin yang mereka butuhkan dari aturan penolakan.

Untuk menghapus izin dari aturan penolakan, ikuti langkah-langkah untuk memperbarui kebijakan penolakan. Saat memperbarui kebijakan penolakan, temukan aturan penolakan yang memblokir akses, lalu lakukan salah satu tindakan berikut:

Jika kebijakan penolakan mencantumkan izin yang diperlukan secara terpisah, temukan izin yang diperlukan dan hapus dari aturan penolakan.
Jika aturan penolakan menggunakan grup izin, tambahkan izin yang diperlukan sebagai izin pengecualian. Izin pengecualian adalah izin yang tidak diblokir oleh aturan penolakan, meskipun izin tersebut merupakan bagian dari grup izin yang disertakan dalam aturan.

Mengecualikan resource dari kebijakan penolakan

Anda dapat menggunakan kondisi dalam kebijakan penolakan untuk menerapkan aturan penolakan berdasarkan tag resource. Jika tag resource tidak memenuhi kondisi dalam aturan penolakan, aturan penolakan tidak berlaku.

Jika aturan penolakan memblokir akses ke resource, Anda dapat mengedit kondisi dalam aturan penolakan atau tag pada resource untuk memastikan bahwa aturan penolakan tidak berlaku untuk resource tersebut.

Untuk mempelajari cara menggunakan kondisi dalam aturan penolakan, lihat Kondisi dalam kebijakan penolakan.
Untuk mempelajari cara memperbarui kebijakan tolak, lihat Memperbarui kebijakan tolak.
Untuk mempelajari cara mengedit tag resource, lihat Membuat dan mengelola tag.

Menonaktifkan email permintaan akses yang dibuat otomatis

Anda dapat menonaktifkan permintaan akses yang dibuat secara otomatis untuk mencegah pengguna mengirimkannya langsung ke Kontak Penting teknis organisasi Anda. Setelah fitur ini dinonaktifkan, pengguna yang mengalami error izin masih dapat menyalin permintaan akses dan mengirimkannya ke administrator secara manual.

Untuk menonaktifkan permintaan akses yang dibuat otomatis, lakukan hal berikut:

Di konsol Cloud de Confiance , buka halaman Settings.

Buka IAM
Di bagian Automated remediation requests, pilih Disabled.

Mengatasi error izin

Mengatasi error izin dari permintaan akses

Mengatasi error izin secara manual

Mengidentifikasi kebijakan yang menyebabkan error izin

Memperbarui akses untuk mengatasi error izin

Mengatasi error izin kebijakan izinkan

Memberikan peran dengan izin yang diperlukan

Tambahkan pengguna ke grup Google

Mengatasi error izin kebijakan penolakan

Mengecualikan diri Anda dari kebijakan penolakan

Menghapus izin dari kebijakan penolakan

Mengecualikan resource dari kebijakan penolakan

Menonaktifkan email permintaan akses yang dibuat otomatis

Langkah berikutnya