Esta página foi traduzida pela API Cloud Translation.

Resolver problemas com permissões do IAM

O solucionador de problemas de políticas para IAM ajuda a entender por que um usuário tem acesso a um recurso ou não tem permissão para chamar uma API. Com um endereço de e-mail, um recurso e uma permissão, o solucionador de problemas de políticas examina todas as políticas de permissão e negação que se aplicam ao recurso. Em seguida, ele usa essas políticas para informar se o principal tem a permissão. Ele também lista as vinculações de papéis e regras de negação nas políticas e explica como elas afetam o acesso do principal.

É possível acessar o solucionador de problemas de políticas usando o Console do Google Cloud, a Google Cloud CLI ou a API REST. Para consultas simples, o uso do console do Google Cloud normalmente é mais rápido. Para cenários mais complexos, considere a CLI gcloud ou a API REST.

Antes de começar

Ative a API Policy Troubleshooter.
Ative a API

Permissões necessárias

Para solucionar problemas no acesso dos principais, você precisa das permissões a seguir.

Permissões para resolver problemas de acesso a participantes individuais

O solucionador de problemas de políticas analisa o acesso de um principal a um recurso com base nas políticas de permissão, políticas de negação e papéis que você tem permissão para visualizar. Se você não tiver permissão para visualizar uma política que se aplica a um recurso ou se não tiver permissão para visualizar um papel personalizado, talvez não seja possível dizer se um principal tem acesso.

Para conseguir as permissões necessárias para resolver problemas de acesso de um principal, peça ao administrador para conceder a você os seguintes papéis do IAM na organização:

Avaliador de segurança (roles/iam.securityReviewer)
Resolver problemas de políticas de negação: Negar avaliador (roles/iam.denyReviewer)
Use a Google Cloud CLI para solucionar problemas: Consumidor do Service Usage (roles/serviceusage.serviceUsageConsumer)

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou outros papéis predefinidos.

Permissões para resolver problemas de acesso dos membros do grupo

Se as políticas de permissão e negação incluírem grupos, você precisará da permissão da API Google Workspace Admin groups.read para resolver problemas de acesso de membros individuais do grupo. Os superadministradores e os administradores de grupos têm essa permissão automaticamente. Para conceder essa permissão a um usuário que não seja um superadministrador ou administrador de grupo, crie um papel de administrador do Google Workspace Workspace que contenha o privilégio groups.read (localizado em Privilégios da API Admin) e conceda-o ao usuário.

Se você não tiver essas permissões, as vinculações de papel e as regras de negação que contêm grupos ou domínios terão um resultado de acesso Desconhecido, a menos que a vinculação de papel ou a regra de negação também inclua explicitamente o principal.

Permissões para resolver problemas de acesso de membros do domínio

Se as políticas de permissão e negação incluírem uma conta do Google Workspace ou domínio do Cloud Identity, você precisará ser um administrador do domínio para resolver problemas de acesso a membros individuais do domínio.

Resolver problemas no acesso

Para resolver problemas de acesso, você precisa das seguintes informações:

Principal: o endereço de e-mail a ser verificado. Esse endereço precisa se referir a uma conta de usuário ou de serviço. Outros tipos de participantes não são compatíveis.
Recurso: o nome completo do recurso. Por exemplo, para verificar o projeto my-project, insira //cloudresourcemanager.googleapis.com/projects/my-project. Para outros tipos de recursos, consulte os exemplos de nomes completos de recursos.
Permissão: a permissão para verificar. Se você usar o console do Google Cloud, ele apresentará uma lista de sugestões enquanto você digita. Para uma lista completa de permissões, consulte a referência de permissões.

Console

Para resolver problemas de acesso, faça o seguinte:

No Console do Google Cloud, acesse a página Solucionador de problemas de políticas.

Acesse o solucionador de problemas de políticas
Digite o e-mail do principal com acesso que você quer verificar.
Digite o nome do recurso e a permissão para verificar. Se você não souber o nome completo do recurso ou da permissão, comece a digitar para ver as opções de preenchimento automático.
Opcional: para verificar vários recursos e permissões, selecione Adicionar outro par e repita a etapa anterior.
Clique em Verificar acesso.

gcloud

Para descobrir por que um principal tem ou não uma permissão do IAM, use o comando gcloud policy-troubleshoot iam.

Antes de usar os dados do comando abaixo, faça estas substituições:

EMAIL: o endereço de e-mail do participante com permissões que você quer resolver.
RESOURCE: o recurso em que a permissão é concedida.
PERMISSION: a permissão que você quer resolver.

Execute o comando gcloud policy-troubleshoot iam:

Linux, macOS ou Cloud Shell

gcloud policy-troubleshoot iam RESOURCE --principal-email=EMAIL \
    --permission=PERMISSION

Windows (PowerShell)

gcloud policy-troubleshoot iam RESOURCE --principal-email=EMAIL `
    --permission=PERMISSION

Windows (cmd.exe)

gcloud policy-troubleshoot iam RESOURCE --principal-email=EMAIL ^
    --permission=PERMISSION

Você receberá uma resposta semelhante a esta:

{
  "accessTuple": {
    "conditionContext": {
      "destination": {},
      "effectiveTags": [
        {
          "tagValue": "tagValues/281481941428044",
          "namespacedTagValue": "803434038361/env/dev",
          "tagKey": "tagKeys/281475994198094",
          "namespacedTagKey": "803434038361/env",
          "tagKeyParentName": "organizations/803434038361"
        }
      ],
      "request": {},
      "resource": {}
    },
    "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
    "permission": "compute.instances.get",
    "permissionFqdn": "compute.googleapis.com/instances.get",
    "principal": "[email protected]"
  },
  "allowPolicyExplanation": {
    "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
    "explainedPolicies": [
      {
        "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
        "bindingExplanations": [
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_HIGH"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH",
            "role": "roles/compute.viewer",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "role": "roles/owner",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "role": "roles/resourcemanager.organizationAdmin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
          }
        ],
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "policy": {
          "bindings": [
            {
              "members": [
                "user:[email protected]"
              ],
              "role": "roles/compute.viewer"
            },
            {
              "members": [
                "user:[email protected]"
              ],
              "role": "roles/owner"
            },
            {
              "members": [
                "user:[email protected]"
              ],
              "role": "roles/resourcemanager.organizationAdmin"
            },
          ],
          "etag": "BwX5/L9Vbg4=",
          "version": 3
        },
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      }
    ],
    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
  },
  "denyPolicyExplanation": {
    "denyAccessState": "DENY_ACCESS_STATE_DENIED",
    "explainedResources": [
      {
        "denyAccessState": "DENY_ACCESS_STATE_DENIED",
        "explainedPolicies": [
          {
            "denyAccessState": "DENY_ACCESS_STATE_DENIED",
            "policy": {
              "createTime": "2023-04-18T07:15:47.702191Z",
              "displayName": "Deny compute instance get",
              "etag": "MTc3MDA1ODIyNjExNTMzMDg2NzI=",
              "kind": "DenyPolicy",
              "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F123456789012/denypolicies/deny-compute-get",
              "rules": [
                {
                  "denyRule": {
                    "deniedPrincipals": [
                      "principal://iam.googleapis.com/projects/-/serviceAccounts/[email protected]"
                    ],
                    "deniedPermissions": [
                      "compute.googleapis.com/instances.get"
                    ]
                  }
                }
              ],
              "uid": "77e93c80-b383-0027-268e-a52a608aa13d",
              "updateTime": "2023-04-18T07:15:47.702191Z",
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH",
            "ruleExplanations": [
              {
                "combinedDeniedPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedDeniedPrincipal": {
                  "membership": "MEMBERSHIP_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedExceptionPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedExceptionPrincipal": {
                  "membership": "MEMBERSHIP_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "deniedPermissions": {
                  "compute.googleapis.com/instances.get": {
                    "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "deniedPrincipals": {
                  "principal://iam.googleapis.com/projects/-/serviceAccounts/[email protected]": {
                    "membership": "MEMBERSHIP_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "denyAccessState": "DENY_ACCESS_STATE_DENIED",
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            ]
          }
        ],
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/123456789012",
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      }
    ],
    "permissionDeniable": true,
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "overallAccessState": "CANNOT_ACCESS"
}

REST

Para descobrir por que um principal tem ou não uma permissão do IAM, use o método iam.troubleshoot da API Policy Troubleshooter.

Antes de usar os dados da solicitação, faça as substituições a seguir:

EMAIL: o endereço de e-mail do participante com permissões que você quer resolver.
RESOURCE: o recurso em que a permissão é concedida.
PERMISSION: a permissão que você quer resolver.
PROJECT_ID: o ID do projeto que você quer usar para fazer a solicitação. Os IDs do projeto são strings alfanuméricas, como my-project.

Método HTTP e URL:

POST http://policytroubleshooter.googleapis.com/v3beta/iam:troubleshoot

Corpo JSON da solicitação:

{
  "accessTuple": {
    "principal": "EMAIL",
    "fullResourceName": "RESOURCE",
    "permission": "PERMISSION"
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "x-goog-user-project: PROJECT_ID" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "http://policytroubleshooter.googleapis.com/v3beta/iam:troubleshoot"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "http://policytroubleshooter.googleapis.com/v3beta/iam:troubleshoot" | Select-Object -Expand Content

API Explorer (navegador)

Copie o corpo da solicitação e abra a página de referência do método. O painel "APIs Explorer" é aberto no lado direito da página. Interaja com essa ferramenta para enviar solicitações. Cole o corpo da solicitação nessa ferramenta, preencha todos os outros campos obrigatórios e clique em Executar.

Você receberá uma resposta JSON semelhante a esta:

{
  "overallAccessState": "CANNOT_ACCESS",
  "accessTuple": {
    "principal": "[email protected]",
    "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
    "permission": "compute.instances.get",
    "permissionFqdn": "compute.googleapis.com/instances.get",
    "conditionContext": {
      "effectiveTags": [
        {
          "tagValue": "tagValues/281481941428044",
          "namespacedTagValue": "803434038361/env/dev",
          "tagKey": "tagKeys/281475994198094",
          "namespacedTagKey": "803434038361/env",
          "tagKeyParentName": "organizations/803434038361"
        }
      ]
    }
  },
  "allowPolicyExplanation": {
    "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
    "explainedPolicies": [
      {
        "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "bindingExplanations": [
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
            "role": "roles/compute.viewer",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_HIGH"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/owner",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/resourcemanager.organizationAdmin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL"
          }
        ],
        "relevance": "HEURISTIC_RELEVANCE_HIGH",
        "policy": {
          "version": 3,
          "etag": "BwX5/L9Vbg4=",
          "bindings": [
            {
              "role": "roles/compute.viewer",
              "members": [
                "user:[email protected]"
              ]
            },
            {
              "role": "roles/owner",
              "members": [
                "user:[email protected]"
              ]
            },
            {
              "role": "roles/resourcemanager.organizationAdmin",
              "members": [
                "user:[email protected]"
              ]
            },
          ]
        }
      }
    ],
    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
  },
  "denyPolicyExplanation": {
    "denyAccessState": "DENY_ACCESS_STATE_DENIED",
    "explainedResources": [
      {
        "denyAccessState": "DENY_ACCESS_STATE_DENIED",
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/123456789012",
        "explainedPolicies": [
          {
            "denyAccessState": "DENY_ACCESS_STATE_DENIED",
            "policy": {
              "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F123456789012/denypolicies/deny-compute-get",
              "uid": "77e93c80-b383-0027-268e-a52a608aa13d",
              "kind": "DenyPolicy",
              "displayName": "Deny compute instance get",
              "etag": "MTc3MDA1ODIyNjExNTMzMDg2NzI=",
              "createTime": "2023-04-18T07:15:47.702191Z",
              "updateTime": "2023-04-18T07:15:47.702191Z",
              "rules": [
                {
                  "denyRule": {
                    "deniedPrincipals": [
                      "principal://iam.googleapis.com/projects/-/serviceAccounts/[email protected]"
                    ],
                    "deniedPermissions": [
                      "compute.googleapis.com/instances.get"
                    ]
                  }
                }
              ]
            },
            "ruleExplanations": [
              {
                "denyAccessState": "DENY_ACCESS_STATE_DENIED",
                "combinedDeniedPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "deniedPermissions": {
                  "compute.googleapis.com/instances.get": {
                    "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "combinedExceptionPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedDeniedPrincipal": {
                  "membership": "MEMBERSHIP_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "deniedPrincipals": {
                  "principal://iam.googleapis.com/projects/-/serviceAccounts/[email protected]": {
                    "membership": "MEMBERSHIP_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "combinedExceptionPrincipal": {
                  "membership": "MEMBERSHIP_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            ],
            "relevance": "HEURISTIC_RELEVANCE_HIGH"
          }
        ],
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      }
    ],
    "relevance": "HEURISTIC_RELEVANCE_HIGH",
    "permissionDeniable": true
  }
}

Compreender os resultados do solucionador de problemas

Console

A página de resultados contém as seguintes informações:

Detalhes da avaliação
Detalhes da política, que contém o seguinte:

Detalhes da avaliação

A seção Detalhes da avaliação contém um resumo do acesso que você está resolvendo, incluindo o principal, o recurso e a permissão especificados. Se você estiver solucionando vários pares de permissões de recursos, poderá usar a lista Avaliação de acesso para alternar entre eles.

Detalhes da política

A seção Detalhes da política contém detalhes sobre como as políticas de permissão e negação relevantes afetam o acesso do principal.

As políticas relevantes de permissão e negação incluem:

A política de permissão do recurso
As políticas de negação do recurso, se houver
As políticas de permissão do projeto pai, pasta e organização do recurso, se houver
As políticas de negação do projeto pai, da pasta e da organização do recurso, se houver

As políticas de permissão e negação de projetos pai, pastas e organizações são relevantes por causa da herança de política. Quando você anexa uma política de permissão ou negação a um projeto, pasta ou organização, essa política também se aplica a todos os recursos dentro do projeto, da pasta ou da organização.

Por exemplo, se uma política de negação para uma organização disser que um principal não pode usar uma permissão específica, o principal não poderá usar essa permissão para nenhum recurso dentro da organização. Essa regra se aplica mesmo que as pastas e os projetos nessa organização tenham políticas de negação mais permissivas ou permitam políticas que dão ao principal a permissão.

Da mesma forma, se uma política de permissão para um projeto conceder a um principal uma permissão específica, o principal terá essa permissão para qualquer recurso no projeto, desde que essa permissão não seja negada.

A seção Detalhes da política contém as seguintes seções:

Estado do acesso
Política de negação
Permitir política

Estado do acesso

A seção Estado de acesso contém um breve resumo do acesso do principal com base nas políticas relevantes de permissão e negação do IAM. Esse resumo inclui o impacto das políticas de negação, o impacto das políticas de permissão e o resultado do acesso final com base nas políticas de negação e permissão relevantes.

Política de negação

Na seção Política de negação, é possível visualizar todas as políticas de negação relevantes, identificar regras de negação que negam acesso ao principal e entender por que uma regra de negação nega ou não o principal.

O painel Recursos com políticas de negação lista todas as políticas de negação relevantes, organizadas pelos recursos a que estão anexadas. Ao lado de cada política de negação há uma avaliação de acesso. Essa avaliação se aplica apenas a essa política de negação. Ela não reflete nenhum acesso de políticas herdadas. Se você não tiver permissão para visualizar a política de negação de um recurso, a lista de recursos não incluirá esse recurso nem as políticas de negação dele.

Para ver as regras de negação relevantes nessas políticas de negação, clique em uma política de negação. Para visualizar todas as regras de negação nas políticas de negação de um recurso, clique nele. As regras de negação aparecem no painel Negar regras. Esse painel contém uma tabela de todas as regras de negação com o principal consultado ou a permissão para a política de recurso ou negação selecionada.

A coluna Acesso indica se a regra de negação nega a permissão ao principal. Para mais detalhes sobre a regra de negação, clique em Ver regra de negação na linha dela.

Permitir política

Na seção Permitir política, é possível navegar por todas as políticas de permissão relevantes, identificar vinculações de papéis que concedem acesso ao principal e entender por que uma vinculação de papel concede ou não ao principal a permissão.

O painel Resources lista o recurso especificado e os ancestrais dele. Ao lado de cada recurso há uma avaliação de acesso. Essa avaliação aplica-se apenas à política de permissão desse recurso. Ela não reflete nenhum acesso de políticas herdadas. Se você não tiver permissão para visualizar a política de permissão de um recurso, a lista de recursos não incluirá esse recurso.

Para ver as vinculações de papel relevantes na política de permissão de um recurso e ver como elas concedem ou não a permissão ao principal, clique no recurso. As vinculações da política de permissão são exibidas no painel Vinculações de papéis.

O painel Vinculações de papéis contém uma tabela de vinculações de papéis na política de permissão do recurso selecionado. Por padrão, a tabela contém apenas vinculações de papel que incluem um papel com a permissão especificada. Se o principal não tiver acesso, a tabela também mostrará vinculações de papéis com papéis personalizados editáveis. Para ver todas as vinculações de papéis, desmarque a caixa de seleção Mostrar apenas vinculações relevantes.

A coluna Acesso indica se a vinculação de papel concede permissão ao principal. Para mais detalhes sobre a vinculação de papel, clique em Ver detalhes da vinculação na linha dessa vinculação.

gcloud

A resposta contém quatro seções principais: uma descrição da tupla de acesso na solicitação, os resultados da avaliação da política de permissão, os resultados da avaliação da política de negação e o estado de acesso geral.

accessTuple: uma descrição da tupla de acesso na solicitação, incluindo qualquer contexto de condição que você forneceu. Esta seção também contém um resumo das tags que se aplicam ao recurso.

allowPolicyExplanation: um resumo se as políticas de permissão relevantes concedem a permissão ao principal, seguida de uma lista de políticas de permissão e vinculações de papéis.

Para cada política de permissão, a resposta lista todas as vinculações de papel na política e as avalia com base nos seguintes critérios:
- Se a vinculação inclui a permissão.
- Indica se a vinculação inclui o principal.
- Se as condições na vinculação, se houver, são atendidas.
Em seguida, a resposta imprime o texto JSON completo da política de permissão.

denyPolicyExplanation: um resumo se as políticas de negação relevantes negam a permissão ao principal, seguida de uma lista de recursos com políticas de negação. Para cada recurso, a resposta lista todas as políticas de negação anexadas ao recurso.

Para cada política de negação, a resposta imprime os metadados da política, lista as regras de negação na política e avalia cada regra com base nos seguintes critérios:
- Se a regra de negação inclui a permissão.
- Se a permissão está listada como uma exceção na regra de negação.
- Se a regra de negação inclui o principal.
- Se o principal está listado como uma exceção na regra de negação.
- Indica se as condições na regra de negação, se houver, são atendidas.

overallAccessState: se o principal consegue usar a permissão especificada para acessar o recurso especificado com base nas políticas relevantes de permissão e negação.
As políticas relevantes de permissão e negação incluem:
- A política de permissão do recurso
- As políticas de negação do recurso, se houver
- As políticas de permissão do projeto pai, pasta e organização do recurso, se houver
- As políticas de negação do projeto pai, da pasta e da organização do recurso, se houver
As políticas de permissão e negação de projetos pai, pastas e organizações são relevantes por causa da herança de política. Quando você anexa uma política de permissão ou negação a um projeto, pasta ou organização, essa política também se aplica a todos os recursos dentro do projeto, da pasta ou da organização.

Por exemplo, se uma política de negação para uma organização disser que um principal não pode usar uma permissão específica, o principal não poderá usar essa permissão para nenhum recurso dentro da organização. Essa regra se aplica mesmo que as pastas e os projetos nessa organização tenham políticas de negação mais permissivas ou permitam políticas que dão ao principal a permissão.

Da mesma forma, se uma política de permissão para um projeto conceder a um principal uma permissão específica, o principal terá essa permissão para qualquer recurso no projeto, desde que essa permissão não seja negada.

Observação: as políticas de negação, incluindo as políticas de negação herdadas, sempre têm precedência sobre as políticas de permissão. Para mais informações, consulte Avaliação da política.

Muitos objetos na resposta também têm um campo relevance. O valor neste campo indica o quanto esse objeto contribui para o estado de acesso geral. O campo relevance pode ter os seguintes valores:

HEURISTIC_RELEVANCE_HIGH: indica que o objeto tem um forte impacto no resultado. Em outras palavras, a remoção do objeto provavelmente mudará o estado de acesso geral. Por exemplo, uma vinculação de papel que concede ao principal a permissão especificada terá esse valor de relevância.
HEURISTIC_RELEVANCE_NORMAL: indica que o objeto tem um impacto limitado no resultado. Em outras palavras, a remoção do objeto provavelmente não mudará o estado de acesso geral. Por exemplo, uma regra de negação que não contém a permissão ou o principal teria esse valor de relevância.

REST

A resposta contém quatro seções principais: o estado de acesso geral, uma descrição da tupla de acesso na solicitação, os resultados da avaliação de política de permissão e os resultados da avaliação de política de negação.

overallAccessState: se o principal consegue usar a permissão especificada para acessar o recurso especificado com base nas políticas relevantes de permissão e negação.
As políticas relevantes de permissão e negação incluem:
- A política de permissão do recurso
- As políticas de negação do recurso, se houver
- As políticas de permissão do projeto pai, pasta e organização do recurso, se houver
- As políticas de negação do projeto pai, da pasta e da organização do recurso, se houver
As políticas de permissão e negação de projetos pai, pastas e organizações são relevantes por causa da herança de política. Quando você anexa uma política de permissão ou negação a um projeto, pasta ou organização, essa política também se aplica a todos os recursos dentro do projeto, da pasta ou da organização.

Por exemplo, se uma política de negação para uma organização disser que um principal não pode usar uma permissão específica, o principal não poderá usar essa permissão para nenhum recurso dentro da organização. Essa regra se aplica mesmo que as pastas e os projetos nessa organização tenham políticas de negação mais permissivas ou permitam políticas que dão ao principal a permissão.

Da mesma forma, se uma política de permissão para um projeto conceder a um principal uma permissão específica, o principal terá essa permissão para qualquer recurso no projeto, desde que essa permissão não seja negada.

Observação: as políticas de negação, incluindo as políticas de negação herdadas, sempre têm precedência sobre as políticas de permissão. Para mais informações, consulte Avaliação da política.

accessTuple: uma descrição da tupla de acesso na solicitação, incluindo qualquer contexto de condição que você forneceu. Esta seção também contém um resumo das tags que se aplicam ao recurso.

allowPolicyExplanation: um resumo se as políticas de permissão relevantes concedem a permissão ao principal, seguida de uma lista de políticas de permissão e vinculações de papéis.

Para cada política de permissão, a resposta lista todas as vinculações de papel na política e as avalia com base nos seguintes critérios:
- Se a vinculação inclui a permissão.
- Indica se a vinculação inclui o principal.
- Se as condições na vinculação, se houver, são atendidas.
Em seguida, a resposta imprime o texto JSON completo da política de permissão.

denyPolicyExplanation: um resumo se as políticas de negação relevantes negam a permissão ao principal, seguida de uma lista de recursos com políticas de negação. Para cada recurso, a resposta lista todas as políticas de negação anexadas ao recurso.

Para cada política de negação, a resposta imprime os metadados da política, lista as regras de negação na política e avalia cada regra com base nos seguintes critérios:
- Se a regra de negação inclui a permissão.
- Se a permissão está listada como uma exceção na regra de negação.
- Se a regra de negação inclui o principal.
- Se o principal está listado como uma exceção na regra de negação.
- Indica se as condições na regra de negação, se houver, são atendidas.

HEURISTIC_RELEVANCE_HIGH: indica que o objeto tem um forte impacto no resultado. Em outras palavras, a remoção do objeto provavelmente mudará o estado de acesso geral. Por exemplo, uma vinculação de papel que concede ao principal a permissão especificada terá esse valor de relevância.
HEURISTIC_RELEVANCE_NORMAL: indica que o objeto tem um impacto limitado no resultado. Em outras palavras, a remoção do objeto provavelmente não mudará o estado de acesso geral. Por exemplo, uma regra de negação que não contém a permissão ou o principal teria esse valor de relevância.

Solução de problemas em vinculações de papéis condicionais

O solucionador de problemas de políticas resolve automaticamente vinculações de papéis condicionais e regras de negação com base em tags. No entanto, para solucionar problemas de outros tipos de vinculações de papéis condicionais ou regras de negação condicional, o solucionador de problemas de políticas precisa de mais contexto sobre a solicitação. Por exemplo, para solucionar problemas com base em atributos de data/hora, o solucionador de problemas de políticas precisa do horário da solicitação.

Na CLI gcloud e na API REST, você fornece esse contexto extra manualmente.

No Console do Google Cloud, é possível fornecer esse contexto extra resolvendo problemas diretamente de qualquer registro de auditoria de atividades do administrador ou registro de auditoria de acesso a dados. Cada entrada de registro de auditoria corresponde a uma solicitação para uma API do Google Cloud ou a uma ação que o Google Cloud executa em seu nome. Quando você soluciona problemas de um registro de auditoria, o solucionador de problemas de políticas recebe automaticamente informações adicionais sobre a solicitação, como data e hora, o que permite que o solucionador de problemas analise as vinculações de papéis condicionais e as regras de negação.

Console

Para resolver problemas de vinculações de papéis condicionais e regras de negação, faça o seguinte:

No console do Google Cloud, acesse a página do Explorador de registros.

Acessar o Explorador de registros
Se o título da página for Visualizador de registros legados, clique na lista suspensa Upgrade e selecione Fazer upgrade para o novo Explorador de registros.
Para visualizar somente os registros de auditoria de Atividade do administrador e Acesso a dados, insira a seguinte consulta no criador de consultas e clique em Executar consulta:
```
logName=("RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity" OR "RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Fdata_access")
```
Substitua os seguintes valores:
- RESOURCE_TYPE: o tipo de recurso que está listando os registros de auditoria. Use projects, folders ou organizations.
- RESOURCE_ID: o ID do recurso.
Localize a entrada de registro de auditoria que corresponde à solicitação que você quer solucionar. Para saber como usar o Explorador de registros para encontrar entradas de registro específicas, consulte Como usar o Explorador de registros.

Observação: em alguns casos, uma única solicitação pode produzir mais de uma entrada de registro. Analise cuidadosamente as entradas para determinar qual delas resolver.
Na coluna Resumo da entrada de registro, clique em IAM e em Resolver problemas de acesso.

O solucionador de problemas de políticas usa as informações na entrada de registro para resolver problemas de acesso e mostra os resultados. O contexto adicional está listado nos detalhes de avaliação em Contexto da condição. Para ver os detalhes do contexto, clique em Ver contexto da condição. Para saber mais sobre a página de resultados do solucionador de problemas de políticas, consulte Como solucionar problemas de acesso nesta página.

Observação: o contexto adicional não inclui o status de associação ao grupo. Ao solucionar problemas de associação a grupos, o solucionador de problemas de políticas sempre usa o status da associação no grupo no momento da solução de problemas.
Opcional: para solucionar problemas de outra solicitação que envolve vinculações de papéis condicionais e regras de negação, retorne à página "Explorador de registros" e repita as etapas anteriores.

gcloud

Para resolver problemas de vinculações de papéis condicionais e regras de negação, use o comando gcloud policy-troubleshoot iam.

Antes de usar os dados do comando abaixo, faça estas substituições:

EMAIL: o endereço de e-mail do principal com permissões que você quer resolver.
RESOURCE: o recurso em que a permissão é concedida.
PERMISSION: a permissão que você quer resolver.
DESTINATION_IP: opcional. O endereço IP de destino da solicitação a ser usado ao verificar vinculações de papéis condicionais. Por exemplo, 198.1.1.1.
DESTINATION_PORT: opcional. A porta de destino da solicitação a ser usada ao verificar as vinculações de papéis condicionais. Por exemplo, "8080".
REQUEST_TIME: opcional. O carimbo de data/hora da solicitação a ser usado ao verificar as vinculações de papéis condicionais. Use um carimbo de data/hora no formato RFC 3339, por exemplo, 2099-02-01T00:00:00Z.
RESOURCE_NAME: opcional. O valor do nome do recurso a ser usado ao verificar vinculações de papéis condicionais. Para uma lista de formatos de nome de recurso aceitos, consulte Formato do nome do recurso.
RESOURCE_SERVICE: opcional. O valor do serviço de recursos a ser usado ao verificar vinculações de papéis condicionais. Para uma lista de nomes de serviço aceitos, consulte Valores de serviço de recursos.
RESOURCE_TYPE: opcional. Para ver uma lista de tipos de recursos aceitos, consulte Valores de tipo de recurso.

Execute o comando gcloud policy-troubleshoot iam:

Linux, macOS ou Cloud Shell

gcloud policy-troubleshoot iam RESOURCE --principal-email=EMAIL \
    --permission=PERMISSION --destination-ip=DESTINATION_IP \
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME \
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE \
    --resource-type=RESOURCE_TYPE

Windows (PowerShell)

gcloud policy-troubleshoot iam RESOURCE --principal-email=EMAIL `
    --permission=PERMISSION --destination-ip=DESTINATION_IP `
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME `
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE `
    --resource-type=RESOURCE_TYPE

Windows (cmd.exe)

gcloud policy-troubleshoot iam RESOURCE --principal-email=EMAIL ^
    --permission=PERMISSION --destination-ip=DESTINATION_IP ^
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME ^
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE ^
    --resource-type=RESOURCE_TYPE

A resposta contém uma explicação do acesso do principal. Para cada regra de vinculação e negação de papel com uma condição, a resposta inclui um campo conditionExplanation que descreve se a condição é avaliada como verdadeira ou falsa com base no contexto da condição fornecido.

Por exemplo, veja a seguir uma avaliação de uma vinculação de papel com uma condição que especifica o tipo e o serviço do recurso:

...
{
  "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
  "combinedMembership": {
    "membership": "MEMBERSHIP_MATCHED",
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "condition": {
    "expression": " resource.type \u003d\u003d \"compute.googleapis.com/Instance\" \u0026\u0026 resource.service \u003d\u003d \"compute.googleapis.com\"",
    "title": "Compute instances only",
    "description": "Condition that limits permissions to only Compute instances"
  },
  "conditionExplanation": {
    "evaluationStates": [{
      "end": 51,
      "start": 1,
      "value": true
    }, {
      "end": 99,
      "start": 55,
      "value": true
    }],
    "value": true,
  },
  "memberships": {
    "user:[email protected]": {
      "membership": "MEMBERSHIP_MATCHED",
      "relevance": "HEURISTIC_RELEVANCE_HIGH"
    }
  },
  "relevance": "HEURISTIC_RELEVANCE_HIGH",
  "role": "roles/compute.viewer",
  "rolePermission": "ROLE_PERMISSION_INCLUDED",
  "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
}
...

REST

Para resolver problemas de vinculações de papéis condicionais e regras de negação, use o método iam.troubleshoot da API Policy Troubleshooter.

Antes de usar os dados da solicitação, faça as substituições a seguir:

EMAIL: o endereço de e-mail do principal com permissões que você quer resolver.
RESOURCE: o recurso em que a permissão é concedida.
PERMISSION: a permissão que você quer resolver.
DESTINATION_IP: opcional. O endereço IP de destino da solicitação a ser usado ao verificar vinculações de papéis condicionais. Por exemplo, 198.1.1.1.
DESTINATION_PORT: opcional. A porta de destino da solicitação a ser usada ao verificar as vinculações de papéis condicionais. Por exemplo, "8080".
REQUEST_TIME: opcional. O carimbo de data/hora da solicitação a ser usado ao verificar as vinculações de papéis condicionais. Use um carimbo de data/hora no formato RFC 3339, por exemplo, 2099-02-01T00:00:00Z.
RESOURCE_NAME: opcional. O valor do nome do recurso a ser usado ao verificar vinculações de papéis condicionais. Para uma lista de formatos de nome de recurso aceitos, consulte Formato do nome do recurso.
RESOURCE_SERVICE: opcional. O valor do serviço de recursos a ser usado ao verificar vinculações de papéis condicionais. Para uma lista de nomes de serviço aceitos, consulte Valores de serviço de recursos.
RESOURCE_TYPE: opcional. Para ver uma lista de tipos de recursos aceitos, consulte Valores de tipo de recurso.

Método HTTP e URL:

POST http://policytroubleshooter.googleapis.com/v3beta/iam:troubleshoot

Corpo JSON da solicitação:

{
  "accessTuple": {
    "principal": "EMAIL",
    "fullResourceName": "RESOURCE",
    "permission": "PERMISSION",
    "conditionContext": {
      "destination": {
        "ip": DESTINATION_IP,
        "port": DESTINATION_PORT
      },
      "request": {
        "receiveTime": REQUEST_TIME
      },
      "resource": {
        "name": RESOURCE_NAME,
        "service": RESOURCE_SERVICE,
        "type": RESOURCE_TYPE
      }
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "x-goog-user-project: PROJECT_ID" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "http://policytroubleshooter.googleapis.com/v3beta/iam:troubleshoot"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "http://policytroubleshooter.googleapis.com/v3beta/iam:troubleshoot" | Select-Object -Expand Content

API Explorer (navegador)

Por exemplo, veja a seguir uma avaliação de uma vinculação de papel com uma condição que especifica o tipo e o serviço do recurso:

...
{
  "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
  "role": "roles/compute.viewer",
  "rolePermission": "ROLE_PERMISSION_INCLUDED",
  "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
  "combinedMembership": {
    "membership": "MEMBERSHIP_MATCHED",
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "memberships": {
    "user:[email protected]": {
      "membership": "MEMBERSHIP_MATCHED",
      "relevance": "HEURISTIC_RELEVANCE_HIGH"
    }
  },
  "relevance": "HEURISTIC_RELEVANCE_HIGH",
  "condition": {
    "expression": " resource.type \u003d\u003d \"compute.googleapis.com/Instance\" \u0026\u0026 resource.service \u003d\u003d \"compute.googleapis.com\"",
    "title": "Compute instances only",
    "description": "Condition that limits permissions to only Compute instances"
  },
  "conditionExplanation": {
    "value": true,
    "evaluationStates": [{
      "start": 1,
      "end": 51,
      "value": true
    }, {
      "start": 55,
      "end": 99,
      "value": true
    }]
  }
}
...

A seguir

Use a referência de permissões ou a referência de papéis predefinidos para determinar qual papel conceder a um usuário que não tem permissões.
Leia sobre as outras ferramentas do Policy Intelligence, que ajudam você a entender e gerenciar suas políticas para melhorar proativamente a configuração de segurança.