Risolvere i problemi relativi ai criteri e all'accesso

Questo documento fornisce una panoramica dei controlli di applicazione dei criteri di accesso di Google Cloud e degli strumenti disponibili per la risoluzione dei problemi di accesso. Questo documento è rivolto ai team di assistenza che vogliono aiutare i clienti della propria organizzazione a risolvere i problemi relativi all'accesso alle risorse di Google Cloud.

Controlli per l'applicazione dei criteri di accesso di Google Cloud

Questa sezione descrive i criteri che tu o l'amministratore della tua organizzazione potete implementare per influire sull'accesso alle risorse Google Cloud. Implementa i criteri di accesso utilizzando tutti o alcuni dei seguenti prodotti e strumenti.

Etichette, tag e tag di rete

Google Cloud offre diversi modi per etichettare e raggruppare le risorse. Per applicare i criteri puoi utilizzare etichette, tag e tag di rete.

Le etichette sono coppie chiave-valore che consentono di organizzare le risorse Google Cloud. Molti servizi Google Cloud supportano le etichette. Puoi utilizzare le etichette anche per filtrare e raggruppare le risorse per altri casi d'uso, ad esempio per identificare tutte le risorse che si trovano in un ambiente di test e non in produzione. Nel contesto dell'applicazione dei criteri, le etichette possono identificare la posizione delle risorse. Ad esempio, i criteri di accesso che applichi alle risorse etichettate come test sono diversi da quelli che applichi alle risorse etichettate come risorse di produzione.

I tag sono coppie chiave-valore che forniscono un meccanismo per identificare le risorse e applicare il criterio. Puoi collegare i tag a un'organizzazione, a una cartella o a un progetto. Un tag viene applicato a tutte le risorse al livello gerarchico a cui è applicato. Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri di accesso a seconda che una risorsa abbia un tag specifico. Puoi anche utilizzare tag con criteri firewall per controllare il traffico in una rete Virtual Private Cloud (VPC). Comprendere in che modo i tag vengono ereditati e combinati con i criteri di accesso e firewall è importante per la risoluzione dei problemi.

I tag di rete sono diversi dai precedenti tag di Resource Manager. I tag di rete si applicano alle istanze VM e sono un altro modo per controllare il traffico di rete da e verso una VM. Nelle reti Google Cloud, i tag di rete identificano le VM soggette a regole firewall e route di rete. Puoi usare i tag di rete come valori di origine e di destinazione nelle regole firewall. Puoi anche usare i tag di rete per identificare a quali VM si applica una determinata route. La comprensione dei tag di rete può aiutarti a risolvere i problemi di accesso perché i tag di rete vengono utilizzati per definire le regole di rete e di routing.

Regole firewall VPC

Puoi configurare regole firewall VPC per consentire o negare il traffico da e verso le istanze di macchine virtuali (VM) e i prodotti basati su VM. Ogni rete VPC funziona come un firewall distribuito. Sebbene le regole firewall VPC siano definite a livello di rete, le connessioni vengono consentite o negate a livello di istanza. Puoi applicare regole firewall VPC alla rete VPC, alle VM raggruppate per tag e alle VM raggruppate per account di servizio.

Controlli di servizio VPC

Controlli di servizio VPC offre una soluzione di sicurezza perimetrale che aiuta a mitigare l'esfiltrazione di dati dai servizi Google Cloud come Cloud Storage e BigQuery. Puoi creare un perimetro di servizio che definisca un confine di sicurezza intorno alle risorse Google Cloud e potrai gestire i contenuti consentiti in entrata e uscita al perimetro. I Controlli di servizio VPC forniscono inoltre controlli di accesso sensibili al contesto implementando criteri basati su attributi contestuali, come indirizzo IP e identità.

Resource Manager

Puoi utilizzare Resource Manager per configurare una risorsa organizzazione. Resource Manager fornisce strumenti che consentono di mappare la propria organizzazione e il modo in cui si sviluppano applicazioni a una gerarchia delle risorse. Oltre ad aiutarti a raggruppare le risorse in modo logico, Resource Manager fornisce punti di collegamento ed ereditarietà per i criteri dell'organizzazione e di controllo dell'accesso dell'accesso.

Identity and Access Management

Identity and Access Management (IAM) consente di definire chi (identità) ha un determinato accesso (ruolo) per quale risorsa. Un criterio IAM è una raccolta di istruzioni che definisce chi dispone di un determinato tipo di accesso, ad esempio accesso in lettura o scrittura. Il criterio IAM è associato a una risorsa e il criterio applica il controllo dell'accesso ogni volta che un utente tenta di accedere alla risorsa.

Una funzionalità di IAM sono le Condizioni IAM. Quando implementi le condizioni IAM nella definizione dei criteri, puoi scegliere di concedere alle identità (entità) l'accesso alle risorse solo se sono soddisfatte le condizioni configurate. Ad esempio, puoi utilizzare le condizioni IAM per limitare l'accesso alle risorse solo per i dipendenti che effettuano richieste dalla sede aziendale.

Servizio Criteri dell'organizzazione

Il servizio Criteri dell'organizzazione consente di applicare vincoli sulle risorse supportate in tutta la gerarchia dell'organizzazione. Ogni risorsa supportata dai criteri dell'organizzazione ha un insieme di vincoli che descrivono i modi in cui è possibile limitare la risorsa. Devi definire un criterio che definisce regole specifiche che limitano la configurazione delle risorse.

In qualità di amministratore autorizzato, il Servizio Criteri dell'organizzazione consente di eseguire l'override dei criteri predefiniti dell'organizzazione a livello di cartella o progetto, come richiesto. I criteri dell'organizzazione si concentrano sul modo in cui configuri le risorse, mentre i criteri IAM si concentrano sulle autorizzazioni concesse alle identità per queste risorse.

Quote

Google Cloud applica le quote alle risorse, il che imposta un limite alla quantità di una particolare risorsa Google Cloud che il progetto può utilizzare. Anche il numero di progetti di cui disponi è soggetto a una quota. I seguenti tipi di utilizzo delle risorse sono limitati dalle quote:

  • Quota di frequenza, ad esempio le richieste API al giorno. Questa quota viene reimpostata dopo un intervallo di tempo specificato, ad esempio un minuto o un giorno.
  • Quota di allocazione, ad esempio il numero di macchine virtuali o bilanciatori del carico utilizzati dal progetto. Questa quota non viene reimpostata nel tempo. Una quota di allocazione deve essere rilasciata esplicitamente quando non vuoi più utilizzare la risorsa, ad esempio eliminando un cluster Google Kubernetes Engine (GKE).

Se raggiungi un limite di quota di allocazione, non puoi avviare nuove risorse. Se raggiungi una quota di frequenza, non puoi completare le richieste API. Entrambi questi problemi possono essere considerati come problemi di accesso.

Chrome Enterprise Premium

Chrome Enterprise Premium utilizza vari prodotti Google Cloud per applicare uncontrollo dell'accessoo granulare in base all'identità dell'utente e al contesto della richiesta. Puoi configurare Chrome Enterprise Premium per limitare l'accesso alla console Google Cloud e alle API Google Cloud.

La protezione dell'accesso a Chrome Enterprise Premium funziona utilizzando i seguenti servizi Google Cloud:

  • Identity-Aware Proxy (IAP): un servizio che verifica l'identità dell'utente e utilizza il contesto per determinare se a un utente deve essere concesso l'accesso a una risorsa.
  • IAM: il servizio di gestione e autorizzazione delle identità per Google Cloud.
  • Gestore contesto accesso: un motore delle regole che consente controllo dell'accesso granulare.
  • Verifica endpoint: un'estensione di Google Chrome che raccoglie i dettagli dei dispositivi degli utenti.

Motore per suggerimenti IAM

IAM include strumenti di Policy Intelligence che forniscono una serie completa di indicazioni proattive per aiutarti a migliorare l'efficienza e la sicurezza durante l'utilizzo di Google Cloud. Le azioni consigliate ti vengono fornite tramite notifiche nella console, che puoi applicare direttamente o utilizzando un evento inviato a un argomento Pub/Sub.

Il motore per suggerimenti IAM fa parte della suite Policy Intelligence e puoi utilizzarlo per applicare il principio del privilegio minimo. Il motore per suggerimenti confronta le concessioni dei ruoli a livello di progetto con le autorizzazioni utilizzate da ogni entità negli ultimi 90 giorni. Se concedi un ruolo a livello di progetto a un'entità che non utilizza tutte le autorizzazioni del ruolo, il motore per suggerimenti potrebbe consigliare di revocare il ruolo. Se necessario, il motore per suggerimenti consiglia anche ruoli meno permissivi come sostituzione.

Se applichi automaticamente un suggerimento, puoi inavvertitamente causare la negazione dell'accesso a una risorsa a un account utente o di servizio. Se decidi di utilizzare le automazioni, segui le best practice del motore per suggerimenti IAM per decidere quanta automazione vuoi utilizzare.

Spazi dei nomi Kubernetes e RBAC

Kubernetes è gestito come servizio gestito su Google Cloud come Google Kubernetes Engine (GKE). GKE può applicare criteri coerenti indipendentemente da dove è in esecuzione il cluster GKE. I criteri che influiscono sull'accesso alle risorse sono una combinazione di controlli Kubernetes integrati e controlli specifici di Google Cloud.

Oltre ai firewall VPC e ai Controlli di servizio VPC, GKE utilizza gli spazi dei nomi, il controllo controllo dell'accesso basato sui ruoli (RBAC) e le identità dei carichi di lavoro per gestire i criteri che influiscono sull'accesso alle risorse.

Spazi dei nomi

Gli spazi dei nomi sono cluster virtuali supportati dallo stesso cluster fisico e forniscono un ambito per i nomi. I nomi delle risorse devono essere univoci all'interno di uno spazio dei nomi, ma puoi usare lo stesso nome. Consentono di utilizzare le quote delle risorse per dividere le risorse del cluster tra più utenti.

RBAC

RBAC include le seguenti funzionalità:

  • Controllo granulare sul modo in cui gli utenti accedono alle risorse API in esecuzione sul cluster.
    • Consente di creare criteri dettagliati che definiscono le operazioni e le risorse a cui possono accedere utenti e account di servizio.
    • Controlla l'accesso per gli account Google, gli account di servizio Google Cloud e gli account di servizio Kubernetes.
  • Consente di creare autorizzazioni RBAC che si applicano all'intero cluster o a spazi dei nomi specifici all'interno del cluster.
    • Le autorizzazioni a livello di cluster sono utili per limitare l'accesso a risorse API specifiche per determinati utenti. Queste risorse API includono secret e criteri di sicurezza.
    • Le autorizzazioni specifiche dello spazio dei nomi sono utili se, ad esempio, hai più gruppi di utenti che operano all'interno dei rispettivi spazi dei nomi. RBAC può aiutarti a garantire che gli utenti abbiano accesso alle risorse del cluster solo all'interno del loro spazio dei nomi.
  • Un ruolo che può essere utilizzato solo per concedere l'accesso alle risorse all'interno di un singolo spazio dei nomi.
  • Un ruolo che contiene regole che rappresentano un insieme di autorizzazioni. Le autorizzazioni sono puramente cumulative e non esistono regole di negazione.

IAM e Kubernetes RBAC sono integrati in modo che gli utenti siano autorizzati a eseguire azioni se dispongono di autorizzazioni sufficienti secondo uno dei due strumenti.

La Figura 1 mostra come utilizzare IAM con RBAC e spazi dei nomi per implementare i criteri.

Figura 1. IAM e Kubernetes RBAC lavorano insieme per controllare l'accesso a un cluster GKE.

La Figura 1 mostra le seguenti implementazioni dei criteri:

  1. A livello di progetto, IAM definisce i ruoli che consentono agli amministratori di cluster di gestire i cluster e di consentire agli sviluppatori di container di accedere alle API all'interno dei cluster.
  2. A livello di cluster, RBAC definisce le autorizzazioni per i singoli cluster.
  3. A livello di spazio dei nomi, RBAC definisce le autorizzazioni per gli spazi dei nomi.

Workload Identity

Oltre a RBAC e IAM, devi conoscere anche l'impatto delle identità dei carichi di lavoro. Workload Identity consente di configurare un account di servizio Kubernetes in modo che agisca come account di servizio Google. Qualsiasi applicazione eseguita con l'account di servizio Kubernetes autentica automaticamente come account di servizio Google quando accede alle API Google Cloud. Questa autenticazione consente di assegnare identità e autorizzazioni granulari per le applicazioni nel tuo cluster.

Workload Identity si basa sulle autorizzazioni IAM per controllare le API Google Cloud a cui l'applicazione GKE può accedere. Ad esempio, se le autorizzazioni IAM cambiano, un'applicazione GKE potrebbe non riuscire a scrivere in Cloud Storage.

Strumenti per la risoluzione dei problemi

Questa sezione descrive gli strumenti disponibili per aiutarti a risolvere i problemi relativi ai tuoi criteri. Puoi utilizzare diversi prodotti e funzionalità per applicare una combinazione di norme. Ad esempio, puoi utilizzare firewall e subnet per gestire la comunicazione tra le risorse all'interno del tuo ambiente e all'interno di qualsiasi zona di sicurezza che hai definito. Puoi anche utilizzare IAM per limitare chi può accedere a cosa all'interno della zona di sicurezza e di qualsiasi zona dei Controlli di servizio VPC che hai definito.

Log

Quando si verifica un problema, in genere la prima cosa da fare per iniziare la risoluzione dei problemi è esaminare i log. I log di Google Cloud che forniscono insight sui problemi relativi all'accesso sono Cloud Audit Logs, il logging delle regole firewall e i log di flusso VPC.

Cloud Audit Logs

Cloud Audit Logs consiste nei seguenti flussi di audit log per ogni progetto, cartella e organizzazione: attività di amministrazione, accesso ai dati ed evento di sistema. I servizi Google Cloud scrivono le voci di audit log in questi log per aiutarti a identificare quale utente ha eseguito un'azione all'interno dei tuoi progetti Google Cloud, dove e quando.

  • I log delle attività di amministrazione contengono voci di log per le chiamate API o altre azioni di amministrazione che modificano la configurazione o i metadati delle risorse. I log delle attività di amministrazione sono sempre abilitati. Per informazioni sui prezzi e sulle quote dei log delle attività di amministrazione, consulta la panoramica di Cloud Audit Logs.
  • I log di accesso ai dati registrano le chiamate API che creano, modificano o leggono i dati forniti dall'utente. Gli audit log di accesso ai dati sono disabilitati per impostazione predefinita, ad eccezione di BigQuery. I log di accesso ai dati possono raggiungere grandi dimensioni e comportare costi. Per informazioni sui limiti di utilizzo dei log di accesso ai dati, consulta Quote e limiti. Per informazioni sui costi potenziali, consulta la pagina relativa ai prezzi.
  • I log degli eventi di sistema contengono voci di log relative a quando Compute Engine esegue un evento di sistema. Ad esempio, ogni migrazione live viene registrata come evento di sistema. Per informazioni sui prezzi e sulle quote dei log eventi di sistema, consulta la panoramica di Cloud Audit Logs.

In Cloud Logging, il campo protoPayload contiene un oggetto AuditLog che archivia i dati di audit logging. Per un esempio di voce di audit log, consulta l'esempio di voce di audit log.

Per visualizzare gli audit log delle attività di amministrazione, devi disporre del ruolo Visualizzatore log (roles/logging.viewer) o Visualizzatore di base (roles/viewer). Se possibile, seleziona il ruolo con il minor numero di privilegi necessari per completare l'attività.

Le singole voci degli audit log vengono archiviate per un periodo di tempo specificato. Per una conservazione più lunga, puoi esportare le voci di log in Cloud Storage, BigQuery o Pub/Sub. Per esportare le voci di log da tutti i progetti, le cartelle e gli account di fatturazione della tua organizzazione, puoi utilizzare le esportazioni aggregate. Le esportazioni aggregate forniscono un modo centralizzato per esaminare i log in tutta l'organizzazione.

Per utilizzare i log di controllo per la risoluzione dei problemi, segui questi passaggi:

  • Assicurati di disporre dei ruoli IAM richiesti per visualizzare i log. Se esporti i log, avrai bisogno anche delle autorizzazioni per visualizzare i log esportati nel sink.
  • Segui le best practice per l'utilizzo degli audit log per definire la tua strategia di audit.
  • Seleziona una strategia per il team per visualizzare i log. In Cloud Audit Logs esistono diversi modi per visualizzare i log e tutti i membri del team per la risoluzione dei problemi devono utilizzare lo stesso metodo.
  • Utilizza la pagina Attività della console Google Cloud per avere una visione d'insieme dei log delle attività.
  • Visualizza i log esportati dal sink in cui sono stati esportati. I log che si trovano al di fuori del periodo di conservazione sono visibili solo nel sink. Puoi utilizzare i log esportati anche per eseguire un'indagine comparativa, ad esempio fino a un momento in cui tutto ha funzionato come previsto.

Logging delle regole firewall

Il logging delle regole firewall consente di controllare, verificare e analizzare gli effetti delle regole firewall. Ad esempio, puoi determinare se una regola firewall progettata per negare il traffico funziona come previsto.

Puoi abilitare il logging delle regole firewall singolarmente per ogni regola firewall di cui devi registrare le connessioni. Il logging delle regole firewall è un'opzione per qualsiasi regola firewall, indipendentemente dall'azione (consenti o negati) o dalla direzione (in entrata o in uscita) della regola. Il logging delle regole firewall può generare molti dati. Il logging delle regole firewall ha un addebito associato, quindi devi pianificare con attenzione le connessioni che vuoi registrare.

Determina dove archiviare i log del firewall. Se vuoi una visualizzazione dei log a livello di organizzazione, esporta i log del firewall nello stesso sink degli audit log. Utilizza i filtri per cercare eventi firewall specifici.

Firewall Insights

Firewall Insights fornisce report contenenti informazioni sull'utilizzo del firewall e sull'impatto di varie regole firewall sulla rete VPC. Puoi utilizzare Firewall Insights per verificare che le regole firewall consentano o blocchino le connessioni previste.

Puoi anche utilizzare Firewall Insights per rilevare le regole firewall con shadowing da parte di altre regole. Una regola con shadowing è una regola firewall in cui tutti gli attributi pertinenti, come intervallo di indirizzi IP e porte, si sovrappongono ad attributi di una o più altre regole firewall con priorità superiore o uguale. Le regole oscurate vengono calcolate entro 24 ore dall'abilitazione del logging delle regole firewall.

Quando abiliti il logging delle regole firewall, Firewall Insights analizza i log per suggerire insight per qualsiasi regola di negazione utilizzata nel periodo di osservazione specificato (per impostazione predefinita, le ultime 24 ore). Gli insight sulle regole di negazione forniscono indicatori di invio di pacchetti del firewall. Puoi utilizzare gli indicatori di esclusione dei pacchetti per verificare che i pacchetti eliminati siano previsti a causa di protezioni di sicurezza o che i pacchetti persi siano inaspettati a causa di problemi quali errori di configurazione della rete.

Log di flusso VPC

Log di flusso VPC registra un campione di flussi di rete inviati e ricevuti dalle istanze VM. I log di flusso VPC riguardano il traffico che interessa una VM. Tutto il traffico in uscita viene registrato, anche se una regola firewall di negazione in uscita blocca il traffico. Il traffico in entrata viene registrato se una regola firewall di autorizzazione in entrata consente il traffico. Il traffico in entrata non viene registrato se una regola firewall di negazione in entrata blocca il traffico.

I log di flusso vengono raccolti a intervalli specifici per ogni connessione VM. Tutti i pacchetti campionati raccolti per un determinato intervallo per una determinata connessione (un intervallo di aggregazione) vengono aggregati in un'unica voce di log di flusso. La voce del flusso di log viene quindi inviata a Cloud Logging.

Log di flusso VPC è abilitato o disabilitato per ogni subnet VPC. Quando abiliti i log di flusso VPC, vengono generati molti dati. Ti consigliamo di gestire con attenzione le subnet in cui abiliti i log di flusso VPC. Ad esempio, consigliamo di non abilitare i log di flusso per un periodo prolungato sulle subnet utilizzate dai progetti di sviluppo. Puoi eseguire una query sui log di flusso VPC direttamente utilizzando Cloud Logging o il sink esportato. Quando risolvi problemi percepiti relativi al traffico, puoi utilizzare i log di flusso VPC per verificare se il traffico lascia o entra in una VM attraverso la porta prevista.

Avvisi

Gli avvisi ti consentono di ricevere una notifica tempestiva di qualsiasi evento fuori criterio che potrebbe influire sull'accesso alle tue risorse Google Cloud.

Notifiche in tempo reale

Cloud Asset Inventory conserva una cronologia di cinque settimane dei metadati degli asset di Google Cloud. Un asset è una risorsa Google Cloud supportata. Le risorse supportate includono IAM, Compute Engine con funzionalità di rete associate come regole firewall e spazi dei nomi GKE e associazioni di ruoli e cluster. Tutte le risorse precedenti influiscono sull'accesso alle risorse Google Cloud.

Per monitorare le deviazioni dalle configurazioni delle risorse, ad esempio le regole firewall e di forwarding, puoi iscriverti alle notifiche in tempo reale. Se le configurazioni delle tue risorse cambiano, le notifiche in tempo reale inviano immediatamente una notifica tramite Pub/Sub. Le notifiche possono avvisarti di eventuali problemi in anticipo, anticipando una chiamata di assistenza.

Cloud Audit Logs e Cloud Functions

Per integrare l'uso delle notifiche in tempo reale, puoi monitorare Cloud Logging e creare avvisi per le chiamate ad azioni sensibili. Ad esempio, puoi creare un sink Cloud Logging che filtra le chiamate a SetIamPolicy a livello di organizzazione. Il sink invia i log a un argomento Pub/Sub che puoi utilizzare per attivare la funzione Cloud Functions.

Connectivity Tests

Per determinare se un problema di accesso è correlato alla rete o alle autorizzazioni, utilizza lo strumento Connectivity Tests di Network Intelligence Center. Connectivity Tests è uno strumento di analisi e diagnostica della configurazione statica che consente di verificare la connettività tra un endpoint di origine e di destinazione. Connectivity Tests consente di identificare la causa principale dei problemi di accesso relativi alla rete associati alla configurazione di rete Google Cloud.

Connectivity Tests esegue test che includono la tua rete VPC, il peering di rete VPC e i tunnel VPN alla rete on-premise. Ad esempio, Connectivity Tests potrebbe identificare che una regola firewall blocca la connettività. Per ulteriori informazioni, vedi Casi d'uso comuni.

Strumento per la risoluzione dei problemi relativi ai criteri

Molte attività in Google Cloud richiedono un ruolo IAM e le autorizzazioni associate. Ti consigliamo di verificare quali autorizzazioni sono contenute in un ruolo e controllare ogni autorizzazione richiesta per completare un'attività. Ad esempio, per utilizzare le immagini Compute Engine per creare un'istanza, un utente deve avere il ruolo compute.imageUser, che include nove autorizzazioni. Pertanto, l'utente deve disporre di una combinazione di ruoli e autorizzazioni che includano tutte e nove le autorizzazioni.

Strumento per la risoluzione dei problemi relativi ai criteri è uno strumento della console Google Cloud che ti aiuta a eseguire il debug dei motivi per cui un account utente o di servizio non è autorizzato ad accedere a una risorsa. Per risolvere i problemi di accesso, puoi utilizzare la parte IAM dello strumento per la risoluzione dei problemi relativi ai criteri.

Ad esempio, potresti voler verificare perché un determinato utente può creare oggetti nei bucket di un progetto mentre un altro utente no. Lo strumento per la risoluzione dei problemi relativi ai criteri può aiutarti a vedere quali autorizzazioni ha il primo utente che il secondo non ha.

Lo strumento per la risoluzione dei problemi relativi ai criteri richiede i seguenti input:

  • Entità (singolo utente, account di servizio o gruppi)
  • Autorizzazione (tieni presente che queste sono le autorizzazioni di base, non i ruoli IAM)
  • Risorsa

Motore per suggerimenti IAM

Sebbene il motore per suggerimenti IAM sia un controllo dell'applicazione dei criteri, come descritto nella precedente sezione Motore per suggerimenti, puoi utilizzarlo anche come strumento per la risoluzione dei problemi. Il motore per suggerimenti esegue un job giornaliero che analizza i dati dei log degli accessi IAM e le autorizzazioni concesse nei 60 giorni precedenti. Puoi utilizzare il motore per suggerimenti per verificare se un suggerimento è stato approvato e applicato di recente e che potrebbe aver influito sull'accesso di un utente a una risorsa consentita in precedenza. In questo caso, puoi concedere le autorizzazioni rimosse.

Riassegnazione all'assistenza clienti

Quando si risolvono i problemi relativi all'accesso, è importante disporre di una buona procedura di assistenza interna e di una procedura ben definita di riassegnazione all'assistenza clienti Google Cloud. In questa sezione viene descritto un esempio di configurazione dell'assistenza e come puoi comunicare con l'assistenza clienti per risolvere rapidamente i problemi.

Se non riesci a risolvere un problema utilizzando gli strumenti descritti in questo documento, una procedura di assistenza chiaramente definita aiuta l'assistenza clienti a risolvere i problemi. Ti consigliamo di adottare un approccio sistematico alla risoluzione dei problemi, come descritto nel capitolo sulla risoluzione dei problemi efficace del libro Site Reliability Engineering (SRE) di Google.

Ti consigliamo di eseguire le seguenti operazioni per la procedura di assistenza interna:

  • Descrivere le procedure da seguire in caso di problemi.
  • Definisci un percorso di riassegnazione chiaramente definito.
  • Configura una procedura di reperibilità.
  • Creare un piano di risposta agli incidenti.
  • Configurare un sistema di monitoraggio dei bug o di help desk.
  • Assicurati che il personale di supporto sia stato autorizzato a comunicare con l'assistenza clienti e che siano dei contatti denominati.
  • Comunicare al personale interno i processi di assistenza, incluse le modalità di contatto dei contatti nominati di Google Cloud.
  • Analizza regolarmente i problemi di assistenza, perfezionali e migliorali in base a quanto hai appreso.
  • Includi un formato retrospettivo standardizzato.

Se devi riassegnare una richiesta all'assistenza clienti, tieni a disposizione le seguenti informazioni da condividere con l'assistenza clienti durante la risoluzione dei problemi di accesso:

  • L'identità (email dell'account utente o di servizio) che richiede l'accesso.
    • Indica se il problema interessa tutte le identità o solo alcune.
    • Se sono interessate solo alcune identità, fornisci un'identità di esempio funzionante e un'identità di esempio in errore.
  • Se l'identità è stata ricreata di recente.
  • La risorsa a cui l'utente sta tentando di accedere (incluso l'ID progetto).
  • La richiesta o il metodo chiamato.
    • Fornisci una copia della richiesta e della risposta.
  • Le autorizzazioni concesse all'identità per questo accesso.
    • Fornisci una copia del criterio IAM.
  • L'origine (località) da cui l'identità tenta di accedere alle risorse. Ad esempio, se stanno tentando di accedere da una risorsa Google Cloud (come un'istanza Compute Engine), dalla console Google Cloud, da Google Cloud CLI, Cloud Shell o da un'origine esterna come on-premise o internet.
    • Se l'origine proviene da un altro progetto, fornisci l'ID progetto di origine.
  • Il momento (timestamp) in cui si è verificato per la prima volta l'errore e se rappresenta ancora un problema.
  • L'ultima volta nota in cui l'identità ha eseguito correttamente l'accesso alla risorsa (inclusi i timestamp).
  • Eventuali modifiche apportate prima dell'inizio del problema (inclusi i timestamp).
  • Eventuali errori registrati in Cloud Logging. Prima di condividere con l'assistenza clienti, assicurati di oscurare i dati sensibili come token di accesso, credenziali e numeri di carte di credito.

Passaggi successivi

Per altre architetture di riferimento, diagrammi e best practice, esplora il Cloud Architecture Center.