Risolvere i problemi relativi ai criteri e all'accesso

Questo documento fornisce una panoramica dei criteri di accesso a Google Cloud. i controlli dell'applicazione forzata e gli strumenti disponibili per la risoluzione dei problemi problemi di accesso. Questo documento è rivolto ai team di assistenza che vogliono aiutare i clienti della propria organizzazione per risolvere i problemi di accesso dell'accesso a specifiche risorse Google Cloud.

Controlli per l'applicazione dei criteri di accesso di Google Cloud

Questa sezione descrive i criteri che tu o l'amministratore della tua organizzazione l'implementazione che influisce sull'accesso alle tue risorse Google Cloud. Tu implementare i criteri di accesso utilizzando tutti o alcuni dei seguenti prodotti e tools.

Etichette, tag e tag di rete

Google Cloud offre diverse modi per etichettare e raggruppare le risorse. Per applicare i criteri puoi utilizzare etichette, tag e tag di rete.

Etichette sono coppie chiave/valore che aiutano a organizzare le risorse Google Cloud. Molti servizi Google Cloud etichette di supporto. Puoi utilizzare le etichette anche per filtrare e raggruppare le risorse per altre casi d'uso, ad esempio per identificare tutte le risorse che si trovano in un dell'ambiente di lavoro rispetto alle risorse in produzione. Nel contesto dell'applicazione dei criteri, le etichette possono identificare la posizione delle risorse. Per Ad esempio, i criteri di accesso che applichi alle risorse etichettate come test sono diversi dai criteri di accesso che applichi alle risorse etichettate come risorse di produzione.

Tag sono coppie chiave-valore che forniscono un meccanismo di identificazione delle risorse l'applicazione del criterio. Puoi collegare i tag a un'organizzazione, a una cartella o a un progetto. R si applica a tutte le risorse al livello gerarchico a cui è applicato il tag. Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri di accesso a seconda che si tratti di: una risorsa ha un tag specifico. Puoi anche Utilizzare tag con criteri firewall per controllare in una rete Virtual Private Cloud (VPC). Capire come i tag vengono ereditati e combinati con l'accesso e il firewall è importante per la risoluzione dei problemi.

Tag di rete sono diversi dai precedenti tag di Resource Manager. I tag di rete si applicano alla VM e sono un altro modo per controllare il traffico di rete da una VM. Sulle reti Google Cloud, i tag di rete identificano quali VM soggetto a regole firewall e route di rete. Puoi utilizzare i tag di rete come origine e di destinazione nelle regole firewall. Puoi anche usare i tag di rete identificare le VM a cui si applica una determinata route. Comprendere i tag di rete di aiutarti a risolvere i problemi di accesso, perché i tag di rete sono usati per definire di rete e di routing.

Regole firewall VPC

Puoi configurare Regole firewall VPC per consentire o negare il traffico da e verso le tue istanze di macchine virtuali (VM) e prodotti basati sulle VM. Ogni rete VPC funziona come un firewall distribuito. Anche se le regole firewall VPC sono definite a livello di rete, le connessioni vengono consentite o negate a livello di istanza. Puoi applicare regole firewall VPC al VPC rete, VM raggruppate per tag e VM raggruppate per account di servizio.

Controlli di servizio VPC

Controlli di servizio VPC offre una soluzione di sicurezza perimetrale che aiuta a mitigare l'esfiltrazione di dati dai servizi Google Cloud come Cloud Storage e BigQuery. Crei un perimetro di servizio che crea un confine di sicurezza dalle risorse Google Cloud e puoi gestire ciò che è consentito lungo il perimetro. I Controlli di servizio VPC forniscono inoltre un accesso sensibile al contesto controlli mediante l'implementazione di criteri basati su attributi contestuali come indirizzo e identità.

Resource Manager

Utilizzi Gestione delle risorse per configurare organizzazione risorsa. Resource Manager offre strumenti che ti consentono di mappare la tua organizzazione e il modo in cui sviluppi applicazioni gerarchia delle risorse. Oltre ad aiutarti a raggruppare le risorse in modo logico, Resource Manager fornisce i punti di collegamento e l'ereditarietà per i criteri dell'organizzazione e di controllo dell'accesso.

Identity and Access Management

Identity and Access Management (IAM) consente di definire chi (identità) ha un determinato accesso (ruolo) per quale risorsa. Un Criterio IAM è una raccolta di istruzioni che definisce chi ha un determinato tipo di accesso, come l'accesso in lettura o scrittura. Il criterio IAM è collegato a una risorsa e il criterio applica il controllo dell'accesso ogni volta che un utente tenta di accedere al risorsa.

Una funzionalità di IAM è Condizioni IAM. Quando implementi le condizioni IAM nella definizione dei criteri, puoi scegli di concedere alle identità (entità) l'accesso alle risorse solo se configurato che le condizioni siano soddisfatte. Ad esempio, puoi utilizzare le condizioni IAM per limitare l'accesso alle risorse solo per i dipendenti che effettuano richieste dalla sede aziendale.

Servizio Criteri dell'organizzazione

La Servizio Criteri dell'organizzazione consente di applicare vincoli risorse supportate nella gerarchia dell'organizzazione. Ogni risorsa specificata dal criterio dell'organizzazione supporta un insieme di vincoli che descrivono i modi in cui la risorsa può limitato. Devi definire un criterio che definisce regole specifiche che limitano configurazione delle risorse.

Il Servizio Criteri dell'organizzazione ti consente, in qualità di amministratore autorizzato, di ignorare l'impostazione predefinita dei criteri dell'organizzazione a livello di cartella o progetto, in base alle esigenze. Organizzazione si concentrano sulla configurazione delle risorse, mentre i criteri IAM concentrati sulle autorizzazioni concesse a questi Google Cloud.

Quote

Google Cloud applica le quote di risorse, il che fissa un limite sulla quantità di risorse Risorsa Google Cloud utilizzabile dal progetto. Il numero di progetti che a sua volta è soggetto a una quota. Di seguito sono riportati i tipi di utilizzo delle risorse limitati dalle quote:

  • Quota di frequenza, ad esempio le richieste API al giorno. Questa quota viene reimpostata dopo all'ora specificata, ad esempio un minuto o un giorno.
  • Quota di allocazione, ad esempio il numero di macchine virtuali o il carico utilizzati dal tuo progetto. Questa quota non viene reimpostata nel tempo. Un la quota di allocazione deve essere rilasciata esplicitamente la risorsa, ad esempio eliminando un cluster Google Kubernetes Engine (GKE).

Se raggiungi un limite di quota di allocazione, non puoi avviare nuove risorse. Se raggiungono una quota di frequenza, non puoi completare le richieste API. Entrambi questi problemi possono potrebbe essere un problema di accesso.

Chrome Enterprise Premium

Chrome Enterprise Premium utilizza vari prodotti Google Cloud per applicare un controllo granulare degli accessi in base all'identità dell'utente e al contesto della richiesta. Puoi configurare Da Chrome Enterprise Premium a limitare l'accesso alla console Google Cloud e alle API Google Cloud.

Protezione dell'accesso a Chrome Enterprise Premium funziona utilizzando i seguenti servizi Google Cloud:

  • Identity-Aware Proxy (IAP): Un servizio che verifica l'identità dell'utente e utilizza il contesto per determinare se a un utente deve essere concesso l'accesso a una risorsa.
  • IAM: Il servizio di gestione e autorizzazione delle identità per Google Cloud.
  • Gestore contesto accesso: Un motore delle regole che consente un controllo dell'accesso granulare.
  • Verifica degli endpoint: Un'estensione di Google Chrome che raccoglie i dettagli del dispositivo dell'utente.

Motore per suggerimenti IAM

IAM include Policy Intelligence che offrono una serie completa di indicazioni proattive per aiutarti per una maggiore efficienza e sicurezza nell'uso di Google Cloud. Consigliate azioni vengono fornite tramite notifiche nella console, che puoi si applicano direttamente o utilizzando un evento inviato a un argomento Pub/Sub.

Motore per suggerimenti IAM fa parte della suite Policy Intelligence e puoi utilizzarla per e applicare il principio del privilegio minimo. Il motore per suggerimenti confronta concessioni del ruolo a livello di progetto con le autorizzazioni utilizzate da ogni entità durante gli ultimi 90 giorni. Se concedi un ruolo a livello di progetto a un'entità dell'entità non utilizza tutte le autorizzazioni del ruolo Il motore per suggerimenti potrebbe consigliare di revocare il ruolo. Se necessario, il motore per suggerimenti consiglia anche ruoli meno permissivi sostituzione.

Se applichi automaticamente un consiglio, è possibile che un utente a un account di servizio o a un account di servizio. Se decidi di utilizzare utilizzare le automazioni Best practice del motore per suggerimenti IAM per aiutarti a decidere il livello di automazione che ritieni adeguato.

Spazi dei nomi Kubernetes e RBAC

Kubernetes è gestito come servizio gestito su Google Cloud Google Kubernetes Engine (GKE). GKE può applicare criteri sono coerenti indipendentemente da dove è in esecuzione il cluster GKE. I criteri che influiscono sull'accesso alle risorse sono una combinazione di criteri controlli Kubernetes e controlli specifici di Google Cloud.

Oltre ai firewall VPC e ai Controlli di servizio VPC, GKE utilizza gli spazi dei nomi, controllo controllo dell'accesso basato sui ruoli (RBAC), e le identità dei carichi di lavoro per gestire i criteri che influiscono sull'accesso alle risorse.

Spazi dei nomi

Spazi dei nomi sono cluster virtuali supportati dallo stesso cluster fisico e indica un ambito per i nomi. I nomi delle risorse devono essere univoci all'interno di uno spazio dei nomi ma puoi utilizzare lo stesso nome in spazi dei nomi diversi. Gli spazi dei nomi consentono di quote delle risorse per dividere le risorse del cluster tra più utenti.

RBAC

RBAC include le seguenti funzionalità:

  • Controllo granulare sul modo in cui gli utenti accedono alle risorse API che sono in esecuzione sul cluster.
    • Consente di creare criteri dettagliati che definiscono quali operazioni e le risorse a cui consenti l'accesso a utenti e account di servizio.
    • Può controllare l'accesso per gli Account Google e Google Cloud e gli account di servizio Kubernetes.
  • Consente di creare autorizzazioni RBAC che si applicano all'intero cluster o a a spazi dei nomi specifici all'interno del tuo cluster.
    • Le autorizzazioni a livello di cluster sono utili per limitare l'accesso a specifiche di risorse API per determinati utenti. Queste risorse API includono e i tuoi segreti.
    • Le autorizzazioni specifiche dello spazio dei nomi sono utili se, ad esempio, hai più gruppi di utenti che operano all'interno del proprio rispettivi spazi dei nomi. RBAC può aiutarti a garantire che gli utenti abbiano solo alle risorse del cluster all'interno del proprio spazio dei nomi.
  • un ruolo che può essere utilizzato solo per concedere l'accesso alle risorse all'interno di un con un singolo spazio dei nomi.
  • Un ruolo che contiene regole che rappresentano un insieme di autorizzazioni. Le autorizzazioni sono puramente cumulative e non esistono regole di negazione.

IAM e Kubernetes RBAC sono integrati in modo che gli utenti autorizzati a eseguire azioni se dispongono di autorizzazioni sufficienti secondo uno dei due.

La figura 1 mostra come utilizzare IAM con RBAC e per implementare i criteri.

Figura 1. IAM e Kubernetes RBAC lavorano insieme per controllare l'accesso in un cluster GKE.

La Figura 1 mostra le seguenti implementazioni dei criteri:

  1. A livello di progetto, IAM definisce i ruoli per il cluster di gestire i cluster e consentire agli sviluppatori di container di accedere all'interno dei cluster.
  2. A livello di cluster, RBAC definisce le autorizzazioni per i singoli cluster.
  3. A livello di spazio dei nomi, RBAC definisce le autorizzazioni per gli spazi dei nomi.

Workload Identity

Oltre a RBAC e IAM, devi conoscere anche dell'impatto delle identità dei carichi di lavoro. Identità carico di lavoro consente di configurare Account di servizio Kubernetes di agire come un Account di servizio Google. Qualsiasi applicazione eseguita automaticamente come account di servizio Kubernetes esegue l'autenticazione come account di servizio Google quando accede a Google Cloud su quelle di livello inferiore. Questa autenticazione ti consente di assegnare per le applicazioni nel tuo cluster.

Workload Identity si basa sulle autorizzazioni IAM per controllare API Google Cloud a cui può accedere l'applicazione GKE. Ad esempio, se le autorizzazioni IAM cambiano, dell'applicazione GKE potrebbe non essere in grado di scrivere di archiviazione ideale in Cloud Storage.

Strumenti per la risoluzione dei problemi

Questa sezione descrive gli strumenti disponibili per aiutarti a risolvere i problemi i tuoi criteri. Puoi utilizzare diversi prodotti e funzionalità per applicare combinazione di criteri. Ad esempio, puoi usare firewall e subnet gestire la comunicazione tra le risorse all'interno del tuo ambiente e le zone di sicurezza che hai definito. Puoi anche utilizzare IAM limita chi può accedere a cosa all'interno della zona di sicurezza Zone di Controlli di servizio VPC che hai definito.

Log

Quando si verifica un problema, in genere il primo modo per iniziare a risolvere i problemi è e consulta i log. I log di Google Cloud che forniscono insight i problemi relativi all'accesso sono Cloud Audit Logs, Firewall Rules Logging e Log di flusso VPC.

Cloud Audit Logs

Audit log di Cloud consiste dei seguenti flussi di audit log per ogni progetto, cartella organizzazione: attività di amministrazione, accesso ai dati ed evento di sistema. Google Cloud scrivono le voci degli audit log in questi log per aiutarti a identificare gli utenti ha eseguito un'azione nei progetti Google Cloud, dove e quando.

  • I log delle attività di amministrazione contengono voci di log per le chiamate API o altri azioni amministrative che modificano la configurazione o i metadati Google Cloud. I log delle attività di amministrazione sono sempre abilitati. Per informazioni su I prezzi e le quote dei log delle attività di amministrazione, consulta Panoramica di Cloud Audit Logs.
  • I log di accesso ai dati registrano le chiamate API che creano, modificano o leggono forniti dall'utente. Gli audit log di accesso ai dati sono disabilitati per impostazione predefinita, ad eccezione di per BigQuery. I log di accesso ai dati possono diventare grandi e possono comportare dei costi. Per informazioni sui limiti di utilizzo dei log di accesso ai dati, consulta Quote e limiti. Per informazioni sui potenziali costi, consulta Prezzi.
  • I log degli eventi di sistema contengono voci di log relative al momento in cui Compute Engine automaticamente un evento di sistema. Ad esempio, ogni migrazione live viene registrato come evento di sistema. Per informazioni sui log degli eventi di sistema prezzi e quote, consulta Panoramica di Cloud Audit Logs.

Nel Cloud Logging il campo protoPayload contiene AuditLog in cui sono archiviati i dati dell'audit logging. Per un esempio di voce di audit log, vedi il voce dell'audit log di esempio.

Per visualizzare Audit log delle attività di amministrazione devi disporre del ruolo Visualizzatore log (roles/logging.viewer) o del ruolo di base Ruolo Visualizzatore (roles/viewer). Se possibile, seleziona il ruolo con il privilegi necessari per completare l'attività.

Le singole voci di audit log vengono archiviate per specificato come periodo di tempo. Per una conservazione più lunga, puoi esportare le voci di log in Cloud Storage, BigQuery o Pub/Sub. Per esportare le voci di log da tutti i progetti, le cartelle e gli account di fatturazione della tua organizzazione, puoi utilizzare esportazioni aggregate. Le esportazioni aggregate forniscono un modo centralizzato per esaminare i log in dell'organizzazione.

Per utilizzare i log di controllo per la risoluzione dei problemi, segui questi passaggi:

  • Assicurati di disporre dei ruoli IAM richiesti per visualizzare logaritmi. Se esporti i log, devi avere anche le autorizzazioni per visualizza i log esportati nel lavandino.
  • Segui le best practice per l'utilizzo degli audit log in linea con la tua strategia di audit.
  • Seleziona una strategia per il team per visualizzare i log. Esistono vari modi per visualizzare i log in Cloud Audit Logs e tutti i membri del tuo team per la risoluzione dei problemi deve utilizzare lo stesso metodo.
  • Utilizza la Pagina Attività della console Google Cloud per avere una visione d'insieme dei log delle attività.
  • Visualizza i log esportati dal sink in cui sono stati esportati. Registra che sono al di fuori del periodo di conservazione sono visibili solo nel sink. Puoi anche utilizzare i log esportati per eseguire un'indagine comparativa, ad esempio in un periodo quando tutto ha funzionato come previsto.

Logging delle regole firewall

Logging delle regole firewall consente di controllare, verificare e analizzare gli effetti delle regole firewall. Per Ad esempio, puoi determinare se una regola firewall progettata per negare il traffico funziona come previsto.

Puoi abilitare il logging delle regole firewall singolarmente per ogni regola firewall di cui devi registrare le connessioni. Il logging delle regole firewall è un'opzione per qualsiasi regola firewall, indipendentemente dall'azione (consenti/nega) o dalla direzione (in entrata o in uscita) della regola. Il logging delle regole firewall può generare molti dati. Il logging delle regole firewall è a pagamento quindi devi pianificare con attenzione le connessioni che vuoi log.

Determina dove archiviare i log del firewall. Se desideri dei log a livello di organizzazione, esporta i log dei firewall nello stesso sink come audit log. Utilizza le funzionalità di filtri per cercare eventi firewall specifici.

Firewall Insights

Approfondimenti sul firewall fornisce report contenenti informazioni sull'utilizzo del firewall e sull'impatto regole firewall sulla tua rete VPC. Puoi utilizzare Firewall Insights per verificare che le regole firewall consentano o blocchino le connessioni previste.

Puoi anche usare Firewall Insights per rilevare le regole firewall che sono oscurate da altre regole. Una regola con shadowing è una regola firewall che ha tutte dei suoi attributi pertinenti, come l'intervallo di indirizzi IP e le porte, sovrapposti di una o più altre regole firewall che hanno un valore maggiore o uguale la priorità. Le regole oscurate vengono calcolate entro 24 ore dall'attivazione Logging delle regole firewall.

Quando abiliti il logging delle regole firewall, Firewall Insights analizza i log per suggerire insight per qualsiasi regola di negazione utilizzata il periodo di osservazione specificato (per impostazione predefinita, le ultime 24 ore). Il rifiuto gli insight sulle regole forniscono indicatori di abbandono dei pacchetti del firewall. Puoi utilizzare lo di pacchetti drop per verificare che i pacchetti eliminati siano previsti a causa di sicurezza o che la perdita di pacchetti è inaspettata a causa di problemi quali per configurazioni errate di rete.

Log di flusso VPC

Log di flusso VPC registra un campione di flussi di rete inviati e ricevuti dalle istanze VM. I log di flusso VPC riguardano il traffico che interessa una VM. Tutto il traffico in uscita (in uscita) viene registrato, anche se una regola firewall di negazione in uscita blocca per via del traffico. Il traffico in entrata viene registrato se esiste una regola firewall di autorizzazione in entrata che consenta il traffico. Il traffico in entrata non viene registrato se un firewall di negazione in entrata che blocca il traffico.

I log di flusso vengono raccolti a intervalli specifici per ogni connessione VM. Tutti i pacchetti campionati raccolti per un determinato intervallo e per una determinata connessione, un'aggregazione vengono aggregati in una singola voce di log di flusso. La voce del flusso di log viene quindi inviato a Cloud Logging.

Log di flusso VPC è abilitato o disabilitato per ogni subnet VPC. Quando abilitando log di flusso VPC, vengono generati molti dati. I nostri suggerimenti devi gestire con attenzione le subnet alle quali abiliti i log di flusso VPC attiva. Ad esempio, ti consigliamo di non abilitare i log di flusso per un sulle subnet utilizzate dai progetti di sviluppo. Puoi Log di flusso VPC delle query direttamente mediante Cloud Logging o il sink esportato. Quando risolvi i problemi percepiti problemi correlati al traffico, puoi utilizzare i log di flusso VPC per se il traffico entra o esce da una VM attraverso la porta prevista.

Avvisi

Gli avvisi ti consentono di ricevere notifiche tempestive di qualsiasi evento fuori norma che potrebbe senza incidere sull'accesso alle tue risorse Google Cloud.

Notifiche in tempo reale

Cloud Asset Inventory conserva una cronologia di cinque settimane di Google Cloud risorsa metadati. Una risorsa è un risorsa Google Cloud supportata. Le risorse supportate includono IAM, Compute Engine con le funzionalità di rete associate, come le regole firewall e GKE e associazioni di ruoli e ruoli cluster. Tutte le risorse precedenti ne influenzano l'accesso alle risorse Google Cloud.

per monitorare le deviazioni dalle configurazioni delle risorse, ad esempio le regole firewall. e le regole di forwarding, puoi iscriverti notifiche in tempo reale. Se le configurazioni delle risorse cambiano, le notifiche in tempo reale inviano immediatamente una notifica tramite Pub/Sub Le notifiche possono avvisarti di eventuali problemi in anticipo, anticipando una chiamata di assistenza.

Cloud Audit Logs e Cloud Functions

Per integrare l'uso delle notifiche in tempo reale, puoi monitorare Cloud Logging e avvisa in caso di chiamate ad azioni sensibili. Ad esempio, puoi crea un Sink di Cloud Logging che filtri chiamate al SetIamPolicy a livello di organizzazione. Il sink invia i log a un Argomento Pub/Sub che puoi utilizzare per attivare funzione Cloud Functions.

Connectivity Tests

Per determinare se un problema di accesso è legato alla rete o alle autorizzazioni, utilizza il Network Intelligence Center Test di connettività lo strumento a riga di comando gcloud. Connectivity Tests è uno strumento di analisi della configurazione statica strumento di diagnostica che consente di verificare la connettività tra origine e endpoint di destinazione. Connectivity Tests consente di identificare la radice problemi di accesso relativi alla rete associati ai tuoi configurazione di rete di Google Cloud.

Connectivity Tests esegue test che includono la tua rete VPC, peering di rete VPC e tunnel VPN alla rete on-premise. Ad esempio: Connectivity Tests potrebbe rilevare che una regola firewall sta bloccando il traffico e la connettività privata. Per ulteriori informazioni, vedi Casi d'uso comuni.

Strumento per la risoluzione dei problemi relativi ai criteri

Molte attività in Google Cloud richiedono un ruolo IAM alle autorizzazioni associate. Ti consigliamo di verificare quali sono le autorizzazioni contenuti in un ruolo e controlla ogni autorizzazione richiesta completare un'attività. Ad esempio, per utilizzare le immagini Compute Engine per creare Ad esempio, un utente ha bisogno compute.imageUser che include nove autorizzazioni. Pertanto, l'utente deve avere un combinazione di ruoli e autorizzazioni che include tutte e nove le autorizzazioni.

Strumento per la risoluzione dei problemi relativi ai criteri è uno strumento della console Google Cloud che ti aiuta a eseguire il debug del motivo per cui un utente o un servizio. non dispone dell'autorizzazione per accedere a una risorsa. Per risolvere i problemi di accesso per risolvere i problemi, usa la parte IAM Strumento per la risoluzione dei problemi relativi ai criteri.

Ad esempio, potresti voler verificare perché un determinato utente può creare oggetti nei bucket di un progetto, mentre un altro utente non può farlo. La Lo strumento per la risoluzione dei problemi relativi ai criteri può aiutarti a capire quali autorizzazioni sono state concesse per prima l'utente dispone di ciò che il secondo utente non ha.

Lo strumento per la risoluzione dei problemi relativi ai criteri richiede i seguenti input:

  • Entità (singolo utente, account di servizio o gruppi)
  • Autorizzazione (ricorda che queste sono le autorizzazioni di base, non le ruoli IAM)
  • Risorsa

Motore per suggerimenti IAM

Sebbene il motore per suggerimenti IAM sia un'applicazione forzata dei criteri come descritto nel Sezione Motore per suggerimenti, puoi anche come strumento per la risoluzione dei problemi. Il motore per suggerimenti esegue un job giornaliero che analizza i dati dei log degli accessi IAM e le autorizzazioni concesse dei 60 giorni precedenti. Puoi utilizzare il motore per suggerimenti per controllare se un consiglio è stato approvato e applicato di recente e potrebbe ha influito sull'accesso di un utente a una risorsa consentita in precedenza. In questo caso, puoi concedere le autorizzazioni rimosse.

Riassegnazione all'assistenza clienti

Quando risolvi i problemi relativi all'accesso, è importante avere una buona una procedura di assistenza interna e una procedura ben definita di riassegnazione Assistenza clienti Google Cloud. Questa sezione descrive un esempio di configurazione dell'assistenza e di come puoi comunicare con Assistenza clienti per aiutarli a risolvere rapidamente i problemi.

Se non riesci a risolvere un problema utilizzando gli strumenti descritti in documento, una procedura di assistenza chiaramente definita aiuta l'assistenza clienti risolvere i problemi. Ti consigliamo di adottare un approccio sistematico risoluzione dei problemi, come descritto risoluzione dei problemi efficace capitolo del libro Site Reliability Engineering (SRE) di Google.

Ti consigliamo di eseguire le seguenti operazioni per la procedura di assistenza interna:

  • Descrivere le procedure da seguire in caso di problemi.
  • Definisci un percorso di riassegnazione chiaramente definito.
  • Configura una procedura di reperibilità.
  • Creare un piano di risposta agli incidenti.
  • Configurare un sistema di monitoraggio dei bug o di help desk.
  • Assicurati che il personale di assistenza sia autorizzato a comunicare presso l'assistenza clienti e sono i contatti denominati.
  • Comunicare al personale interno le procedure di supporto, incluse le istruzioni per contattare i contatti denominati Google Cloud.
  • Analizza regolarmente i problemi di assistenza, esegui iterazioni e migliorali in base agli aspetti che che hai imparato.
  • Includi un formato retrospettivo standardizzato.

Se devi riassegnare la richiesta all'assistenza clienti, assicurati di: informazioni disponibili da condividere con l'assistenza clienti durante la risoluzione dei problemi Problemi di accesso:

  • L'identità (email dell'account utente o di servizio) che richiede l'accesso.
    • Indica se il problema interessa tutte le identità o solo alcune.
    • Se sono interessate solo alcune identità, fornisci un'identità di esempio che e un'identità di esempio in errore.
  • Se l'identità è stata ricreata di recente.
  • La risorsa a cui l'utente sta tentando di accedere (incluso l'ID progetto).
  • La richiesta o il metodo chiamato.
    • Fornisci una copia della richiesta e della risposta.
  • Le autorizzazioni concesse all'identità per questo accesso.
    • Fornisci una copia del criterio IAM.
  • L'origine (località) da cui l'identità tenta di accedere Google Cloud. Ad esempio, se stanno tentando di accedere da un alla risorsa Google Cloud (ad esempio un'istanza Compute Engine), console Google Cloud, Google Cloud CLI, Cloud Shell o un'origine esterna, come on-premise o internet.
    • Se l'origine proviene da un altro progetto, fornisci l'ID progetto di origine.
  • L'ora (timestamp) in cui si è verificato l'errore per la prima volta e se si tratta è ancora un problema.
  • L'ultima volta nota in cui l'identità ha eseguito correttamente l'accesso alla risorsa (inclusi i timestamp).
  • Eventuali modifiche apportate prima dell'inizio del problema (inclusi i timestamp).
  • Eventuali errori registrati in Cloud Logging. Prima di condividere con L'assistenza clienti, assicurati di oscurare dati sensibili come token di accesso, credenziali e numeri di carte di credito.

Passaggi successivi

Per altre architetture di riferimento, diagrammi e best practice, esplora il Centro architetture cloud.