Solucionar problemas de políticas y acceso

En este documento se ofrece una descripción general de los controles de cumplimiento de las Google Cloud políticas de acceso y de las herramientas disponibles para solucionar problemas de acceso. Este documento está dirigido a los equipos de Asistencia que quieran ayudar a los clientes de su organización a resolver problemas relacionados con el acceso a sus recursos deGoogle Cloud .

Google Cloud controles de aplicación de políticas de acceso

En esta sección se describen las políticas que usted o el administrador de su organización pueden implementar y que afectan al acceso a sus Google Cloud recursos. Puedes implementar políticas de acceso usando todos o algunos de los siguientes productos y herramientas.

Etiquetas, etiquetas y etiquetas de red

Google Cloud ofrece varias formas de etiquetar y agrupar recursos. Puedes usar etiquetas, etiquetas de red y etiquetas para aplicar políticas.

Las etiquetas son pares clave-valor que te ayudan a organizar tus Google Cloud recursos. Muchos Google Cloud servicios admiten etiquetas. También puedes usar etiquetas para filtrar y agrupar recursos en otros casos prácticos, por ejemplo, para identificar todos los recursos que están en un entorno de prueba en lugar de los que están en producción. En el contexto de la aplicación de políticas, las etiquetas pueden identificar dónde deben ubicarse los recursos. Por ejemplo, las políticas de acceso que apliques a los recursos etiquetados como de prueba serán diferentes de las que apliques a los recursos etiquetados como de producción.

Las etiquetas son pares clave-valor que proporcionan un mecanismo para identificar recursos y aplicar políticas. Puedes adjuntar etiquetas a una organización, una carpeta o un proyecto. Una etiqueta se aplica a todos los recursos del nivel de jerarquía al que se aplica. Puede usar etiquetas para permitir o denegar condicionalmente las políticas de acceso en función de si un recurso tiene una etiqueta específica. También puedes usar etiquetas con políticas de cortafuegos para controlar el tráfico de una red de nube privada virtual (VPC). Para solucionar problemas, es importante saber cómo se heredan las etiquetas y cómo se combinan con las políticas de acceso y de firewall.

Las etiquetas de red son diferentes de las etiquetas de gestor de recursos anteriores. Las etiquetas de red se aplican a las instancias de VM y son otra forma de controlar el tráfico de red hacia y desde una VM. En las Google Cloud redes, las etiquetas de red identifican las VMs que están sujetas a reglas de cortafuegos y rutas de red. Puede usar etiquetas de red como valores de origen y destino en las reglas de cortafuegos. También puedes usar etiquetas de red para identificar a qué VMs se aplica una ruta determinada. Conocer las etiquetas de red puede ayudarte a solucionar problemas de acceso, ya que se usan para definir reglas de red y de enrutamiento.

Reglas de cortafuegos de VPC

Puedes configurar reglas de cortafuegos de VPC para permitir o denegar el tráfico hacia y desde tus instancias de máquina virtual (VM) y los productos creados en VMs. Cada red de VPC funciona como un cortafuegos distribuido. Aunque las reglas de cortafuegos de VPC se definen a nivel de red, las conexiones se permiten o se deniegan por instancia. Puedes aplicar reglas de cortafuegos de VPC a la red de VPC, a las VMs agrupadas por etiquetas y a las VMs agrupadas por cuentas de servicio.

Controles de Servicio de VPC

Controles de Servicio de VPC ofrece una solución de seguridad perimetral que ayuda a mitigar la filtración externa de datos de Google Cloud servicios como Cloud Storage y BigQuery. Creas un perímetro de servicio que establece un límite de seguridad alrededor de los recursos y puedes gestionar lo que se permite dentro y fuera del perímetro.Google Cloud Controles de Servicio de VPC también proporciona controles de acceso contextual mediante la implementación de políticas basadas en atributos contextuales, como la dirección IP y la identidad.

Resource Manager

Puedes usar Resource Manager para configurar un recurso de organización. Resource Manager proporciona herramientas que te permiten asignar tu organización y la forma en que desarrollas aplicaciones a una jerarquía de recursos. Además de ayudarte a agrupar los recursos de forma lógica, Resource Manager proporciona puntos de montaje y herencia para los controles de acceso y las políticas de organización.

Gestión de Identidades y Accesos

Gestión de Identidades y Accesos (IAM) te permite definir quién (identidad) tiene acceso (rol) a qué recurso. Una política de gestión de identidades y accesos es un conjunto de instrucciones que definen quién tiene qué tipo de acceso, como acceso de lectura o escritura. La política de gestión de identidades y accesos se asocia a un recurso y aplica el control de acceso cuando un usuario intenta acceder al recurso.

Una de las funciones de la gestión de identidades y accesos son las condiciones de la gestión de identidades y accesos. Cuando implementas condiciones de IAM como parte de la definición de tu política, puedes conceder acceso a los recursos a las identidades (principales) solo si se cumplen las condiciones configuradas. Por ejemplo, puedes usar las condiciones de gestión de identidades y accesos para limitar el acceso a los recursos solo a los empleados que hagan solicitudes desde tu oficina.

Servicio de política de organización

El servicio de políticas de organización te permite aplicar restricciones a los recursos admitidos en toda la jerarquía de tu organización. Cada recurso compatible con la política de la organización tiene un conjunto de restricciones que describen las formas en las que se puede restringir el recurso. Defines una política que incluye reglas específicas que restringen la configuración de recursos.

El servicio de políticas de la organización permite a los administradores autorizados anular las políticas de la organización predeterminadas a nivel de carpeta o proyecto según sea necesario. Las políticas de la organización se centran en cómo configuras los recursos, mientras que las políticas de gestión de identidades y accesos se centran en los permisos que se han concedido a tus identidades para acceder a esos recursos.

Cuotas

Google Cloud Aplica cuotas a los recursos, lo que establece un límite en la cantidad de un recursoGoogle Cloud determinado que puede usar tu proyecto. El número de proyectos que tienes también está sujeto a una cuota. Las cuotas se utilizan para limitar el uso de los recursos de las siguientes formas:

• Cuotas de frecuencia; por ejemplo, las solicitudes a API diarias. Estas cuotas se restablecen transcurrido el tiempo especificado, como un minuto o un día.
• Cuotas de asignación,como el número de máquinas virtuales o balanceadores de carga que utiliza tu proyecto. Esta cuota no se restablece con el tiempo. Las cuotas de asignación deben liberarse expresamente cuando ya no quieras usar el recurso (por ejemplo, eliminando un clúster de Google Kubernetes Engine [GKE]).

Si alcanzas un límite de cuota de asignación, no podrás iniciar nuevos recursos. Si alcanzas una cuota de frecuencia, no podrás completar las solicitudes a la API. Ambos problemas pueden parecer relacionados con el acceso.

Chrome Enterprise Premium

Chrome Enterprise Premium usa varios Google Cloud productos para aplicar un control de acceso detallado en función de la identidad del usuario y el contexto de la solicitud. Puedes configurar Chrome Enterprise Premium para restringir el acceso a la Google Cloud consola y a las Google Cloud APIs.

La protección de acceso de Chrome Enterprise Premium funciona con los siguientes servicios: Google Cloud

• Identity-Aware Proxy (IAP): un servicio que verifica la identidad de los usuarios y usa el contexto para determinar si se les debe conceder acceso a un recurso.
• IAM: servicio de gestión de identidades y autorizaciones de Google Cloud.
• Administrador de contextos de acceso: un motor de reglas que permite controlar el acceso de forma pormenorizada.
• Verificación de puntos finales: una extensión de Google Chrome que recoge detalles de los dispositivos de los usuarios.

Recomendador de IAM

IAM incluye herramientas de Inteligencia de políticas que te ofrecen un conjunto completo de recomendaciones proactivas para ayudarte a ser más eficiente y seguro al usar Google Cloud. Las acciones recomendadas se te proporcionan a través de notificaciones en la consola, que puedes aplicar directamente o mediante un evento enviado a un tema de Pub/Sub.

Recomendador de IAM forma parte de la suite Policy Intelligence y puedes usarlo para aplicar el principio de mínimos accesos. Recommender compara las concesiones de roles a nivel de proyecto con los permisos que ha usado cada principal durante los últimos 90 días. Si asignas un rol a nivel de proyecto a una entidad y esta no usa todos los permisos de ese rol, Recommender puede recomendarte que lo revoques. Si es necesario, Recommender también recomienda roles menos permisivos como sustitutos.

Si aplicas automáticamente una recomendación, puedes provocar que se deniegue el acceso a un recurso a un usuario o a una cuenta de servicio por error. Si decides usar automatizaciones, consulta las prácticas recomendadas del recomendador de gestión de identidades y accesos para decidir el nivel de automatización que te resulte más cómodo.

Espacios de nombres y RBAC de Kubernetes

Kubernetes se utiliza como servicio gestionado en Google Cloud as Google Kubernetes Engine (GKE). GKE puede aplicar políticas que sean coherentes independientemente de dónde se ejecute el clúster de GKE. Las políticas que afectan al acceso a los recursos son una combinación de controles de Kubernetes integrados y Google Cloud controles específicos.

Además de los cortafuegos de VPC y los controles de servicio de VPC, GKE usa espacios de nombres, el control de acceso basado en roles (RBAC) y las identidades de carga de trabajo para gestionar las políticas que afectan al acceso a los recursos.

Espacios de nombres

Los espacios de nombres son clústeres virtuales respaldados por el mismo clúster físico y proporcionan un ámbito para los nombres. Los nombres de los recursos deben ser únicos en un espacio de nombres, pero puedes usar el mismo nombre en diferentes espacios de nombres. Los espacios de nombres te permiten usar cuotas de recursos para dividir los recursos del clúster entre varios usuarios.

RBAC

El control de acceso basado en roles incluye las siguientes funciones:

• Control detallado sobre cómo acceden los usuarios a los recursos de la API que se ejecutan en tu clúster.
  • Te permite crear políticas detalladas que definen a qué operaciones y recursos pueden acceder los usuarios y las cuentas de servicio.
  • Puede controlar el acceso de cuentas de Google, Google Cloud cuentas de servicio y cuentas de servicio de Kubernetes.
• Te permite crear permisos de control de acceso basado en roles que se aplican a todo el clúster o a espacios de nombres específicos dentro del clúster.
  • Los permisos de todo el clúster son útiles para limitar el acceso a recursos de API específicos para determinados usuarios. Estos recursos de API incluyen políticas de seguridad y secretos.
  • Los permisos específicos de espacios de nombres son útiles si, por ejemplo, tienes varios grupos de usuarios que operan en sus respectivos espacios de nombres. El control de acceso basado en roles puede ayudarte a asegurarte de que los usuarios solo tengan acceso a los recursos del clúster dentro de su propio espacio de nombres.
• Un rol que solo se puede usar para conceder acceso a recursos de un único espacio de nombres.
• Un rol que contiene reglas que representan un conjunto de permisos. Los permisos son puramente acumulativos y no hay reglas de denegación.

IAM y RBAC de Kubernetes están integrados para que los usuarios tengan autorización para realizar acciones si tienen permisos suficientes según cualquiera de las dos herramientas.

En la imagen 1 se muestra cómo usar IAM con RBAC y espacios de nombres para implementar políticas.

En la imagen 1 se muestran las siguientes implementaciones de políticas:

1. A nivel de proyecto, Gestión de identidades y accesos define roles para que los administradores de clústeres gestionen los clústeres y para que los desarrolladores de contenedores accedan a las APIs de los clústeres.
2. A nivel de clúster, RBAC define los permisos de clústeres concretos.
3. A nivel de espacio de nombres, RBAC define permisos en espacios de nombres.

Workload Identity

Además de RBAC e IAM, también debes entender el impacto de las identidades de carga de trabajo. Workload Identity te permite configurar una cuenta de servicio de Kubernetes para que actúe como una cuenta de servicio de Google. Cualquier aplicación que se ejecute como la cuenta de servicio de Kubernetes se autentica automáticamente como la cuenta de servicio de Google al acceder a las APIs de Google Cloud. Esta autenticación te permite asignar identidades y autorizaciones pormenorizadas a las aplicaciones de tu clúster.

Workload Identity Federation para GKE se basa en los permisos de gestión de identidades y accesos (IAM) para controlar a qué APIs puede acceder tu aplicación de GKE.Google Cloud Por ejemplo, si cambian los permisos de gestión de identidades y accesos, es posible que una aplicación de GKE no pueda escribir en Cloud Storage.

Herramientas para solucionar problemas

En esta sección se describen las herramientas disponibles para ayudarte a solucionar problemas con tus políticas. Puedes usar diferentes productos y funciones para aplicar una combinación de políticas. Por ejemplo, puedes usar firewalls y subredes para gestionar la comunicación entre los recursos de tu entorno y de las zonas de seguridad que hayas definido. También puedes usar IAM para restringir quién puede acceder a qué dentro de la zona de seguridad y de las zonas de Controles de Servicio de VPC que hayas definido.

Registros

Cuando se produce un problema, lo primero que se suele hacer para solucionarlo es consultar los registros. Los Google Cloud registros que proporcionan información valiosa sobre los problemas relacionados con el acceso son los registros de auditoría de Cloud, los registros de reglas de cortafuegos y los registros de flujos de VPC.

Registros de auditoría de Cloud

Registros de auditoría de Cloud incluye los siguientes flujos de registros de auditoría de cada proyecto, carpeta y organización: actividad del administrador, acceso a los datos y evento del sistema. Google Cloud Los servicios escriben entradas de registro de auditoría en estos registros para ayudarte a identificar qué usuario ha realizado una acción en tus proyectos, dónde y cuándo. Google Cloud

• Los registros de actividad de administración contienen entradas de registro de llamadas a la API u otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Los registros de actividad de administración están siempre habilitados. Para obtener información sobre los precios y las cuotas de los registros de actividad del administrador, consulta la información general de Cloud Audit Logs.
• Los registros de acceso a los datos registran las llamadas a la API que crean, modifican o leen los datos facilitados por el usuario. Los registros de auditoría de acceso a los datos están inhabilitados de forma predeterminada, excepto en BigQuery. Los registros de acceso a datos pueden crecer mucho y generar costes. Para obtener información sobre los límites de uso de los registros de acceso a datos, consulta Cuotas y límites. Para obtener información sobre los posibles costes, consulta los precios.
• Los registros de eventos del sistema contienen entradas de registro de los momentos en los que Compute Engine realiza un evento del sistema. Por ejemplo, cada migración en directo se registra como un evento del sistema. Para obtener información sobre los precios y las cuotas de los registros de eventos del sistema, consulta la descripción general de Cloud Audit Logs.

En Cloud Logging, el campo protoPayload contiene un objeto AuditLog que almacena los datos de registro de auditoría. Para ver un ejemplo de entrada de registro de auditoría, consulta el ejemplo de entrada de registro de auditoría.

Para ver los registros de auditoría de actividad de administrador, debe tener el rol Lector de registros (roles/logging.viewer) o el rol Lector básico (roles/viewer). Cuando sea posible, seleccione el rol con los mínimos privilegios necesarios para completar la tarea.

Las entradas de registro de auditoría individuales se almacenan durante un periodo de tiempo especificado. Si quieres conservarlos durante más tiempo, puedes exportar las entradas de registro a Cloud Storage, BigQuery o Pub/Sub. Para exportar entradas de registro de todos los proyectos, carpetas y cuentas de facturación de tu organización, puedes usar las exportaciones agregadas. Las exportaciones agregadas le ofrecen una forma centralizada de revisar los registros de toda la organización.

Para usar los registros de auditoría y solucionar problemas, sigue estos pasos:

• Asegúrate de que tienes los roles de gestión de identidades y accesos necesarios para ver los registros. Si exportas los registros, también necesitas permisos para ver los registros exportados en el receptor.
• Sigue las prácticas recomendadas para usar los registros de auditoría para cumplir tu estrategia de auditoría.
• Selecciona una estrategia de equipo para ver los registros. Hay varias formas de ver los registros en Cloud Audit Logs, y todos los miembros de tu equipo de asistencia deben usar el mismo método.
• Usa la Google Cloud página Actividad de la consola para obtener una vista general de tus registros de actividad.
• Ver los registros exportados desde el sumidero al que se exportaron. Los registros que no se encuentran dentro del periodo de conservación solo se pueden ver en el receptor. También puedes usar los registros exportados para hacer una investigación comparativa, por ejemplo, con un momento en el que todo funcionaba correctamente.

Almacenamiento de registros de reglas de cortafuegos

El almacenamiento de registros de reglas de cortafuegos te permite auditar, verificar y analizar los efectos de tus reglas de cortafuegos. Por ejemplo, puedes determinar si una regla de cortafuegos diseñada para denegar el tráfico funciona correctamente.

Puedes habilitar el registro de reglas de cortafuegos de forma individual para cada regla de cortafuegos cuyas conexiones necesites registrar. El registro de reglas de cortafuegos es una opción para cualquier regla de cortafuegos, independientemente de la acción (permitir o denegar) o la dirección (entrada o salida) de la regla. El registro de reglas de cortafuegos puede generar una gran cantidad de datos. El almacenamiento de registros de reglas de cortafuegos tiene un coste asociado, por lo que debes planificar cuidadosamente qué conexiones quieres registrar.

Determina dónde quieres almacenar los registros del cortafuegos. Si quieres ver los registros de toda la organización, exporta los registros del cortafuegos al mismo receptor que los registros de auditoría. Usa filtros para buscar eventos de firewall específicos.

Firewall Insights

Firewall Insights proporciona informes que contienen información sobre el uso del cortafuegos y el impacto de varias reglas de cortafuegos en tu red de VPC. Puedes usar Firewall Insights para verificar que las reglas de cortafuegos permiten o bloquean las conexiones previstas.

También puedes usar Firewall Insights para detectar reglas de cortafuegos que están sustituidas por otras reglas. Una regla sustituida es una regla de cortafuegos que tiene todos sus atributos relevantes, como el intervalo de direcciones IP y los puertos, solapados por los atributos de una o varias reglas de cortafuegos que tienen una prioridad igual o superior. Las reglas sombreadas se calculan en un plazo de 24 horas después de habilitar el registro de reglas de cortafuegos.

Cuando habilitas el almacenamiento de registros de reglas de cortafuegos, Firewall Insights analiza los registros para sugerir estadísticas de las reglas de denegación que se hayan usado en el periodo de observación que especifiques (de forma predeterminada, las últimas 24 horas). Las estadísticas de reglas de denegación te proporcionan señales de paquetes descartados por el cortafuegos. Puede usar las señales de pérdida de paquetes para verificar si los paquetes perdidos son los esperados debido a las protecciones de seguridad o si son inesperados debido a problemas como errores de configuración de la red.

Registros de flujo de VPC

Registros de flujo de VPC guarda una muestra de los flujos de red enviados y recibidos en las instancias de VM. VPC Flow Logs cubre el tráfico que afecta a una VM. Todo el tráfico de salida se registra, aunque una regla de cortafuegos de salida lo bloquee. El tráfico de entrada se registra si una regla de cortafuegos de entrada permite el tráfico. El tráfico de entrada no se registra si una regla de cortafuegos de denegación de entrada lo bloquea.

Los registros de flujo se recogen para cada conexión de máquina virtual en intervalos específicos. Todos los paquetes muestreados recogidos durante un intervalo determinado para una conexión concreta (un intervalo de agregación) se agregan en una sola entrada de registro de flujo. La entrada de flujo de registro se envía a Cloud Logging.

VPC Flow Logs se habilita o inhabilita en cada subred de VPC. Cuando habilitas los registros de flujo de VPC, se genera una gran cantidad de datos. Te recomendamos que gestiones con cuidado las subredes en las que habilites los registros de flujo de VPC. Por ejemplo, te recomendamos que no habilites los registros de flujo durante un periodo prolongado en subredes que se usen en proyectos de desarrollo. Puedes consultar los registros de flujo de VPC directamente mediante Cloud Logging o el receptor exportado. Cuando solucionas problemas relacionados con el tráfico, puedes usar los registros de flujo de VPC para ver si el tráfico sale o entra en una VM a través del puerto esperado.

Alertas

Las alertas te permiten recibir notificaciones oportunas sobre cualquier evento que infrinja las políticas y que pueda afectar al acceso a tus recursos de Google Cloud .

Notificaciones en tiempo real

Inventario de Recursos de Cloud conserva un historial de cinco semanas de los Google Cloud metadatos de los recursos. Un recurso es un recurso Google Cloud admitido. Entre los recursos admitidos se incluyen IAM, Compute Engine con funciones de red asociadas, como reglas de cortafuegos y espacios de nombres de GKE, así como enlaces de roles y de roles de clúster. Todos los recursos anteriores afectan al acceso a los recursos de Google Cloud .

Para monitorizar las desviaciones de las configuraciones de tus recursos, como las reglas de cortafuegos y las reglas de reenvío, puedes suscribirte a las notificaciones en tiempo real. Si cambian las configuraciones de tus recursos, las notificaciones en tiempo real envían inmediatamente una notificación a través de Pub/Sub. Las notificaciones pueden alertarte de cualquier problema con antelación, lo que te permite evitar tener que llamar al servicio de asistencia.

Registros de auditoría de Cloud y Cloud Run Functions

Para complementar el uso de notificaciones en tiempo real, puede monitorizar Cloud Logging y configurar alertas sobre llamadas a acciones sensibles. Por ejemplo, puedes crear un receptor de Cloud Logging que filtre las llamadas a SetIamPolicy a nivel de organización. El receptor envía los registros a un tema de Pub/Sub que puedes usar para activar una función de Cloud Run.

Pruebas de conectividad

Para determinar si un problema de acceso está relacionado con la red o con los permisos, usa la herramienta Pruebas de conectividad del Centro de control de la red. Pruebas de conectividad es una herramienta de diagnóstico y análisis de configuración estática que le permite comprobar la conectividad entre un punto de conexión de origen y otro de destino. Las pruebas de conectividad te ayudan a identificar la causa principal de los problemas de acceso relacionados con la red que están asociados a tuGoogle Cloud configuración de red.

Pruebas de conectividad realiza pruebas que incluyen tu red de VPC, el emparejamiento de redes de VPC y los túneles de VPN a tu red on-premise. Por ejemplo, las pruebas de conectividad pueden identificar que una regla de cortafuegos está bloqueando la conectividad. Para obtener más información, consulta los casos prácticos habituales.

Solucionador de problemas de políticas

Muchas tareas de Google Cloud requieren un rol de gestión de identidades y accesos y permisos asociados. Te recomendamos que compruebes qué permisos contiene un rol y que verifiques cada permiso necesario para completar una tarea. Por ejemplo, para usar imágenes de Compute Engine y crear una instancia, un usuario necesita el rol compute.imageUser, que incluye nueve permisos. Por lo tanto, el usuario debe tener una combinación de roles y permisos que incluya los nueve permisos.

Solucionador de problemas de políticas es una herramienta de la consola de Google Cloud que te ayuda a depurar por qué un usuario o una cuenta de servicio no tiene permiso para acceder a un recurso. Para solucionar problemas de acceso, usa la parte de gestión de identidades y accesos de la herramienta para solucionar problemas de políticas.

Por ejemplo, puede que quieras comprobar por qué un usuario concreto puede crear objetos en los contenedores de un proyecto, mientras que otro no. La herramienta de solución de problemas de políticas puede ayudarte a ver qué permisos tiene el primer usuario y el segundo no.

La herramienta para solucionar problemas de políticas requiere los siguientes datos:

• Entidad principal (usuario individual, cuenta de servicio o grupos)
• Permiso (ten en cuenta que se trata de los permisos subyacentes, no de los roles de gestión de identidades y accesos)
• Recurso

Recomendador de IAM

Aunque IAM Recommender es un control de cumplimiento de políticas, tal como se describe en la sección Recommender anterior, también puedes usarlo como herramienta para solucionar problemas. Recommender ejecuta un trabajo diario que analiza los datos de los registros de acceso de gestión de identidades y accesos y los permisos concedidos de los últimos 60 días. Puedes usar Recommender para comprobar si se ha aprobado y aplicado recientemente una recomendación que podría haber afectado al acceso de un usuario a un recurso permitido anteriormente. En ese caso, puedes conceder los permisos que se hayan quitado.

Derivar a Atención al cliente

Cuando solucionas problemas relacionados con el acceso, es importante contar con un buen proceso de asistencia interno y un proceso bien definido para derivar los problemas al equipo de Asistencia de Google Cloud. En esta sección se describe un ejemplo de configuración de asistencia y cómo puedes comunicarte con el equipo de Atención al Cliente para ayudarle a resolver tus problemas rápidamente.

Si no puedes resolver un problema con las herramientas descritas en este documento, un proceso de asistencia claramente definido ayudará al equipo de Atención al Cliente a solucionar tus problemas. Te recomendamos que sigas un enfoque sistemático para solucionar problemas, tal como se describe en el capítulo Solución de problemas eficaz del libro Site Reliability Engineering (SRE) de Google.

Te recomendamos que tu proceso de asistencia interno haga lo siguiente:

• Detalla los procedimientos que se deben seguir si hay algún problema.
• Tener un proceso de derivación claramente definido.
• Configura un proceso de guardia.
• Crea un plan de respuesta a incidentes.
• Configura un sistema de seguimiento de errores o un centro de asistencia.
• Asegúrate de que tu personal de asistencia tenga autorización para comunicarse con el equipo de Atención al Cliente y de que figure como contacto.
• Comunica los procesos de asistencia al personal interno, incluido cómo ponerse en contacto con Google Cloud contactos específicos.
• Analiza periódicamente los problemas de asistencia, itera y mejora en función de lo que hayas aprendido.
• Incluye un formulario retrospectivo estandarizado.

Si necesitas derivar el caso al servicio de atención al cliente, ten a mano la siguiente información para compartirla con ellos cuando intentes solucionar los problemas de acceso:

• La identidad (correo de usuario o de cuenta de servicio) que solicita acceso.
  • Si este problema afecta a todas las identidades o solo a algunas.
  • Si solo se ven afectadas algunas identidades, proporciona un ejemplo de identidad que funcione y otro que no.
• Indica si la identidad se ha recreado recientemente.
• El recurso al que el usuario está intentando acceder (incluye el ID del proyecto).
• La solicitud o el método al que se llama.
  • Proporciona una copia de la solicitud y la respuesta.
• Los permisos que se han concedido a la identidad para este acceso.
  • Proporciona una copia de la política de gestión de identidades y accesos.
• La fuente (ubicación) desde la que la identidad intenta acceder a los recursos. Por ejemplo, si intentan acceder desde un Google Cloud recurso (como una instancia de Compute Engine), la Google Cloud consola, la interfaz de línea de comandos de Google Cloud, Cloud Shell o desde una fuente externa, como un entorno local o Internet.
  • Si la fuente procede de otro proyecto, indica el ID del proyecto de origen.
• La hora (marca de tiempo) en la que se produjo el error por primera vez y si sigue siendo un problema.
• La última hora conocida en la que la identidad accedió correctamente al recurso (incluidas las marcas de tiempo).
• Cualquier cambio que se haya realizado antes de que empezara el problema (incluye marcas de tiempo).
• Cualquier error que se registre en Cloud Logging. Antes de compartir información con el equipo de Asistencia, asegúrate de ocultar los datos sensibles, como tokens de acceso, credenciales y números de tarjetas de crédito.

Siguientes pasos

Para ver más arquitecturas de referencia, diagramas y prácticas recomendadas, consulta el centro de arquitectura de Cloud.