Soluciona problemas de política y acceso

En este documento, se proporciona una descripción general de los controles de aplicación de la política de acceso de Google Cloud y de las herramientas disponibles para ayudar a solucionar problemas de acceso. Este documento está dirigido a los equipos de asistencia al cliente que desean ayudar a los clientes de su organización a resolver problemas relacionados con el acceso a sus recursos de Google Cloud.

Controles de aplicación de la política de acceso de Google Cloud

En esta sección, se describen las políticas que tú o el administrador de tu organización pueden implementar para solucionar los problemas que afectan el acceso a tus recursos de Google Cloud. Para implementar las políticas de acceso, usa todos o algunos de los siguientes productos y herramientas.

Etiquetas y etiquetas de red

Google Cloud ofrece varias maneras de etiquetar y agrupar recursos. Puedes usar etiquetas para las políticas a fin de aplicarlas.

Las etiquetas son pares clave-valor que te ayudan a organizar tus recursos de Google Cloud. Muchos servicios de Google Cloud admiten etiquetas. También puedes usar etiquetas a fin de filtrar y agrupar recursos para otros casos de uso, por ejemplo, para identificar todos los recursos que están en un entorno de prueba y no los recursos que están en producción. En el contexto de la aplicación de políticas, las etiquetas pueden identificar dónde se deben ubicar los recursos. Por ejemplo, las políticas de acceso que aplicas a los recursos etiquetados como prueba son diferentes de las políticas de acceso que aplicas a los recursos etiquetados como recursos de producción.

Las etiquetas son pares clave-valor que proporcionan un mecanismo para identificar recursos y aplicar políticas. Puedes adjuntar etiquetas a una organización, carpeta o proyecto. Una etiqueta se aplica a todos los recursos a nivel de jerarquía a la que se aplica la etiqueta. Puedes usar etiquetas para permitir o denegar políticas de acceso de forma condicional en función de si un recurso tiene una etiqueta específica. También puedes usar etiquetas con políticas de firewall para controlar el tráfico en una red de nube privada virtual (VPC). Comprender cómo se heredan y se combinan las etiquetas con las políticas de acceso y firewall es importante para la solución de problemas.

Las etiquetas de red son diferentes de las etiquetas anteriores del administrador de recursos. Las etiquetas de red se aplican a las instancias de VM y son otra forma de controlar el tráfico de red desde y hacia una VM. En las redes de Google Cloud, las etiquetas identifican las VMs que están sujetas a las reglas de firewall y las rutas de red. Puedes usar etiquetas como valores de origen y destino en las reglas de firewall. También puedes usar etiquetas de red para identificar a qué VMs se aplica una ruta determinada. Comprender las etiquetas de red puede ayudarte a solucionar problemas de acceso, ya que se usan para definir reglas de red y de enrutamiento.

Reglas de firewall de VPC

Puedes configurar las reglas de firewall de VPC para permitir o denegar el tráfico desde y hacia tus instancias de máquina virtual (VM) y productos compilados en las VMs. Cada red de VPC funciona como un firewall distribuido. Aunque que las reglas de firewall de la VCP se definen a nivel de red, las conexiones se permiten o deniegan por instancia. Puedes aplicar reglas de firewall de VPC a la red de VPC, a las VM agrupadas por etiquetas y a las VM agrupadas por cuentas de servicio.

Controles del servicio de VPC

Los Controles del servicio de VPC proporcionan una solución de seguridad perimetral que ayuda a mitigar el robo de datos de los servicios de Google Cloud, como Cloud Storage y BigQuery. Puedes crear un perímetro de servicio que genere un límite de seguridad en torno a los recursos de Google Cloud, y puedes administrar lo que se permite acceder y lo que no puede acceder al perímetro. Los Controles del servicio de VPC también proporcionan controles de acceso adaptado al contexto mediante la implementación de políticas basadas en atributos contextuales, como la identidad y la dirección IP.

Resource Manager

Usa Resource Manager para configurar el recurso de una organización. Resource Manager proporciona herramientas que te permiten mapear tu organización y la forma en que desarrollas aplicaciones para una jerarquía de recursos. Además de ayudarte a agrupar recursos de forma lógica, Resource Manager proporciona puntos de asociación y herencia para el control de acceso y las políticas de la organización.

Identity and Access Management

Identity and Access Management (IAM) te permite definir quién (identidad) tiene cuál acceso (función) para qué recurso. Una política de IAM es un conjunto de instrucciones que definen quién tiene qué tipo de acceso, como acceso de lectura o escritura. La política de IAM se adjunta a un recurso y la política aplica el control de acceso cada vez que un usuario intenta acceder al recurso.

Una función de IAM son las condiciones de IAM. Cuando implementas las condiciones de IAM como parte de tu definición de política, puedes elegir otorgar acceso de recursos a las identidades (principales) solo si se cumplen las condiciones configuradas. Por ejemplo, puedes usar las condiciones de IAM para limitar el acceso a los recursos solo a los empleados que realizan solicitudes desde tu oficina corporativa.

Servicio de políticas de la organización

El Servicio de políticas de la organización te permite aplicar restricciones en los recursos compatibles de toda la jerarquía de la organización. Cada recurso que admite la política de la organización tiene un conjunto de restricciones que describe las formas en que se puede restringir el recurso. Define una política que determina reglas específicas que restringen la configuración de recursos.

El servicio de políticas de la organización te permite, como administrador autorizado, anular las políticas de la organización predeterminadas a nivel de la carpeta o del proyecto según sea necesario. Las políticas de la organización se enfocan en cómo configurar los recursos, mientras que las políticas de IAM se enfocan en los permisos que se otorgaron a tus identidades.

Cuotas

Google Cloud aplica cuotas a los recursos, lo que establece un límite sobre la cantidad de un recurso particular de Google Cloud que puede usar tu proyecto. La cantidad de proyectos que tienes también está sujeta a una cuota. Los siguientes tipos de uso de recursos están limitados por las cuotas:

  • Cuota de tarifa, como la cantidad de solicitudes a la API por día. Esta cuota se restablece luego de un tiempo especificado, como un minuto o un día.
  • Cuota de asignación, como la cantidad de máquinas virtuales o balanceadores de cargas que usa tu proyecto. Esta cuota no se restablece con el tiempo. Una cuota de asignación se debe liberar de forma explícita cuando ya no quieras usar el recurso, por ejemplo, mediante la eliminación de un clúster de Google Kubernetes Engine (GKE).

Si alcanzas un límite de cuota de asignación, no puedes iniciar recursos nuevos. Si alcanzas una cuota de tarifa, no puedes completar las solicitudes a la API. Ambos problemas pueden parecer un problema relacionado con el acceso.

BeyondCorp Enterprise

BeyondCorp Enterprise usa varios productos de Google Cloud para aplicar un control de acceso detallado según la identidad del usuario y el contexto de la solicitud. Puedes configurar BeyondCorp Enterprise para restringir el acceso a la consola de Google Cloud y a las API de Google Cloud.

La protección de acceso a BeyondCorp Enterprise funciona mediante los siguientes servicios de Google Cloud:

  • Identity-Aware Proxy (IAP): Un servicio que verifica la identidad del usuario y usa el contexto para determinar si se le debe otorgar acceso a un recurso.
  • IAM: El servicio de administración y autorización de identidades para Google Cloud.
  • Access Context Manager: Un motor de reglas que habilita el control de acceso detallado.
  • Verificación de extremos: Una extensión de Google Chrome que recopila detalles del dispositivo del usuario.

Recomendador de IAM

IAM incluye herramientas de Policy Intelligence que te proporcionan un conjunto integral de guías proactivas para que seas más eficiente y te protejas cuando usas Google Cloud. Las acciones recomendadas las recibes a través de notificaciones en la consola, que puedes aplicar de forma directa o con un evento enviado a un tema de Pub/Sub.

El recomendador de IAM forma parte del paquete de Policy Intelligence y puedes usarlo para ayudar a aplicar el principio de privilegio mínimo. El recomendador compara las otorgaciones de funciones a nivel de proyecto con los permisos que usó cada principal durante los últimos 90 días. Si otorgas una función a nivel de proyecto a una principal y este no usa todos los permisos de esa función, entonces es posible que el recomendador te sugiera revocar la función. Si es necesario, el recomendador también sugiere funciones menos permisivas como reemplazo.

Si aplicas una recomendación de forma automática, puedes generar que los usuarios o cuentas de servicio tengan acceso a un recurso de forma accidental. Si decides usar automatizaciones, consulta las prácticas recomendadas del recomendador de IAM para que puedas decidir qué nivel de automatización te conviene.

Espacios de nombres de Kubernetes y RBAC

Kubernetes funciona como un servicio administrado en Google Cloud como Google Kubernetes Engine (GKE). GKE puede aplicar políticas coherentes, sea cual sea el lugar donde se ejecute tu clúster de GKE. Las políticas que afectan el acceso a los recursos son una combinación de controles integrados de Kubernetes y controles específicos de Google Cloud.

Además de los firewalls de VPC y los Controles del servicio de VPC, GKE usa espacios de nombres, control de acceso según la función (RBAC), así como identidades de carga de trabajo para administrar las políticas que afectan el acceso a los recursos.

Espacios de nombres

Los espacios de nombres son clústeres virtuales respaldados por el mismo clúster físico y proporcionan un permiso para los nombres. Los nombres de los recursos deben ser únicos dentro de un espacio de nombres, pero puedes usar el mismo nombre en diferentes espacios de nombres. Los espacios de nombres te permiten usar cuotas de recursos para dividir los recursos del clúster entre varios usuarios.

RBAC

RBAC incluye las siguientes características:

  • Control detallado sobre cómo los usuarios acceden a los recursos de API que se ejecutan en tu clúster.
    • Te permite crear políticas detalladas que definen a qué operaciones y recursos pueden acceder los usuarios y las cuentas de servicio.
    • Puede controlar el acceso a las Cuentas de Google, las cuentas de servicio de Google Cloud y las cuentas de servicio de Kubernetes.
  • Te permite crear permisos de RBAC que se aplican a todo tu clúster o a espacios de nombres específicos dentro de tu clúster.
    • Los permisos en todo el clúster son útiles para limitar el acceso a recursos específicos de la API a ciertos usuarios. Estos recursos de API incluyen políticas y secretos de seguridad.
    • Los permisos específicos del espacio de nombres son útiles si, por ejemplo, tienes varios grupos de usuarios que operan dentro de sus espacios de nombres respectivos. El RBAC puede ayudarte a garantizar que los usuarios accedan solo a los recursos del clúster dentro de su espacio de nombres.
  • Una función que solo se puede usar para otorgar acceso a los recursos dentro de un solo espacio de nombres.
  • Una función que contiene reglas que representan un conjunto de permisos. Los permisos son aditivos y no hay reglas de denegación.

IAM y RBAC de Kubernetes están integrados, de modo que los usuarios estén autorizados a tomar medidas si tienen permisos suficientes según cualquiera de las dos herramientas.

En la Figura 1, se muestra cómo usar IAM con RBAC y espacios de nombres para implementar políticas.

Figura 1. IAM y RBAC de Kubernetes trabajan juntos para controlar el acceso a un clúster de GKE.

En la Figura 1, se muestran las siguientes implementaciones de políticas:

  1. A nivel de proyecto, IAM define roles para que los encargados administren clústeres y permitan que los desarrolladores de contenedores accedan a las APIs dentro de los clústeres.
  2. A nivel del clúster, RBAC define los permisos en clústeres individuales.
  3. A nivel del espacio de nombres, RBAC define los permisos en los espacios de nombres.

Workload Identity

Además de RBAC y de IAM, también debes comprender el impacto de las identidades de la carga de trabajo. Workload Identity te permite configurar una cuenta de servicio de Kubernetes para que actúe como una cuenta de servicio de Google. Cualquier aplicación que se ejecuta como la cuenta de servicio de Kubernetes se autentica de manera automática como la cuenta de servicio de Google cuando se accede a las API de Google Cloud. Esta autenticación te permite asignar una identidad y autorización detalladas para las aplicaciones en tu clúster.

Workload Identity depende de los permisos de IAM para controlar a qué API de Google Cloud puede acceder tu aplicación de GKE. Por ejemplo, si cambian los permisos de IAM, es posible que una aplicación de GKE no pueda escribir en Cloud Storage.

Herramientas para la solución de problemas

En esta sección, se describen las herramientas disponibles para ayudarte a solucionar problemas de tus políticas. Puedes usar diferentes productos y funciones para aplicar una combinación de políticas. Por ejemplo, puedes usar firewalls y subredes para administrar la comunicación entre los recursos dentro de tu entorno y dentro de cualquier zona de seguridad que hayas definido. También puedes usar IAM para restringir quién puede acceder a lo que está dentro de la zona de seguridad y cualquier zona de Controles del servicio de VPC que hayas definido.

Registros

Cuando ocurre un problema, por lo general, el primer lugar para comenzar a solucionar problemas es consultar los registros. Los registros de Google Cloud que proporcionan información sobre problemas relacionados con el acceso son los registros de auditoría de Cloud, los de reglas del firewall y los registros de flujo de VPC.

Registros de auditoría de Cloud

Los registros de auditoría de Cloud constan de las siguientes transmisiones de registro de auditoría para cada proyecto, carpeta y organización: actividad del administrador, acceso a datos y eventos del sistema. Los servicios de Google Cloud escriben entradas de registro de auditoría en esos registros para ayudarte a identificar los usuarios que realizaron una acción en tus proyectos de Google Cloud, dónde lo hicieron y cuándo.

  • Los registros de actividad del administrador contienen entradas de registro de las llamadas a la API o las otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Los registros de actividad del administrador siempre están habilitados. Para obtener información sobre los precios y las cuotas de los registros de actividad del administrador, consulta la descripción general de los registros de auditoría de Cloud.
  • Los registros de acceso a los datos registran las llamadas a la API que crean, modifican o leen datos proporcionados por el usuario. Los registros de auditoría de acceso a los datos están inhabilitados de forma predeterminada, excepto BigQuery. Los registros de acceso a los datos pueden aumentar y generar costos. Para obtener más información sobre los límites de uso de los registros de acceso a los datos, consulta Cuotas y límites. Para obtener información sobre los costos potenciales, consulta Precios.
  • Los registros de eventos del sistema contienen entradas de registros de los momentos en que Compute Engine realiza un evento del sistema. Por ejemplo, cada migración en vivo se registra como un evento del sistema. Para obtener información sobre los precios y las cuotas de los registros de eventos del sistema, consulta la descripción general de los registros de auditoría de Cloud.

En Cloud Logging, el campo protoPayload contiene un objeto AuditLog que almacena los datos del registro de auditoría. Para ver un ejemplo de una entrada de registro de auditoría, consulta la muestra de entrada de registro de auditoría.

Para ver los registros de auditoría de actividad del administrador, debes tener la función Visor de registros (roles/logging.viewer) o la función básica de Visualizador (roles/viewer). Cuando sea posible, selecciona la función con los privilegios mínimos necesarios para completar la tarea.

Las entradas de registro de auditoría individuales se almacenan durante un período especificado. Para una retención más prolongada, puedes exportar las entradas de registro a Cloud Storage, BigQuery o Pub/Sub. Para exportar entradas de registro de todos los proyectos, carpetas y cuentas de facturación de tu organización, puedes usar exportaciones agregadas. Las exportaciones agregadas te brindan una forma centralizada de revisar los registros en toda la organización.

Si quieres usar tus registros de auditoría para solucionar problemas, realiza estas acciones:

  • Asegúrate de tener las funciones de IAM necesarias para ver los registros. Si exportas los registros, también necesitas permisos para ver los registros exportados en el receptor.
  • Sigue las prácticas recomendadas para usar los registros de auditoría a fin de cumplir con tu estrategia de auditoría.
  • Selecciona una estrategia de equipo para ver los registros. Hay varias formas de ver los registros en los registros de auditoría de Cloud, y todos los miembros de tu equipo de solución de problemas deben usar el mismo método.
  • Usa la página Actividad de la consola de Google Cloud para obtener una vista de alto nivel de tus registros de actividad.
  • Visualiza los registros exportados del receptor al que se exportaron. Los registros que están fuera del período de retención solo se pueden ver en el receptor. También puedes usar los registros exportados para realizar una investigación de comparación, por ejemplo, de una hora en la que todo funcionó como se esperaba.

Registro de reglas de firewall

El Registro de reglas de firewall te permite inspeccionar, verificar y analizar los efectos de tus reglas de firewall. Por ejemplo, puedes determinar si una regla de firewall diseñada para rechazar el tráfico funciona según lo previsto.

Habilita el registro de las reglas de firewall de forma individual para las reglas cuyas conexiones debas registrar. El registro de las reglas de firewall es una opción que se puede aplicar a cualquier regla de firewall, independientemente de la acción (permitir o denegar) o la dirección (entrada o salida) de la regla. El registro de las reglas de firewall puede generar una gran cantidad de datos. El registro de las reglas de firewall tiene un cargo asociado, por lo que debes planificar con cuidado las conexiones que quieres registrar.

Determina dónde quieres almacenar tus registros de firewall. Si deseas obtener una vista de todos los registros de la organización, exporta los registros de firewall al mismo receptor que tus registros de auditoría. Usa filtros para buscar eventos de firewall específicos.

Estadísticas de firewall

Las Estadísticas de firewall proporciona informes que contienen información sobre el uso del firewall y el impacto de varias reglas de firewall en tu red de VPC. Puedes usar Estadísticas de firewall para verificar las reglas de firewall que permitan o bloqueen las conexiones previstas.

También puedes usar las Estadísticas de firewall para detectar las reglas de firewall que dependen de otras reglas. Una regla bloqueada es una regla de firewall que tiene todos sus atributos relevantes, como rangos de direcciones IP y puertos, superpuestos por atributos de una o más reglas de firewall que tienen una prioridad mayor o igual. Las reglas bloqueadas se calculan en un plazo de 24 horas después de que habilitas el registro de reglas de firewall.

Cuando habilitas el registro de reglas de firewall, las Estadísticas de firewall analizan los registros para mostrar estadísticas sobre cualquier regla de rechazo que se use en el período de observación que especifiques (de forma predeterminada, las últimas 24 horas). Las estadísticas de la regla de rechazo te proporcionan indicadores de anulación de paquetes de firewall. Puedes usar los indicadores de anulación de paquetes para verificar que se esperen los paquetes descartados debido a protecciones de seguridad o que los paquetes descartados sean inesperados debido a problemas como la configuración incorrecta de la red.

Registros de flujo de VPC

Los registros de flujo de VPC registran una muestra de flujos de red enviados y recibidos por instancias de VM. Los registros de flujo de VPC abarcan el tráfico que afecta a una VM. Se registra todo el tráfico de salida (saliente), incluso si una regla de firewall de rechazo de salida bloquea el tráfico. El tráfico de entrada (entrante) se registra si una regla de firewall de entrada permitida permite el tráfico. El tráfico de entrada no se registra si una regla de firewall de entrada de rechazo bloquea el tráfico.

Los registros de flujo se recopilan para cada conexión de VM en intervalos específicos. Todos los paquetes muestreados recopilados de un intervalo determinado para una conexión en particular, un intervalo de agregación, se agregan en una sola entrada de registro de flujo. Luego, la entrada del flujo de registro se envía a Cloud Logging.

Los registros de flujo de VPC están habilitados o inhabilitados para cada subred de VPC. Cuando habilitas los registros de flujo de VPC, se generan muchos datos. Te recomendamos administrar cuidadosamente las subredes en las que habilitas los registros de flujo de VPC. Por ejemplo, te recomendamos que no habilites los registros de flujo por un período continuo en las subredes que utilizan los proyectos de desarrollo. Puedes consultar los registros de flujo de VPC directamente mediante Cloud Logging o el receptor exportado. Cuando solucionas problemas de tráfico percibidos, puedes usar los registros de flujo de VPC para ver si el tráfico sale de una VM o ingresa a ella a través del puerto esperado.

Alertas

Las alertas te permiten recibir notificaciones puntuales sobre cualquier evento fuera de la política que pueda afectar el acceso a tus recursos de Google Cloud.

Notificaciones en tiempo real

Cloud Asset Inventory mantiene un historial de cinco semanas de los metadatos de activos de Google Cloud. Un elemento es un recurso de Google Cloud compatible. Los recursos admitidos incluyen IAM, Compute Engine con características de red asociadas, como reglas de firewall y espacios de nombres de GKE, así como vinculaciones de función de clúster y función. Todos los recursos anteriores afectan el acceso a los recursos de Google Cloud.

Para supervisar las desviaciones de tu configuración de recursos, como las reglas de firewall y las reglas de reenvío, puedes suscribirte a notificaciones en tiempo real. Si cambian las configuraciones de recursos, las notificaciones en tiempo real enviarán una notificación a través de Pub/Sub de inmediato. Las notificaciones pueden indicarte sobre cualquier problema con anticipación, así como interrumpir una llamada de asistencia.

Registros de auditoría de Cloud y Cloud Functions

Para complementar el uso de notificaciones en tiempo real, puedes supervisar Cloud Logging y recibir alertas sobre las llamadas a acciones sensibles. Por ejemplo, puedes crear un receptor de Cloud Logging que filtre las llamadas al SetIamPolicy en el a nivel de la organización. El receptor envía registros a un tema de Pub/Sub que puedes usar para activar Cloud Function.

Pruebas de conectividad

Para determinar si un problema de acceso se relaciona con la red o con los permisos, usa la herramienta de pruebas de conectividad de Network Intelligence Center. Las pruebas de conectividad son un analizador de configuración estático y una herramienta de diagnóstico que te permite comprobar la conectividad entre un extremo de origen y de destino. Las pruebas de conectividad te permiten identificar la causa original de los problemas de acceso relacionados con la red que se asocian con la configuración de tu red de Google Cloud.

Las pruebas de conectividad realizan pruebas que incluyen tu red de VPC, el intercambio de tráfico entre redes de VPC y los túneles VPN a tu red local. Por ejemplo, las pruebas de conectividad pueden identificar que una regla de firewall bloquea la conectividad. Para obtener más información, consulta Casos de uso comunes.

Solucionador de problemas de políticas

Muchas tareas de Google Cloud requieren una función de IAM y permisos asociados. Recomendamos que verifiques qué permisos están en una función y que verifiques cada permiso necesario para completar una tarea. Por ejemplo, si quieres usar imágenes de Compute Engine para crear una instancia, un usuario necesita la función compute.imageUser, que incluye nueve permisos. Por lo tanto, el usuario debe tener una combinación de funciones y permisos que incluyan los nueve permisos.

El solucionador de problemas de políticas es una herramienta de la consola de Google Cloud que te ayuda a depurar por qué una cuenta de usuario o servicio no tiene permiso para acceder a un recurso. Para solucionar problemas de acceso, usa la parte de IAM de del solucionador de problemas de políticas.

Por ejemplo, es posible que desees verificar por qué un usuario en particular puede crear objetos en buckets en un proyecto, mientras que otro usuario no puede hacerlo. El solucionador de problemas de políticas puede ayudarte a descubrir qué permisos tiene el primer usuario que no tiene el segundo usuario.

La herramienta para solucionar problemas de políticas requiere las siguientes entradas:

  • Principal (usuario individual, cuenta de servicio o grupos)
  • Permiso (ten en cuenta que estos son los permisos subyacentes, no las funciones de IAM)
  • Recurso

Recomendador de IAM

Aunque el recomendador de IAM es un control de aplicación de política como se describe en la sección de Recomendador anterior, también puedes usarlo como una herramienta de solución de problemas. El recomendador ejecuta un trabajo diario que analiza los datos del registro de acceso de IAM y los permisos otorgados en los últimos 60 días. Puedes usar el recomendador para verificar si una recomendación se aprobó y se aplicó recientemente que podría haber afectado el acceso de un usuario a un recurso permitido con anterioridad. En este caso, puedes otorgar los permisos que se quitaron.

Derivación a servicio al cliente

Cuando solucionas problemas de acceso, es importante tener un buen proceso de asistencia interna que sea bien definido para derivar el caso a Atención al cliente de Cloud. En esta sección, se describe un ejemplo de configuración de asistencia y cómo puedes comunicarte con el servicio de atención al cliente para ayudarlos a resolver tus problemas rápidamente.

Si no puedes resolver un problema mediante el uso de las herramientas descritas en este documento, un proceso de asistencia definido de forma clara permite que el equipo de Atención al cliente pueda solucionar los problemas. Te recomendamos definir un enfoque sistemático para solucionar problemas, como se describe en el capítulo de solución de problemas eficaz del libro Ingeniería de confiabilidad de sitios (SRE) de Google.

Recomendamos que en el proceso de asistencia interno se realicen las siguientes acciones:

  • Describir los procedimientos que se deben seguir si hay un problema
  • Definir una ruta de derivación de forma clara
  • Configurar un proceso de llamada
  • Crear un plan de respuesta ante incidentes
  • Configurar un sistema de seguimiento de errores o de un departamento de ayuda
  • Asegurarse de que el personal de asistencia haya sido autorizado para comunicarse con el servicio de atención al cliente y que se llame como contactos
  • Comunicar los procesos de asistencia al personal interno, incluso cómo comunicarse con los contactos con nombre de Google Cloud
  • Analizar periódicamente los problemas de asistencia y realizar iteraciones y mejoras según lo que se aprenda
  • Incluir un formulario retrospectivo estandarizado

Si necesitas derivar el caso al servicio de atención al cliente, ten la siguiente información disponible para compartir con ellos cuando solucionen problemas de acceso:

  • La identidad (correo electrónico de usuario o de cuenta de servicio) de quien solicita acceso.
    • Si este problema afecta a todas las identidades o solo a algunas.
    • Si solo algunas identidades se ven afectadas, proporciona una identidad de ejemplo que funcione y una identidad de ejemplo que falle.
  • Si la identidad se volvió a crear recientemente.
  • El recurso al que intenta acceder el usuario (incluye el ID del proyecto)
  • La solicitud o el método que se llama.
    • Proporciona una copia de la solicitud y la respuesta.
  • Los permisos que se otorgaron a la identidad para este acceso.
    • Proporciona una copia de la política de IAM.
  • La fuente (ubicación) desde la que la identidad intenta acceder a los recursos. Por ejemplo, si intentan acceder desde un recurso de Google Cloud (como una instancia de Compute Engine), la consola de Google Cloud, Google Cloud CLI, Cloud Shell o desde una fuente externa, como una ubicación local o desde Internet.
    • Si la fuente proviene de otro proyecto, proporciona el ID del proyecto de origen.
  • La hora (marca de tiempo) en que sucedió el error por primera vez y si aún es un problema.
  • La última hora conocida cuando la identidad accedió correctamente al recurso (incluye marcas de tiempo).
  • Cualquier cambio que se haya realizado antes de que comenzara el problema (incluye marcas de tiempo).
  • Cualquier error que se registre en Cloud Logging. Antes de compartir la información con el servicio de atención al cliente, asegúrate de ocultar datos sensibles, como tokens de acceso, credenciales y números de tarjetas de crédito.

¿Qué sigue?