Memecahkan masalah kebijakan dan akses

Dokumen ini memberikan ringkasan terkait kontrol penerapan kebijakan akses Google Cloud dan alat yang tersedia untuk membantu memecahkan masalah akses. Dokumen ini ditujukan untuk tim dukungan yang ingin membantu pelanggan di organisasi mereka menyelesaikan masalah terkait akses ke resource Google Cloud.

Kontrol penerapan kebijakan akses Google Cloud

Bagian ini menjelaskan kebijakan yang dapat diterapkan oleh Anda atau administrator organisasi Anda, yang memengaruhi akses ke resource Google Cloud Anda. Terapkan kebijakan akses menggunakan semua atau beberapa produk dan alat berikut.

Label, tag, dan tag jaringan

Google Cloud menawarkan beberapa cara untuk melabeli dan mengelompokkan resource. Anda dapat menggunakan label, tag, dan tag jaringan untuk membantu menerapkan kebijakan.

Label adalah key-value pair yang membantu Anda mengelola resource Google Cloud. Banyak layanan Google Cloud mendukung label. Anda juga dapat menggunakan label untuk memfilter dan mengelompokkan resource untuk kasus penggunaan lainnya, misalnya, untuk mengidentifikasi semua resource yang ada di lingkungan pengujian, bukan resource yang ada dalam produksi. Dalam konteks penegakan kebijakan, label dapat mengidentifikasi lokasi resource. Misalnya, kebijakan akses yang Anda terapkan ke resource yang dilabeli sebagai pengujian berbeda dengan kebijakan akses yang Anda terapkan untuk resource yang dilabeli sebagai resource produksi.

Tag adalah key-value pair yang menyediakan mekanisme untuk mengidentifikasi resource dan menerapkan kebijakan. Anda dapat memasang tag ke organisasi, folder, atau project. Tag berlaku untuk semua resource di level hierarki penerapan tag. Anda dapat menggunakan tag untuk mengizinkan atau menolak kebijakan akses secara bersyarat berdasarkan apakah resource memiliki tag tertentu. Anda juga dapat menggunakan tag dengan kebijakan firewall untuk mengontrol traffic di jaringan Virtual Private Cloud (VPC). Memahami cara tag diwariskan dan dikombinasikan dengan kebijakan akses dan firewall sangat penting dalam pemecahan masalah.

Tag jaringan berbeda dengan tag resource manager sebelumnya. Tag jaringan berlaku untuk instance VM, dan merupakan cara lain bagi Anda untuk mengontrol traffic jaringan ke dan dari VM. Di jaringan Google Cloud, tag jaringan mengidentifikasi VM mana yang tunduk kepada aturan firewall dan rute jaringan. Anda dapat menggunakan tag jaringan sebagai nilai sumber dan tujuan dalam aturan firewall. Anda juga dapat menggunakan tag jaringan untuk mengidentifikasi VM mana yang menjadi tujuan penerapan oleh rute tertentu. Memahami tag jaringan dapat membantu Anda memecahkan masalah akses, karena tag jaringan digunakan untuk menentukan aturan jaringan dan pemilihan rute.

Aturan firewall VPC

Anda dapat mengonfigurasi aturan firewall VPC untuk mengizinkan atau menolak traffic ke dan dari instance virtual machine (VM) dan produk yang dibuat di VM. Setiap jaringan VPC berfungsi sebagai firewall terdistribusi. Meskipun aturan firewall VPC ditentukan di tingkat jaringan, koneksi akan diizinkan atau ditolak per instance. Anda dapat menerapkan aturan firewall VPC ke jaringan VPC, VM yang dikelompokkan berdasarkan tag, dan VM yang dikelompokkan berdasarkan akun layanan.

Kontrol Layanan VPC

Kontrol Layanan VPC menyediakan solusi keamanan perimeter yang membantu mengurangi pemindahan data yang tidak sah dari layanan Google Cloud, seperti Cloud Storage dan BigQuery. Buat perimeter layanan yang menciptakan batas keamanan di sekitar resource Google Cloud, dan Anda dapat mengelola apa saja yang diizinkan di dalam dan di luar perimeter. Kontrol Layanan VPC juga menyediakan kontrol akses kontekstual dengan menerapkan kebijakan berdasarkan atribut kontekstual seperti alamat IP dan identitas.

Resource Manager

Gunakan Resource Manager untuk menyiapkan resource organisasi. Resource Manager menyediakan alat yang memungkinkan Anda memetakan organisasi dan cara mengembangkan aplikasi ke hierarki resource. Selain membantu Anda mengelompokkan resource secara logis, Resource Manager menyediakan titik lampiran dan pewarisan untuk kontrol akses dan kebijakan organisasi.

Identity and Access Management

Identity and Access Management (IAM) memungkinkan Anda menentukan siapa (identitas) yang memiliki akses (peran) apa untuk resource mana. Kebijakan IAM adalah kumpulan pernyataan yang menentukan siapa saja yang memiliki jenis akses tertentu, seperti akses baca atau tulis. Kebijakan IAM yang terhubung dengan resource dan kebijakan tersebut menerapkan kontrol akses setiap kali pengguna mencoba mengakses resource.

Fitur IAM adalah IAM Conditions. Saat menerapkan IAM Conditions sebagai bagian dari penetapan kebijakan, Anda dapat memilih untuk memberikan akses resource ke identitas (utama) hanya jika kondisi yang dikonfigurasi terpenuhi. Misalnya, Anda dapat menggunakan IAM Conditions untuk membatasi akses ke resource hanya untuk karyawan yang membuat permintaan dari kantor perusahaan Anda.

Layanan Kebijakan Organisasi

Layanan Kebijakan Organisasi memungkinkan Anda menerapkan batasan pada resource yang didukung di seluruh hierarki organisasi Anda. Setiap resource yang didukung Kebijakan Organisasi memiliki serangkaian batasan yang menjelaskan cara resource dibatasi. Tentukan kebijakan yang menetapkan aturan khusus yang membatasi konfigurasi resource.

Layanan Kebijakan Organisasi memungkinkan Anda, sebagai administrator resmi, mengganti kebijakan organisasi default di level folder atau project sesuai kebutuhan. Kebijakan organisasi berfokus pada cara Anda mengonfigurasi resource, sedangkan kebijakan IAM berfokus pada izin yang telah diberikan identitas Anda ke resource tersebut.

Kuota

Google Cloud memberlakukan kuota pada resource, yang menetapkan batas jumlah resource Google Cloud tertentu yang dapat digunakan project Anda. Jumlah project yang Anda miliki juga bergantung pada kuota. Jenis penggunaan resource berikut dibatasi berdasarkan kuota:

  • Kuota kapasitas, seperti permintaan API per hari. Kuota ini direset setelah waktu tertentu, misalnya satu menit atau satu hari.
  • Kuota alokasi, seperti jumlah virtual machine atau load balancer yang digunakan oleh project Anda. Kuota ini tidak direset dari waktu ke waktu. Kuota alokasi harus dirilis secara eksplisit jika Anda tidak lagi ingin menggunakan resource tersebut, misalnya, dengan menghapus cluster Google Kubernetes Engine (GKE).

Jika mencapai batas kuota alokasi, Anda tidak dapat memulai resource baru. Jika mencapai kuota kapasitas, Anda tidak dapat menyelesaikan permintaan API. Kedua masalah ini dapat terlihat seperti masalah yang berkaitan dengan akses.

BeyondCorp Enterprise

BeyondCorp Enterprise menggunakan berbagai produk Google Cloud untuk menerapkan kontrol akses terperinci berdasarkan identitas pengguna dan konteks permintaan. Anda dapat mengonfigurasi BeyondCorp Enterprise untuk membatasi akses ke Konsol Google Cloud dan Google Cloud API.

Perlindungan akses BeyondCorp Enterprise berfungsi dengan menggunakan layanan Google Cloud berikut:

  • Identity-Aware Proxy (IAP): Layanan yang memverifikasi identitas pengguna dan menggunakan konteks untuk menentukan apakah pengguna harus diberi akses ke resource atau tidak.
  • IAM: Layanan pengelolaan dan otorisasi identitas untuk Google Cloud.
  • Access Context Manager: Mesin aturan yang memungkinkan kontrol akses yang terperinci.
  • Verifikasi Endpoint: Ekstensi Google Chrome yang mengumpulkan detail perangkat pengguna.

Pemberi Rekomendasi IAM

IAM mencakup alat Policy Intelligence yang memberi Anda serangkaian panduan proaktif yang lengkap untuk membantu Anda menjadi lebih efisien dan aman saat menggunakan Google Cloud. Tindakan yang direkomendasikan akan diberikan kepada Anda melalui notifikasi di konsol, yang dapat langsung diterapkan atau dengan menggunakan peristiwa yang dikirim ke topik Pub/Sub.

Pemberi Rekomendasi IAM merupakan bagian dari rangkaian Policy Intelligence, dan Anda dapat menggunakannya untuk membantu menerapkan prinsip hak istimewa terendah. Pemberi rekomendasi membandingkan pemberian peran level project dengan izin yang digunakan setiap akun utama selama 90 hari terakhir. Jika Anda memberikan peran level project pada akun utama, dan akun utama tidak menggunakan semua izin peran tersebut, Pemberi rekomendasi mungkin merekomendasikan agar Anda mencabut peran tersebut. Jika perlu, Pemberi rekomendasi juga merekomendasikan peran kurang permisif sebagai pengganti.

Jika menerapkan rekomendasi secara otomatis, Anda dapat secara tidak sengaja menyebabkan akses pengguna atau akun layanan ke resource ditolak. Jika Anda memutuskan untuk menggunakan otomatisasi, gunakan praktik terbaik Pemberi Rekomendasi IAM untuk membantu Anda memutuskan tingkat otomatisasi yang sesuai dengan Anda.

Namespace dan RBAC Kubernetes

Kubernetes dioperasikan sebagai layanan terkelola di Google Cloud sebagai Google Kubernetes Engine (GKE). GKE dapat menerapkan kebijakan yang konsisten di mana pun cluster GKE Anda berjalan. Kebijakan yang memengaruhi akses ke resource adalah kombinasi kontrol Kubernetes bawaan dan kontrol khusus Google Cloud.

Selain firewall VPC dan Kontrol Layanan VPC, GKE menggunakan namespace, role-based access control (RBAC), dan Workload Identity untuk mengelola kebijakan yang memengaruhi akses ke resource.

Namespace

Namespace adalah cluster virtual yang didukung oleh cluster fisik yang sama, dan menyediakan cakupan nama. Nama resource harus unik dalam namespace, tetapi Anda dapat menggunakan nama yang sama di namespace berbeda. Dengan namespace, Anda dapat menggunakan kuota resource untuk membagi resource cluster di antara beberapa pengguna.

RBAC

RBAC mencakup fitur berikut:

  • Kontrol terperinci atas cara pengguna mengakses resource API yang berjalan di cluster Anda.
    • Memungkinkan Anda membuat kebijakan terperinci yang menentukan operasi dan resource mana yang Anda izinkan untuk diakses oleh pengguna dan akun layanan.
    • Dapat mengontrol akses untuk Akun Google, akun layanan Google Cloud, dan akun layanan Kubernetes.
  • Memungkinkan Anda membuat izin RBAC yang berlaku untuk seluruh cluster atau namespace tertentu dalam cluster Anda.
    • Izin di seluruh cluster berguna untuk membatasi akses ke resource API tertentu bagi pengguna tertentu. Resource API ini mencakup kebijakan dan rahasia keamanan.
    • Izin khusus namespace berguna jika, misalnya, Anda memiliki beberapa grup pengguna yang beroperasi dalam namespace masing-masing. RBAC dapat membantu Anda memastikan bahwa pengguna hanya memiliki akses ke resource cluster dalam namespace mereka sendiri.
  • Peran yang hanya dapat digunakan untuk memberikan akses ke resource dalam satu namespace.
  • Peran yang berisi aturan yang mewakili serangkaian izin. Izin sepenuhnya bersifat tambahan, dan tidak ada aturan penolakan.

IAM dan Kubernetes RBAC terintegrasi sehingga pengguna diizinkan untuk melakukan tindakan jika mereka memiliki izin yang memadai sesuai dengan salah satu fitur tersebut.

Gambar 1 menunjukkan cara menggunakan IAM dengan RBAC dan namespace untuk menerapkan kebijakan.

Gambar 1. IAM dan Kubernetes RBAC bekerja sama untuk mengontrol akses ke cluster GKE.

Gambar 1 menunjukkan penerapan kebijakan berikut:

  1. Pada level project, IAM menetapkan peran bagi administrator cluster untuk mengelola cluster dan mengizinkan developer container mengakses API dalam cluster.
  2. Pada level cluster, RBAC menentukan izin pada tiap-tiap cluster.
  3. Pada level namespace, RBAC akan menentukan izin pada namespace.

Workload Identity

Selain RBAC dan IAM, Anda juga perlu memahami dampak Workload Identity. Workload Identity memungkinkan Anda mengonfigurasi akun layanan Kubernetes agar berfungsi sebagai akun layanan Google. Aplikasi apa pun yang berjalan sebagai akun layanan Kubernetes akan otomatis melakukan autentikasi sebagai akun layanan Google saat mengakses Google Cloud API. Dengan autentikasi ini, Anda dapat menetapkan identitas dan otorisasi terperinci untuk aplikasi di cluster Anda.

Workload Identity bergantung pada izin IAM untuk mengontrol Google Cloud API yang dapat diakses oleh aplikasi GKE Anda. Misalnya, jika izin IAM berubah, aplikasi GKE mungkin tidak dapat menulis ke Cloud Storage.

Alat pemecahan masalah

Bagian ini menjelaskan alat yang tersedia untuk membantu Anda memecahkan masalah kebijakan. Anda dapat menggunakan berbagai produk dan fitur untuk menerapkan kombinasi kebijakan. Misalnya, Anda dapat menggunakan firewall dan subnet untuk mengelola komunikasi antar-resource dalam lingkungan Anda dan dalam zona keamanan apa pun yang telah Anda tentukan. Anda juga dapat menggunakan IAM untuk membatasi siapa yang dapat mengakses dalam zona keamanan dan zona Kontrol Layanan VPC yang telah Anda tentukan.

Log

Saat terjadi masalah, biasanya tempat pertama untuk memulai pemecahan masalah adalah melihat log. Log Google Cloud yang memberikan insight tentang masalah terkait akses adalah Cloud Audit Logs, Firewall Rules Logging, dan VPC Flow Logs.

Cloud Audit Logs

Cloud Audit Logs terdiri dari stream log audit berikut untuk setiap project, folder, dan organisasi: Aktivitas Admin, Akses Data, dan Peristiwa Sistem. Layanan Google Cloud menulis entri log audit ke log ini untuk membantu Anda mengidentifikasi pengguna mana yang melakukan tindakan dalam project Google Cloud Anda, di mana mereka melakukannya, dan kapan tindakan tersebut dilakukan.

  • Log Aktivitas Admin berisi entri log untuk panggilan API atau tindakan administratif lainnya yang mengubah konfigurasi atau metadata resource. Log Aktivitas Admin selalu dalam kondisi diaktifkan. Untuk mengetahui informasi tentang harga dan kuota log Aktivitas Admin, lihat ringkasan Cloud Audit Logs.
  • Log audit Akses Data merekam panggilan API yang membuat, mengubah, atau membaca data yang disediakan pengguna. Log audit Akses Data akan dinonaktifkan secara default, kecuali untuk BigQuery. Log Akses Data dapat berkembang menjadi besar, dan dapat menimbulkan biaya. Untuk mengetahui informasi tentang batas penggunaan log Akses Data, lihat Kuota dan batas. Untuk mengetahui informasi tentang biaya potensial, lihat Harga.
  • Log Peristiwa Sistem berisi entri log saat Compute Engine menjalankan peristiwa sistem. Misalnya, setiap migrasi langsung dicatat sebagai peristiwa sistem. Untuk mengetahui informasi tentang harga dan kuota log Peristiwa Sistem, lihat ringkasan Cloud Audit Logs.

Di Cloud Logging, kolom protoPayload berisi objek AuditLog yang menyimpan data logging audit. Untuk contoh entri log audit, lihat contoh entri log audit.

Untuk melihat Log audit Aktivitas Admin, Anda harus memiliki peran Logs Viewer (roles/logging.viewer) atau peran Viewer dasar (roles/viewer). Jika memungkinkan, pilih peran dengan hak istimewa terendah yang diperlukan untuk menyelesaikan tugas.

Setiap entri log audit akan disimpan selama durasi waktu yang ditentukan. Untuk retensi yang lebih lama, Anda dapat mengekspor entri log ke Cloud Storage, BigQuery, atau Pub/Sub. Untuk mengekspor entri log dari semua project, folder, dan akun penagihan organisasi, Anda dapat menggunakan ekspor gabungan. Ekspor gabungan memberi Anda cara terpusat untuk meninjau log di seluruh organisasi.

Untuk menggunakan log audit guna membantu pemecahan masalah, lakukan hal berikut:

  • Pastikan Anda memiliki peran IAM yang diperlukan untuk melihat log. Jika mengekspor log, Anda juga memerlukan izin untuk melihat log yang diekspor di sink.
  • Ikuti praktik terbaik dalam menggunakan log audit untuk memenuhi strategi audit Anda.
  • Pilih strategi tim untuk melihat log. Ada beberapa cara untuk melihat log di Cloud Audit Logs, dan semua orang di tim pemecahan masalah Anda harus menggunakan metode yang sama.
  • Gunakan halaman Aktivitas Konsol Google Cloud untuk mendapatkan tampilan tingkat tinggi log aktivitas Anda.
  • Lihat log yang diekspor dari sink yang menjadi tujuan ekspor log. Log yang berada di luar periode retensi hanya terlihat di sink. Anda juga dapat menggunakan log yang diekspor untuk melakukan investigasi perbandingan, misalnya, saat semuanya berfungsi sesuai ekspektasi.

Firewall Rules Logging

Firewall Rules Logging memungkinkan Anda mengaudit, memverifikasi, dan menganalisis efek aturan firewall Anda. Misalnya, Anda dapat menentukan apakah aturan firewall, yang dirancang untuk menolak traffic, berfungsi sebagaimana mestinya.

Aktifkan Firewall Rules Logging satu per satu untuk setiap aturan firewall yang koneksinya perlu Anda catat. Firewall Rules Logging adalah opsi untuk setiap aturan firewall, terlepas dari tindakan (izinkan atau tolak) atau arah (masuk atau keluar) aturan tersebut. Firewall Rules Logging dapat menghasilkan banyak data. Firewall Rules Logging memiliki biaya terkait, jadi Anda perlu merencanakan koneksi yang ingin Anda catat dengan cermat.

Tentukan tempat Anda ingin menyimpan log firewall. Jika Anda menginginkan tampilan log di seluruh organisasi, ekspor log firewall ke sink yang sama dengan log audit Anda. Gunakan filter untuk menelusuri peristiwa firewall tertentu.

Analisis Firewall

Analisis Firewall menyediakan laporan yang berisi informasi tentang penggunaan firewall dan dampak dari berbagai aturan firewall terhadap jaringan VPC Anda. Anda dapat menggunakan Analisis Firewall untuk memverifikasi bahwa aturan firewall mengizinkan atau memblokir koneksi yang dituju.

Anda juga dapat menggunakan Analisis Firewall untuk mendeteksi aturan firewall yang dibayangi oleh aturan lain. Aturan bayangan adalah aturan firewall yang memiliki semua atribut yang relevan, seperti rentang alamat IP dan port, yang tumpang-tindih dengan atribut dari satu atau beberapa aturan firewall lain yang memiliki prioritas yang lebih tinggi atau setara. Aturan bayangan dihitung dalam waktu 24 jam setelah Anda mengaktifkan Firewall Rules Logging.

Saat Anda mengaktifkan Firewall Rules Logging, Analisis Firewall akan menganalisis log untuk menampilkan analisis untuk setiap aturan penolakan yang digunakan dalam periode pengamatan yang Anda tentukan (secara default, 24 jam terakhir). Analisis aturan penolakan memberi Anda sinyal penghapusan paket firewall. Anda dapat menggunakan sinyal pelepasan paket untuk memverifikasi bahwa paket yang dilepas diterima karena perlindungan keamanan, atau bahwa paket yang dilepas tidak diterima karena masalah seperti kesalahan konfigurasi jaringan.

VPC Flow Logs

VPC Flow Logs mencatat sampel alur jaringan yang dikirim dari dan diterima oleh instance VM. VPC Flow Logs mencakup traffic yang memengaruhi VM. Semua traffic keluar akan dicatat ke dalam log, meskipun aturan firewall tolak traffic keluar memblokir traffic. Traffic masuk akan dicatat ke dalam log jika aturan firewall izinkan traffic masuk mengizinkan traffic tersebut. Traffic masuk tidak dicatat ke dalam log jika aturan firewall tolak traffic masuk memblokir traffic.

Log aliran akan dikumpulkan untuk setiap koneksi VM pada interval tertentu. Semua paket sampel yang dikumpulkan selama interval tertentu untuk koneksi tertentu—interval agregasi—digabungkan ke dalam satu entri log aliran. Lalu, entri aliran log dikirim ke Cloud Logging.

VPC Flow Logs akan diaktifkan atau dinonaktifkan untuk setiap subnet VPC. Saat Anda mengaktifkan VPC Flow Logs, tindakan ini akan menghasilkan banyak data. Sebaiknya Anda mengelola subnet dengan cermat tempat Anda mengaktifkan VPC Flow Logs. Misalnya, sebaiknya jangan aktifkan log aliran selama periode berkelanjutan pada subnet yang digunakan oleh project pengembangan. Anda dapat membuat kueri VPC Flow Logs secara langsung menggunakan Cloud Logging atau sink yang diekspor. Saat memecahkan masalah terkait persepsi traffic, Anda dapat menggunakan VPC Flow Logs untuk melihat apakah traffic meninggalkan atau memasuki VM melalui port yang diharapkan.

Pemberitahuan

Dengan peringatan, Anda akan mendapatkan notifikasi tepat waktu tentang peristiwa di luar kebijakan yang mungkin memengaruhi akses ke resource Google Cloud Anda.

Notifikasi real-time

Inventaris Aset Cloud akan menyimpan histori metadata aset Google Cloud selama lima minggu. Aset adalah resource Google Cloud yang didukung. Resource yang didukung mencakup IAM, Compute Engine dengan fitur jaringan terkait, seperti aturan firewall dan namespace GKE, serta binding peran dan peran cluster. Semua resource sebelumnya memengaruhi akses ke resource Google Cloud.

Untuk memantau penyimpangan dari konfigurasi resource, seperti aturan firewall dan aturan penerusan, Anda dapat berlangganan notifikasi real-time. Jika konfigurasi resource Anda berubah, notifikasi real-time akan segera mengirimkan notifikasi melalui Pub/Sub. Notifikasi dapat memberi tahu Anda tentang masalah apa pun lebih awal, yang akan meng-preempt panggilan dukungan.

Cloud Audit Logs dan Cloud Functions

Untuk melengkapi penggunaan notifikasi real-time, Anda dapat memantau Cloud Logging dan membuat pemberitahuan terkait perintah untuk tindakan sensitif. Misalnya, Anda dapat membuat sink Cloud Logging yang memfilter memanggil SetIamPolicy di level organisasi. Sink akan mengirim log ke topik Pub/Sub yang dapat Anda gunakan untuk memicu Cloud Function.

Uji Konektivitas

Untuk menentukan apakah masalah akses berkaitan dengan jaringan atau izin, gunakan alat Uji Konektivitas Network Intelligence Center. Uji Konektivitas adalah alat penganalisis dan diagnostik konfigurasi statis yang memungkinkan Anda memeriksa konektivitas antara endpoint sumber dan tujuan. Uji Konektivitas membantu Anda mengidentifikasi penyebab utama masalah akses terkait jaringan yang berkaitan dengan konfigurasi jaringan Google Cloud Anda.

Uji Konektivitas melakukan pengujian yang mencakup jaringan VPC, Peering Jaringan VPC, dan tunnel VPN ke jaringan lokal Anda. Misalnya, Uji Konektivitas mungkin mengidentifikasi bahwa aturan firewall memblokir konektivitas. Untuk mengetahui informasi selengkapnya, lihat Kasus penggunaan umum.

Pemecah Masalah Kebijakan

Banyak tugas di Google Cloud memerlukan peran IAM dan izin terkait. Sebaiknya Anda memeriksa izin yang ada dalam suatu peran dan memeriksa setiap izin yang diperlukan untuk menyelesaikan tugas. Misalnya, agar dapat menggunakan image Compute Engine untuk membuat instance, pengguna memerlukan peran compute.imageUser, yang mencakup sembilan izin. Oleh karena itu, pengguna harus memiliki kombinasi peran dan izin yang mencakup kesembilan izin tersebut.

Pemecah Masalah Kebijakan adalah alat Konsol Google Cloud yang membantu Anda men-debug alasan pengguna atau akun layanan tidak memiliki izin untuk mengakses resource. Untuk memecahkan masalah akses, gunakan bagian IAM dari Pemecah Masalah Kebijakan.

Misalnya, Anda mungkin perlu memeriksa alasan pengguna tertentu dapat membuat objek dalam bucket dalam suatu project, sementara pengguna lain tidak dapat melakukannya. Pemecah Masalah Kebijakan dapat membantu Anda melihat izin apa saja yang dimiliki pengguna pertama yang tidak dimiliki pengguna kedua.

Pemecah Masalah Kebijakan memerlukan input berikut:

  • Akun utama (pengguna perorangan, akun layanan, atau grup)
  • Izin (perlu diperhatikan bahwa ini adalah izin dasar, bukan peran IAM)
  • Resource

Pemberi Rekomendasi IAM

Meskipun Pemberi Rekomendasi IAM adalah kontrol penerapan kebijakan seperti yang dijelaskan di bagian Pemberi Rekomendasi sebelumnya, Anda juga dapat menggunakannya sebagai alat pemecahan masalah. Pemberi rekomendasi menjalankan tugas harian yang menganalisis data log akses IAM dan izin yang diberikan dari 60 hari sebelumnya. Anda dapat menggunakan Pemberi rekomendasi untuk memeriksa apakah rekomendasi telah disetujui dan diterapkan baru-baru ini yang dapat memengaruhi akses pengguna ke resource yang diizinkan sebelumnya. Dalam hal ini, Anda dapat memberikan izin yang telah dihapus.

Meneruskan ke Layanan Pelanggan

Saat memecahkan masalah terkait akses, Anda harus memiliki proses dukungan internal yang baik dan proses yang jelas untuk eskalasi ke Cloud Customer Care. Bagian ini menjelaskan contoh penyiapan dukungan dan cara berkomunikasi dengan Customer Care untuk membantu mereka menyelesaikan masalah dengan cepat.

Jika Anda tidak dapat mengatasi masalah dengan menggunakan alat yang dijelaskan dalam dokumen ini, proses dukungan yang jelas akan membantu Customer Care memecahkan masalah Anda. Sebaiknya gunakan pendekatan sistematis untuk pemecahan masalah, seperti yang dijelaskan dalam bab pemecahan masalah yang efektif dalam buku Site Reliability Engineering (SRE) Google.

Sebaiknya proses dukungan internal Anda melakukan hal berikut:

  • Jelaskan prosedur yang harus diikuti jika ada masalah.
  • Tetapkan jalur eskalasi yang jelas.
  • Siapkan proses siaga.
  • Buat rencana respons insiden.
  • Siapkan sistem layanan bantuan atau pelacakan bug.
  • Pastikan personel dukungan Anda telah diizinkan untuk berkomunikasi dengan Customer Care dan diberi nama sebagai kontak.
  • Sampaikan proses dukungan kepada staf internal, termasuk cara menghubungi kontak yang diberi nama sebagai kontak di Google Cloud.
  • Analisis masalah dukungan secara berkala dan lakukan iterasi serta perbaiki berdasarkan hasil pembelajaran.
  • Sertakan formulir retrospektif standar.

Jika Anda perlu melakukan eskalasi ke Customer Care, sediakan informasi berikut untuk dibagikan kepada Customer Care saat memecahkan masalah akses:

  • Identitas (email akun layanan atau pengguna) yang meminta akses.
    • Apakah masalah ini memengaruhi semua identitas atau hanya sebagian.
    • Jika hanya sebagian identitas yang terpengaruh, berikan contoh identitas yang berhasil dan contoh identitas yang gagal.
  • Apakah identitas baru saja dibuat ulang.
  • Resource yang coba diakses pengguna (termasuk project ID).
  • Permintaan atau metode yang dipanggil.
    • Berikan salinan permintaan dan respons.
  • Izin yang diberikan pada identitas untuk akses ini.
    • Berikan salinan kebijakan IAM.
  • Sumber (lokasi) tempat identitas mencoba mengakses resource. Misalnya, jika mereka mencoba mengakses dari resource Google Cloud (seperti instance Compute Engine), Konsol Google Cloud, Google Cloud CLI, Cloud Shell, atau dari sumber eksternal seperti infrastruktur lokal atau internet.
    • Jika sumber berasal dari project lain, berikan project ID sumber.
  • Waktu (stempel waktu) saat error pertama kali terjadi dan apakah saat ini masalah masih berlanjut.
  • Waktu terakhir yang diketahui saat identitas berhasil mengakses resource (termasuk stempel waktu).
  • Perubahan apa pun yang dilakukan sebelum masalah dimulai (termasuk stempel waktu).
  • Semua error yang dicatat dalam Cloud Logging. Sebelum berbagi dengan Customer Care, pastikan Anda menyamarkan data sensitif, seperti token akses, kredensial, nomor kartu kredit.

Langkah selanjutnya