Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Risolvere i problemi relativi a criteri e accesso

Questo documento offre una panoramica dei controlli dell'applicazione dei criteri di accesso di Google Cloud e degli strumenti disponibili per aiutarti a risolvere i problemi di accesso. Questo documento è rivolto ai team di assistenza che vogliono aiutare i clienti della loro organizzazione a risolvere i problemi relativi all'accesso alle risorse Google Cloud.

Controlli per l'applicazione dei criteri di accesso a Google Cloud

Questa sezione descrive i criteri che tu o l'amministratore dell'organizzazione potete implementare che influiscono sull'accesso alle risorse Google Cloud. Puoi implementare i criteri di accesso utilizzando tutti o alcuni dei seguenti prodotti e strumenti.

Etichette, tag e tag di rete

Google Cloud offre diversi modi per etichettare e raggruppare le risorse. Puoi utilizzare etichette, tag e tag di rete per applicare i criteri.

Le etichette sono coppie chiave-valore che ti aiutano a organizzare le risorse Google Cloud. Molti servizi Google Cloud supportano le etichette. Puoi anche utilizzare le etichette per filtrare e raggruppare le risorse per altri casi d'uso, ad esempio per identificare tutte le risorse che si trovano in un ambiente di test anziché quelle in produzione. Nel contesto dell'applicazione dei criteri, le etichette possono identificare dove dovrebbero essere posizionate le risorse. Ad esempio, i criteri di accesso applicati alle risorse etichettate come test sono diversi dai criteri di accesso applicati alle risorse etichettate come risorse di produzione.

I tag sono coppie chiave-valore che forniscono un meccanismo per identificare le risorse e applicare il criterio. Puoi associare tag a un'organizzazione, una cartella o un progetto. Un tag si applica a tutte le risorse al livello della gerarchia a cui è applicato. Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri di accesso a seconda che una risorsa abbia un tag specifico. Puoi anche utilizzare i tag con i criteri firewall per controllare il traffico in una rete Virtual Private Cloud (VPC). Comprendere il modo in cui i tag vengono ereditati e combinati con i criteri di accesso e firewall è importante per la risoluzione dei problemi.

I tag di rete sono diversi dai tag di gestione delle risorse precedenti. I tag di rete si applicano alle istanze VM e rappresentano un altro modo per controllare il traffico di rete da e verso una VM. Nelle reti Google Cloud, i tag di rete identificano quali VM sono soggette alle regole del firewall e alle route di rete. Puoi utilizzare i tag di rete come valori di origine e di destinazione nelle regole firewall. Puoi anche utilizzare i tag di rete per identificare a quali VM si applica una determinata route. Comprendere i tag di rete può aiutarti a risolvere i problemi di accesso perché i tag di rete vengono utilizzati per definire le regole di rete e di routing.

Regole firewall VPC

Puoi configurare le regole firewall per VPC per consentire o negare il traffico da e verso le istanze di macchine virtuali (VM) e i prodotti basati sulle VM. Ogni rete VPC funziona come un firewall distribuito. Anche se le regole firewall VPC sono definite a livello di rete, le connessioni sono consentite o negate a livello di istanza. Puoi applicare regole firewall VPC alla rete VPC, alle VM raggruppate per tag e alle VM raggruppate per account di servizio.

Controlli di servizio VPC

I Controlli di servizio VPC forniscono una soluzione di sicurezza perimetrale che aiuta a mitigare l'esfiltrazione dei dati dai servizi Google Cloud come Cloud Storage e BigQuery. Puoi creare un perimetro di servizio che crea un confine di sicurezza attorno alle risorse Google Cloud e puoi gestire i contenuti consentiti all'interno e all'esterno del perimetro. I Controlli di servizio VPC forniscono anche controlli di accesso sensibili al contesto implementando criteri basati su attributi contestuali come indirizzo IP e identità.

Resource Manager

Utilizzi Resource Manager per configurare una risorsa organizzazione. Resource Manager offre strumenti che ti consentono di mappare la tua organizzazione e il modo in cui sviluppi le applicazioni in una gerarchia delle risorse. Oltre ad aiutarti a raggruppare le risorse in modo logico, Resource Manager fornisce punti di collegamento ed ereditarietà per i criteri dell'organizzazione e del controllo dell'accesso.

Identity and Access Management

Identity and Access Management (IAM) consente di definire chi (identità) dispone dell'accesso (ruolo) per quale risorsa. Un criterio IAM è una raccolta di istruzioni che definisce chi dispone di un determinato tipo di accesso, ad esempio accesso in lettura o scrittura. Il criterio IAM è collegato a una risorsa e applica il controllo dell'accesso ogni volta che un utente tenta di accedervi.

Una funzionalità di IAM è Condizioni IAM. Quando implementi le condizioni IAM nella definizione del criterio, puoi scegliere di concedere alle risorse l'accesso alle identità (principali) solo se sono soddisfatte le condizioni configurate. Ad esempio, puoi utilizzare le condizioni IAM per limitare l'accesso alle risorse solo per i dipendenti che effettuano richieste dalla sede aziendale.

Servizio Criteri dell'organizzazione

Il servizio Criteri dell'organizzazione consente di applicare vincoli alle risorse supportate in tutta la gerarchia dell'organizzazione. Ogni risorsa supportata dal criterio dell'organizzazione ha un insieme di vincoli che descrivono i modi in cui la risorsa può essere limitata. Tu definisci un criterio che definisce regole specifiche che limitano la configurazione delle risorse.

Il servizio Criteri dell'organizzazione consente agli amministratori autorizzati di sostituire i criteri predefiniti dell'organizzazione a livello di cartella o di progetto, in base alle necessità. I criteri dell'organizzazione si concentrano sulla modalità di configurazione delle risorse, mentre i criteri IAM si concentrano sulle autorizzazioni concesse alle tue identità.

Quote

Google Cloud applica le quote sulle risorse, che fissano un limite alla quantità di una particolare risorsa Google Cloud che il tuo progetto può utilizzare. Anche il numero di progetti presenti è soggetto a una quota. I seguenti tipi di utilizzo delle risorse sono limitati dalle quote:

  • Quota di frequenza, come le richieste API al giorno. Questa quota viene reimpostata dopo un periodo di tempo specificato, ad esempio un minuto o un giorno.
  • Quota di allocazione, ad esempio il numero di macchine virtuali o bilanciatori del carico utilizzati dal progetto. Questa quota non viene reimpostata nel tempo. Una quota di allocazione deve essere rilasciata esplicitamente quando non vuoi più utilizzare la risorsa, ad esempio eliminando un cluster Google Kubernetes Engine (GKE).

Se raggiungi un limite di quota di allocazione, non puoi avviare nuove risorse. Se raggiungi una quota di frequenza, non puoi completare le richieste API. Entrambi i problemi possono sembrare problemi di accesso.

BeyondCorp Enterprise

BeyondCorp Enterprise utilizza diversi prodotti Google Cloud per applicare il controllo degli accessi granulare in base all'identità dell'utente e al contesto della richiesta. Puoi configurare BeyondCorp Enterprise per limitare l'accesso alla console Google Cloud e alle API Google Cloud.

La protezione dell'accesso di BeyondCorp Enterprise funziona utilizzando i seguenti servizi Google Cloud:

  • Identity-Aware Proxy (IAP): un servizio che verifica l'identità dell'utente e utilizza il contesto per determinare se un utente deve poter accedere a una risorsa.
  • IAM: il servizio di gestione e autorizzazione delle identità per Google Cloud.
  • Gestore contesto accesso: un motore delle regole che consente un controllo dell'accesso granulare.
  • Verifica endpoint: un'estensione di Google Chrome che raccoglie i dettagli dei dispositivi degli utenti.

Motore per suggerimenti IAM

IAM include strumenti di Policy Intelligence che offrono una serie completa di indicazioni proattive per aiutarti a essere più efficienti e sicuri durante l'utilizzo di Google Cloud. Le azioni consigliate ti vengono fornite tramite le notifiche nella console, che puoi applicare direttamente o utilizzando un evento inviato a un argomento Pub/Sub.

Il motore per suggerimenti IAM fa parte della suite Policy Intelligence e puoi utilizzarlo per applicare il principio del privilegio minimo. Il motore per suggerimenti confronta le concessioni di ruoli a livello di progetto con le autorizzazioni utilizzate da ciascuna entità negli ultimi 90 giorni. Se concedi un ruolo a livello di progetto a un'entità e il principio non utilizza tutte le autorizzazioni di quel ruolo, il motore per suggerimenti potrebbe consigliare di revocare il ruolo. Se necessario, il motore per suggerimenti consiglia anche di assegnare ruoli meno permissivi in sostituzione.

Se applichi automaticamente un consiglio, puoi inavvertitamente impedire a un account utente o di servizio di accedere a una risorsa. Se decidi di utilizzare le automazioni, consulta le best practice per il motore per suggerimenti IAM che ti aiutano a stabilire il livello di automazione più adatto per te.

Spazi dei nomi Kubernetes e RBAC

Kubernetes viene gestito come servizio gestito su Google Cloud come Google Kubernetes Engine (GKE). GKE può applicare criteri coerenti indipendentemente dal cluster in esecuzione. I criteri che influiscono sull'accesso alle risorse sono una combinazione di controlli integrati di Kubernetes e controlli specifici di Google Cloud.

Oltre ai firewall VPC e ai Controlli di servizio VPC, GKE utilizza gli spazi dei nomi, il controllo dell'accesso basato sui ruoli (RBAC) e le identità dei carichi di lavoro per gestire i criteri che influiscono sull'accesso alle risorse.

Spazi dei nomi

Gli spazi dei nomi sono cluster virtuali supportati dallo stesso cluster fisico e forniscono un ambito per i nomi. I nomi delle risorse devono essere univoci all'interno di uno spazio dei nomi, ma puoi utilizzare lo stesso nome in spazi dei nomi diversi. consentono di utilizzare le quote delle risorse per suddividere le risorse del cluster tra più utenti.

RBAC

RBAC include le seguenti funzionalità:

  • Controllo granulare su come gli utenti accedono alle risorse API in esecuzione sul tuo cluster.
    • Consente di creare criteri dettagliati che definiscono le operazioni e le risorse a cui gli utenti e gli account di servizio possono accedere.
    • Può controllare l'accesso per gli Account Google, gli account di servizio Google Cloud e gli account di servizio Kubernetes.
  • Consente di creare autorizzazioni RBAC che si applicano all'intero cluster o a spazi dei nomi specifici all'interno del cluster.
    • Le autorizzazioni a livello di cluster sono utili per limitare l'accesso a risorse API specifiche per utenti specifici. Queste risorse API includono criteri di sicurezza e segreti.
    • Le autorizzazioni specifiche per lo spazio dei nomi sono utili se, ad esempio, hai più gruppi di utenti che operano all'interno dei propri spazi dei nomi. RBAC può aiutare a garantire che gli utenti abbiano accesso solo alle risorse del cluster all'interno del proprio spazio dei nomi.
  • Un ruolo utilizzabile solo per concedere l'accesso alle risorse all'interno di un singolo spazio dei nomi.
  • Un ruolo contenente le regole che rappresentano un insieme di autorizzazioni. Le autorizzazioni sono esclusivamente cumulative. Non esistono regole di negazione.

IAM e Kubernetes RBAC sono integrati per garantire che gli utenti siano autorizzati a eseguire azioni se dispongono di autorizzazioni sufficienti in base a uno dei due strumenti.

La figura 1 mostra come utilizzare IAM con RBAC e spazi dei nomi per implementare i criteri.

Figura 1. IAM e Kubernetes RBAC collaborano per controllare l'accesso a un cluster GKE.

La figura 1 mostra le seguenti implementazioni:

  1. A livello di progetto, IAM definisce i ruoli che gli amministratori dei cluster possono gestire per gestire i cluster e per consentire agli sviluppatori di container di accedere alle API all'interno dei cluster.
  2. A livello di cluster, RBAC definisce le autorizzazioni sui singoli cluster.
  3. A livello di spazio dei nomi, RBAC definisce le autorizzazioni per gli spazi dei nomi.

Workload Identity

Oltre a RBAC e IAM, devi anche comprendere l'impatto delle identità dei carichi di lavoro. Workload Identity consente di configurare un account di servizio Kubernetes che funga da account di servizio Google. Qualsiasi applicazione che esegue l'account di servizio Kubernetes viene autenticata automaticamente come account di servizio Google quando accedi alle API Google Cloud. Questa autenticazione consente di assegnare identità e autorizzazione granulari per le applicazioni nel tuo cluster.

Workload Identity utilizza le autorizzazioni IAM per controllare le API Google Cloud a cui può accedere la tua applicazione GKE. Ad esempio, se le autorizzazioni IAM cambiano, un'applicazione GKE potrebbe non riuscire a scrivere in Cloud Storage.

Strumenti per la risoluzione dei problemi

In questa sezione vengono descritti gli strumenti a tua disposizione per aiutarti a risolvere i problemi relativi ai tuoi criteri. Puoi utilizzare prodotti e funzionalità diversi per applicare una combinazione di criteri. Ad esempio, puoi utilizzare i firewall e le subnet per gestire la comunicazione tra le risorse nel tuo ambiente e all'interno di qualsiasi zona di sicurezza definita. Puoi anche utilizzare IAM per limitare chi può accedere a ciò che si trova all'interno della zona di sicurezza e di qualsiasi zona di Controlli di servizio VPC che hai definito.

Log

Quando si verifica un problema, in genere il primo punto per iniziare la risoluzione dei problemi è esaminare i log. I log di Google Cloud che forniscono insight sui problemi di accesso sono Cloud Audit Logs, Logging delle regole firewall e VPC Flow Logs.

Cloud Audit Logs

L'audit log di Cloud è costituito dai seguenti audit log per ogni progetto, cartella e organizzazione: attività di amministrazione, accesso ai dati ed evento di sistema. I servizi Google Cloud scrivono le voci di audit log di questi log per aiutarti a identificare gli utenti che hanno eseguito un'azione all'interno dei tuoi progetti Google Cloud, dove e quando.

  • I log delle attività di amministrazione contengono voci di log per le chiamate API o altre azioni amministrative che modificano la configurazione o i metadati delle risorse. I log delle attività di amministrazione sono sempre abilitati. Per informazioni sui prezzi e sulle quote dei log delle attività di amministrazione, consulta la panoramica degli audit log di Cloud.
  • I log di accesso ai dati registrano le chiamate API che creano, modificano o leggono i dati forniti dall'utente. Gli audit log di accesso ai dati sono disabilitati per impostazione predefinita, ad eccezione di BigQuery. I log di accesso ai dati possono raggiungere volumi elevati e comportare costi. Per informazioni sui limiti di utilizzo dei log di accesso ai dati, consulta Quote e limiti. Per informazioni sui costi potenziali, consulta la pagina relativa ai prezzi.
  • I log degli eventi di sistema contengono voci di log relative al momento in cui Compute Engine esegue un evento di sistema. Ad esempio, ogni migrazione live viene registrata come evento di sistema. Per informazioni sui prezzi e sulle quote degli audit log di sistema, consulta la panoramica degli audit log di Cloud.

In Cloud Logging, il campo protoPayload contiene un oggetto AuditLog che archivia i dati di audit logging. Per un esempio di voce di log di controllo, consulta la voce di log di controllo di esempio.

Per visualizzare gli audit log delle attività di amministrazione, devi disporre del ruolo Visualizzatore log (roles/logging.viewer) o del ruolo Visualizzatore di base (roles/viewer). Se possibile, seleziona il ruolo con i privilegi minimi necessari per completare l'attività.

Le singole voci del log di controllo vengono archiviate per un intervallo di tempo specificato. Per una conservazione più lunga, puoi esportare le voci di log in Cloud Storage, BigQuery o Pub/Sub. Per esportare le voci di log da tutti i progetti, cartelle e account di fatturazione della tua organizzazione, puoi utilizzare le esportazioni aggregate. Le esportazioni aggregate offrono una modalità centralizzata per esaminare i log all'interno dell'organizzazione.

Per utilizzare i log di controllo per facilitare la risoluzione dei problemi:

  • Assicurati di disporre dei ruoli IAM richiesti per visualizzare i log. Se esporti i log, sono necessarie anche le autorizzazioni per visualizzare i log esportati nel sink.
  • Segui le best practice per l'utilizzo degli audit log per soddisfare la tua strategia di controllo.
  • Seleziona una strategia del team per visualizzare i log. Esistono vari modi per visualizzare i log in Cloud Audit Logs e tutti i membri del team di risoluzione dei problemi devono utilizzare lo stesso metodo.
  • Utilizza la pagina Attività della console Google Cloud per una panoramica generale dei log delle tue attività.
  • Visualizzare i log esportati dal sink in cui sono stati esportati. I log che si trovano al di fuori del periodo di conservazione sono visibili solo nel sink. Puoi anche utilizzare i log esportati per eseguire un'indagine di confronto, ad esempio per un momento in cui tutto ha funzionato come previsto.

Logging delle regole firewall

Il logging delle regole firewall consente di controllare, verificare e analizzare gli effetti delle regole firewall. Ad esempio, puoi determinare se una regola firewall progettata per negare il traffico funziona come previsto.

Abilita il logging delle regole firewall singolarmente per ogni regola firewall le cui connessioni devono essere registrate. Il logging delle regole firewall è un'opzione per qualsiasi regola firewall, indipendentemente dall'azione (consenti o nega) o dalla direzione (in entrata o in uscita) della regola. Il logging delle regole firewall può generare molti dati. Il logging delle regole firewall ha un costo associato a te, quindi devi pianificare con attenzione le connessioni che vuoi registrare.

Specifica dove vuoi archiviare i log del firewall. Se vuoi una visualizzazione dei log a livello di organizzazione, esporta i log dei firewall nello stesso sink dei log di controllo. Utilizzare i filtri per cercare eventi firewall specifici.

Firewall Insights

Insight di firewall fornisce report che contengono informazioni sull'utilizzo del firewall e sull'impatto di varie regole firewall sulla rete VPC. Puoi utilizzare Firewall Insights per verificare che le regole del firewall consentano o blocchino le connessioni previste.

Puoi anche utilizzare Firewall Insights per rilevare le regole firewall con shadowing eseguito da altre regole. Una regola con shadowing è una regola firewall che ha tutti i relativi attributi pertinenti, come porte e intervallo di indirizzi IP, sovrapposti da attributi di una o più altre regole firewall con priorità superiore o uguale. Le regole con shadowing vengono calcolate entro 24 ore dall'attivazione del logging delle regole firewall.

Quando abiliti il logging delle regole firewall, Firewall Insights analizza i log per visualizzare gli insight relativi a qualsiasi regola di negazione utilizzata nel periodo di osservazione specificato (per impostazione predefinita, le ultime 24 ore). Gli insight sulle regole di negazione forniscono gli indicatori dei pacchetti del firewall. Puoi utilizzare gli indicatori packet-drop per verificare che i pacchetti eliminati siano previsti a causa delle protezioni di sicurezza o che i pacchetti ignorati siano imprevisti a causa di problemi quali errori di configurazione della rete.

Log di flusso VPC

I log di flusso VPC registrano un campione di flussi di rete inviati e ricevuti dalle istanze VM. I log di flusso VPC coprono il traffico che interessa una VM. Tutto il traffico in uscita viene registrato, anche se una regola firewall in uscita ne blocca il traffico. Il traffico in entrata (in entrata) viene registrato se una regola di firewall in entrata consente il traffico. Il traffico in entrata non viene registrato se una regola firewall di negazione del traffico in entrata lo blocca.

I log di flusso vengono raccolti per ogni connessione VM a intervalli specifici. Tutti i pacchetti campionati raccolti per un determinato intervallo per una determinata connessione, un intervallo di aggregazione, vengono aggregati in una singola voce di log di flusso. La voce di flusso di log viene quindi inviata a Cloud Logging.

I log di flusso VPC sono abilitati o disabilitati per ogni subnet VPC. L'abilitazione dei log di flusso VPC genera molti dati. Ti consigliamo di gestire con attenzione le subnet su cui abiliti i log di flusso VPC. Ad esempio, consigliamo di non abilitare i log di flusso per un periodo prolungato nelle subnet utilizzate dai progetti di sviluppo. Puoi eseguire query sui log di flusso VPC direttamente tramite Cloud Logging o il sink esportato. Quando risolvi i problemi relativi al traffico percepiti, puoi utilizzare i log di flusso VPC per vedere se il traffico lascia o meno una VM tramite la porta prevista.

Avvisi

Gli avvisi ti consentono di ricevere notifiche tempestive sugli eventi che non rientrano nei criteri e che potrebbero influire sull'accesso alle risorse Google Cloud.

Notifiche in tempo reale

Cloud Asset Inventory contiene una cronologia di cinque settimane di metadati di asset Google Cloud. Un asset è una risorsa Google Cloud supportata. Le risorse supportate includono IAM, Compute Engine con funzionalità di rete associate come regole firewall e spazi dei nomi GKE e associazioni di ruoli e cluster. Tutte le risorse precedenti influiscono sull'accesso alle risorse Google Cloud.

Per monitorare le deviazioni dalle configurazioni delle tue risorse, ad esempio regole firewall e regole di forwarding, puoi iscriverti alle notifiche in tempo reale. Se le configurazioni delle risorse cambiano, le notifiche in tempo reale inviano una notifica tramite Pub/Sub. Le notifiche possono avvisarti in caso di problemi, prima di una chiamata di assistenza.

Audit log e funzioni Cloud Functions di Cloud

Per integrare l'utilizzo delle notifiche in tempo reale, puoi monitorare Cloud Logging e gli avvisi sulle chiamate ad azioni sensibili. Ad esempio, puoi creare un sink di Cloud Logging che filtra le chiamate a SetIamPolicy a livello di organizzazione. Il sink invia i log a un argomento Pub/Sub che puoi utilizzare per attivare la funzione Cloud Functions.

Connectivity Tests

Per determinare se un problema di accesso è relativo alla rete o alle autorizzazioni, utilizza lo strumento Networkivity Tests di Network Intelligence Center. Connectivity Tests è uno strumento di analisi e configurazione diagnostica statica che ti consente di verificare la connettività tra un endpoint di origine e di destinazione. Connectivity Tests consente di identificare la causa principale dei problemi di accesso relativi alla rete associati alla configurazione di rete Google Cloud.

Connectivity Tests esegue test che includono la tua rete VPC, il peering di rete VPC e i tunnel VPN alla tua rete on-premise. Ad esempio, Connectivity Tests potrebbero identificare che una regola firewall sta bloccando la connettività. Per saperne di più, consulta i casi d'uso comuni.

Strumento per la risoluzione dei problemi relativi ai criteri

Molte attività in Google Cloud richiedono un ruolo IAM e le autorizzazioni associate. Ti consigliamo di controllare quali autorizzazioni sono contenute in un ruolo e di controllare tutte le autorizzazioni necessarie per completare un'attività. Ad esempio, per utilizzare le immagini Compute Engine per creare un'istanza, un utente ha bisogno del ruolo compute.imageUser, che include nove autorizzazioni. Pertanto, l'utente deve avere una combinazione di ruoli e autorizzazioni che includono tutte e nove le autorizzazioni.

Lo strumento per la risoluzione dei problemi relativi ai criteri è una console di Google Cloud che ti aiuta a eseguire il debug del motivo per cui un utente o un account di servizio non è autorizzato ad accedere a una risorsa. Per risolvere i problemi di accesso, utilizza la parte IAM dello strumento per la risoluzione dei problemi relativi ai criteri.

Ad esempio, potresti voler verificare perché un determinato utente può creare oggetti nei bucket di un progetto mentre un altro utente non riesce a farlo. Lo strumento per la risoluzione dei problemi relativi ai criteri può aiutarti a visualizzare le autorizzazioni di cui il primo utente non dispone.

Lo strumento per la risoluzione dei problemi relativi ai criteri richiede i seguenti input:

  • Entità (utente individuale, account di servizio o gruppi)
  • Autorizzazione (tieni presente che si tratta delle autorizzazioni sottostanti, non dei ruoli IAM)
  • Risorsa

Motore per suggerimenti IAM

Sebbene il motore per suggerimenti IAM sia un controllo per l'applicazione forzata dei criteri come descritto nella precedente sezione motore per suggerimenti, puoi anche utilizzarlo come strumento per la risoluzione dei problemi. Il motore per suggerimenti esegue un job giornaliero che analizza i dati dei log di accesso IAM e le autorizzazioni concesse dai 60 giorni precedenti. Puoi utilizzare il motore per suggerimenti per verificare se un suggerimento è stato approvato e applicato di recente e che potrebbe aver influito sull'accesso di un utente a una risorsa consentita in precedenza. In questo caso, puoi concedere le autorizzazioni rimosse.

Riassegnazione all'assistenza clienti

Quando risolvi i problemi relativi all'accesso, è importante disporre di una buona procedura di assistenza interna e di una procedura ben definita per la riassegnazione all'assistenza clienti Google Cloud. Questa sezione descrive un esempio di configurazione dell'assistenza e come comunicare con l'assistenza clienti per aiutarli a risolvere rapidamente i problemi.

Se non riesci a risolvere un problema utilizzando gli strumenti descritti in questo documento, un processo di assistenza chiaramente definito aiuta l'Assistenza clienti a risolvere i problemi. Ti consigliamo di adottare un approccio sistematico alla risoluzione dei problemi, come descritto nel libro Risoluzione efficace dei problemi del libro Site Reliability Engineering (SRE) di Google.

Consigliamo di seguire la procedura interna di assistenza:

  • Indica in dettaglio le procedure da seguire in caso di problemi.
  • Definisci un percorso di escalation chiaramente definito.
  • Configura una procedura di chiamata.
  • Creare un piano di risposta agli incidenti.
  • Configura il monitoraggio dei bug o il sistema dell'help desk.
  • Assicurati che il personale di assistenza sia autorizzato a comunicare con l'assistenza clienti e che sia un contatto designato.
  • Comunicare le procedure di assistenza al personale interno, incluso come contattare i contatti con nome Google Cloud.
  • Analizza regolarmente i problemi di assistenza, itera e migliora in base alle informazioni apprese.
  • Includere un modulo retrospettivo standardizzato.

Se hai bisogno di riassegnare la tua richiesta all'assistenza clienti, tieni a portata di mano le seguenti informazioni da condividere con l'assistenza clienti per la risoluzione dei problemi di accesso:

  • L'identità (utente o indirizzo email dell'account di servizio) che richiede l'accesso.
    • Se il problema riguarda tutte le identità o solo alcune.
    • Se sono interessate solo alcune identità, fornisci un'identità di esempio che funzioni e un'identità di esempio che non vada a buon fine.
  • Indica se l'identità è stata ricreata di recente.
  • La risorsa a cui l'utente sta tentando di accedere (includere l'ID progetto).
  • La richiesta o il metodo chiamato.
    • Fornisci una copia della richiesta e della risposta.
  • Le autorizzazioni concesse all'identità per questo accesso.
    • Fornisci una copia del criterio IAM.
  • L'origine (località) da cui l'identità sta tentando di accedere alle risorse. Ad esempio, se tentano di accedere da una risorsa di Google Cloud (come un'istanza di Compute Engine), la console di Google Cloud, Google Cloud CLI, Cloud Shell o da un'origine esterna come on-premise o Internet.
    • Se l'origine proviene da un altro progetto, fornisci l'ID progetto di origine.
  • L'ora (timestamp) in cui si è verificato per la prima volta l'errore e se si tratta ancora di un problema.
  • L'ultima data nota in cui l'identità è riuscita ad accedere alla risorsa (inclusi i timestamp).
  • Eventuali modifiche apportate prima dell'avvio del problema (inclusi i timestamp).
  • Eventuali errori registrati in Cloud Logging. Prima di eseguire la condivisione con l'assistenza clienti, assicurati di oscurare dati sensibili come token di accesso, credenziali e numeri di carte di credito.

Passaggi successivi