Risolvere i problemi relativi a criteri e accesso

Questo documento fornisce una panoramica dei controlli di applicazione dei criteri di accesso di Google Cloud e degli strumenti disponibili per la risoluzione dei problemi di accesso. Questo documento è rivolto ai team di assistenza che vogliono aiutare i clienti della loro organizzazione a risolvere i problemi relativi all'accesso alle risorse Google Cloud.

Controlli di applicazione dei criteri di accesso di Google Cloud

Questa sezione descrive i criteri che tu o l'amministratore dell'organizzazione potete implementare e che influiscono sull'accesso alle risorse Google Cloud. Puoi implementare i criteri di accesso utilizzando tutti o alcuni dei seguenti prodotti e strumenti.

Etichette, tag e tag di rete

Google Cloud offre diversi modi per etichettare e raggruppare le risorse. Puoi utilizzare etichette, tag e tag di rete per contribuire all'applicazione dei criteri.

Le etichette sono coppie chiave/valore che ti aiutano a organizzare le risorse Google Cloud. Molti servizi Google Cloud supportano le etichette. Puoi anche utilizzare le etichette per filtrare e raggruppare le risorse per altri casi d'uso, ad esempio per identificare tutte le risorse in un ambiente di test rispetto a quelle in produzione. Nel contesto dell'applicazione dei criteri, le etichette possono identificare la posizione in cui devono trovarsi le risorse. Ad esempio, i criteri di accesso applicati alle risorse etichettate come di test sono diversi da quelli applicati alle risorse di produzione.

I tag sono coppie chiave-valore che forniscono un meccanismo per identificare le risorse e applicare i criteri. Puoi allegare tag a un'organizzazione, a una cartella o a un progetto. Un tag si applica a tutte le risorse a livello di gerarchia a cui viene applicato. Puoi utilizzare i tag per consentire o negare in modo condizionale i criteri di accesso a seconda che una risorsa abbia un tag specifico. Puoi anche utilizzare i tag con i criteri firewall per controllare il traffico in una rete Virtual Private Cloud (VPC). Per la risoluzione dei problemi, è importante capire come i tag vengono ereditati e combinati con i criteri di accesso e firewall.

I tag di rete sono diversi dai tag di Resource Manager precedenti. I tag di rete si applicano alle istanze VM e rappresentano un altro modo per controllare il traffico di rete verso e da una VM. Nelle reti Google Cloud, i tag di rete identificano le VM soggette a regole firewall e route di rete. Puoi utilizzare i tag di rete come valori di origine e di destinazione nelle regole firewall. Puoi anche utilizzare i tag di rete per identificare le VM a cui si applica un determinato route. Comprendere i tag di rete può aiutarti a risolvere i problemi di accesso, in quanto vengono utilizzati per definire le regole di rete e di routing.

Regole firewall VPC

Puoi configurare le regole firewall VPC per consentire o negare il traffico da e verso le tue istanze di macchine virtuali (VM) e i prodotti basati su VM. Ogni rete VPC funziona come un firewall distribuito. Sebbene le regole firewall VPC siano definite a livello di rete, le connessioni vengono consentite o negate a livello di istanza. Puoi applicare le regole firewall VPC alla rete VPC, alle VM raggruppate per tag e alle VM raggruppate per account di servizio.

Controlli di servizio VPC

Controlli di servizio VPC fornisce una soluzione di sicurezza perimetrale che contribuisce a mitigare l'esfiltrazione di dati dai servizi Google Cloud come Cloud Storage e BigQuery. Creando un perimetro di servizio, puoi creare un confine di sicurezza attorno alle risorse Google Cloud e gestire ciò che è consentito all'interno e all'esterno del perimetro. Controlli di servizio VPC fornisce anche controlli di accesso sensibili al contesto implementando criteri basati su attributi contestuali come indirizzo IP e identità.

Resource Manager

Utilizza Resource Manager per configurare una risorsa dell'organizzazione. Resource Manager fornisce strumenti che ti consentono di mappare la tua organizzazione e il modo in cui sviluppi le applicazioni a una gerarchia delle risorse. Oltre ad aiutarti a raggruppare le risorse in modo logico, Resource Manager fornisce punti di collegamento e l'ereditarietà per i criteri dell'organizzazione e del controllo dell'accesso dell'accesso.

Identity and Access Management

Identity and Access Management (IAM) ti consente di definire chi (identità) ha quale accesso (ruolo) per quale risorsa. Un criterio IAM è una raccolta di istruzioni che definisce chi dispone di un determinato tipo di accesso, ad esempio accesso di lettura o scrittura. Il criterio IAM è associato a una risorsa e applica il controllo dell'accesso ogni volta che un utente tenta di accedere alla risorsa.

Una funzionalità di IAM è Condizioni IAM. Quando implementi le condizioni IAM nell'ambito della definizione dei criteri, puoi scegliere di concedere l'accesso alle risorse alle identità (principal) solo se sono soddisfatte le condizioni configurate. Ad esempio, puoi utilizzare le condizioni IAM per limitare l'accesso alle risorse solo ai dipendenti che effettuano richieste dalla sede aziendale.

Servizio Criteri dell'organizzazione

Il servizio Criteri dell'organizzazione ti consente di applicare vincoli alle risorse supportate nella gerarchia dell'organizzazione. Ogni risorsa supportata dal criterio dell'organizzazione ha un insieme di vincoli che descrivono i modi in cui la risorsa può essere limitata. Definisci un criterio che definisce regole specifiche che limitano la configurazione delle risorse.

In qualità di amministratore autorizzato, il servizio di criteri dell'organizzazione ti consente di ignorare i criteri dell'organizzazione predefiniti a livello di cartella o progetto, se necessario. I criteri dell'organizzazione si concentrano sul modo in cui configuri le risorse, mentre i criteri IAM si concentrano sulle autorizzazioni concesse alle tue identità per queste risorse.

Quote

Google Cloud applica quote alle risorse, impostando un limite alla quantità di una determinata risorsa Google Cloud utilizzabile dal progetto. Anche il numero di progetti di cui disponi è soggetto a una quota. I seguenti tipi di utilizzo delle risorse sono limitati dalle quote:

  • Quota di frequenza, ad esempio il numero di richieste API al giorno. Questa quota viene reimpostata dopo un periodo di tempo specificato, ad esempio un minuto o un giorno.
  • Quota di allocazione, ad esempio il numero di macchine virtuali o bilanciatori del carico utilizzati dal progetto. Questa quota non viene reimpostata nel tempo. Una quota di allocazione deve essere rilasciata esplicitamente quando non vuoi più utilizzare la risorsa, ad esempio eliminando un cluster Google Kubernetes Engine (GKE).

Se raggiungi un limite di quota di allocazione, non puoi avviare nuove risorse. Se colpisci una quota di frequenza, non puoi completare le richieste API. Entrambi questi problemi possono sembrare correlati all'accesso.

Chrome Enterprise Premium

Chrome Enterprise Premium utilizza vari prodotti Google Cloud per applicare controllo dell'accesso granulari in base all'identità dell'utente e al contesto della richiesta. Puoi configurare Chrome Enterprise Premium per limitare l'accesso alla console Google Cloud e alle API Google Cloud.

La protezione dell'accesso di Chrome Enterprise Premium funziona utilizzando i seguenti servizi Google Cloud:

  • Identity-Aware Proxy (IAP): un servizio che verifica l'identità dell'utente e utilizza il contesto per determinare se un utente deve essere autorizzato ad accedere a una risorsa.
  • IAM: il servizio di gestione delle identità e di autorizzazione per Google Cloud.
  • Gestore contesto accesso: un motore di regole che consente il controllo granulare degli accessi.
  • Verifica endpoint: un'estensione di Google Chrome che raccoglie i dettagli dei dispositivi utente.

Motore per suggerimenti IAM

IAM include gli strumenti di Policy Intelligence che forniscono un insieme completo di indicazioni proattive per aiutarti a essere più efficiente e sicuro quando utilizzi Google Cloud. Le azioni consigliate vengono fornite tramite notifiche nella console, che puoi applicare direttamente o utilizzando un evento inviato a un argomento Pub/Sub.

Motore per suggerimenti IAM fa parte della suite Policy Intelligence e puoi utilizzarlo per contribuire ad applicare il principio del privilegio minimo. Il Recommender confronta le concessioni dei ruoli a livello di progetto con le autorizzazioni utilizzate da ciascun entità negli ultimi 90 giorni. Se concedi un ruolo a livello di progetto a un'entità e questa non utilizza tutte le autorizzazioni del ruolo, Recommender potrebbe consigliarti di revocare il ruolo. Se necessario, il Recommender consiglia anche ruoli meno permissivi come alternativa.

Se applichi automaticamente un consiglio, potresti inavvertitamente impedire a un account utente o servizio di accedere a una risorsa. Se decidi di utilizzare le automazioni, consulta le best practice per il motore per suggerimenti IAM per decidere quanto ti senti a tuo agio con l'automazione.

Spazi dei nomi e RBAC di Kubernetes

Kubernetes viene gestito come servizio gestito su Google Cloud come Google Kubernetes Engine (GKE). GKE può applicare criteri che sono coerenti indipendentemente da dove viene eseguito il cluster GKE. I criteri che influiscono sull'accesso alle risorse sono una combinazione di controlli Kubernetes integrati e controlli specifici di Google Cloud.

Oltre ai firewall VPC e ai Controlli di servizio VPC, GKE utilizza gli spazi dei nomi, il controllo controllo dell'accesso basato su ruoli (RBAC) e le identità del carico di lavoro per gestire i criteri che influiscono sull'accesso alle risorse.

Spazi dei nomi

Gli spazi dei nomi sono cluster virtuali basati sullo stesso cluster fisico e forniscono un ambito per i nomi. I nomi delle risorse devono essere univoci all'interno di uno spazio dei nomi, ma puoi utilizzare lo stesso nome in spazi dei nomi diversi. Gli spazi dei nomi ti consentono di utilizzare quote delle risorse per suddividere le risorse del cluster tra più utenti.

RBAC

Il RBAC include le seguenti funzionalità:

  • Controllo granulare della modalità di accesso degli utenti alle risorse dell'API in esecuzione sul tuo cluster.
    • Ti consente di creare criteri dettagliati che definiscono le operazioni e le risorse a cui consenti agli utenti e agli account di servizio di accedere.
    • Può controllare l'accesso per gli account Google, gli account di servizio Google Cloud e gli account di servizio Kubernetes.
  • Ti consente di creare autorizzazioni RBAC che si applicano all'intero cluster o a specifici spazi dei nomi al suo interno.
    • Le autorizzazioni a livello di cluster sono utili per limitare l'accesso a risorse API specifiche per determinati utenti. Queste risorse API includono criteri di sicurezza e secret.
    • Le autorizzazioni specifiche per lo spazio dei nomi sono utili se, ad esempio, hai più gruppi di utenti che operano nei rispettivi spazi dei nomi. RBAC può aiutarti ad assicurarti che gli utenti abbiano accesso solo alle risorse del cluster all'interno del proprio spazio dei nomi.
  • Un ruolo che può essere utilizzato solo per concedere l'accesso alle risorse all'interno di un singolo spazio dei nomi.
  • Un ruolo che contiene regole che rappresentano un insieme di autorizzazioni. Le autorizzazioni sono puramente cumulative e non esistono regole di negazione.

IAM e Kubernetes RBAC sono integrati in modo che gli utenti siano autorizzati a eseguire azioni se dispongono di autorizzazioni sufficienti in base a entrambi gli strumenti.

La Figura 1 mostra come utilizzare IAM con RBAC e gli spazi dei nomi per implementare i criteri.

IAM e il controllo degli accessi basato sui ruoli di Google Kubernetes Engine collaborano per controllare l'accesso a un cluster GKE (fai clic per ingrandire).

La Figura 1 mostra le seguenti implementazioni dei criteri:

  1. A livello di progetto, IAM definisce i ruoli per gli amministratori dei cluster in modo che possano gestire i cluster e consentire agli sviluppatori di container di accedere alle API all'interno dei cluster.
  2. A livello di cluster, il RBAC definisce le autorizzazioni per i singoli cluster.
  3. A livello di spazio dei nomi, il RBAC definisce le autorizzazioni per gli spazi dei nomi.

Workload Identity

Oltre a RBAC e IAM, devi anche comprendere l'impatto delle identità di carico di lavoro. Workload Identity ti consente di configurare un account di servizio Kubernetes in modo che agisca come account di servizio Google. Qualsiasi applicazione che viene eseguita come account di servizio Kubernetes si autentica automaticamente come account di servizio Google quando accede alle API di Google Cloud. Questa autenticazione ti consente di assegnare l'identità e l'autorizzazione granulari per le applicazioni nel tuo cluster.

La federazione delle identità per i carichi di lavoro per GKE si basa sulle autorizzazioni IAM per controllare a quali API Google Cloud può accedere la tua applicazione GKE. Ad esempio, se le autorizzazioni IAM cambiano, un'applicazione GKE potrebbe non essere più in grado di scrivere in Cloud Storage.

Strumenti per la risoluzione dei problemi

Questa sezione descrive gli strumenti disponibili per aiutarti a risolvere i problemi relativi alle tue norme. Puoi utilizzare diversi prodotti e funzionalità per applicare una combinazione di norme. Ad esempio, puoi utilizzare firewall e subnet per gestire la comunicazione tra le risorse all'interno del tuo ambiente e all'interno di eventuali zone di sicurezza che hai definito. Puoi anche utilizzare IAM per limitare chi può accedere a cosa all'interno della zona di sicurezza e a eventuali zone di Controlli di servizio VPC che hai definito.

Log

Quando si verifica un problema, in genere la prima cosa da fare per iniziare la risoluzione dei problemi è esaminare i log. I log di Google Cloud che forniscono informazioni sui problemi relativi all'accesso sono Cloud Audit Logs, la registrazione delle regole firewall e i log di flusso VPC.

Cloud Audit Logs

Cloud Audit Logs è costituito dai seguenti stream di audit log per ogni progetto, cartella e organizzazione: attività di amministrazione, accesso ai dati ed evento di sistema. I servizi Google Cloud scrivono voci di log di controllo in questi log per aiutarti a identificare l'utente che ha eseguito un'azione all'interno dei tuoi progetti Google Cloud, dove e quando.

  • I log delle attività di amministrazione contengono voci di log per le chiamate API o altre azioni amministrative che modificano la configurazione o i metadati delle risorse. I log delle attività di amministrazione sono sempre abilitati. Per informazioni sui prezzi e sulle quote dei log delle attività di amministrazione, consulta la panoramica dei log di controllo di Cloud.
  • I log di accesso ai dati registrano le chiamate API che creano, modificano o leggono i dati forniti dall'utente. Gli audit log di accesso ai dati sono disabilitati per impostazione predefinita, tranne per BigQuery. I log di accesso ai dati possono diventare molto grandi e comportare costi. Per informazioni sui limiti di utilizzo dei log degli accessi ai dati, consulta Quote e limiti. Per informazioni sui potenziali costi, consulta Prezzi.
  • I log degli eventi di sistema contengono voci di log relative alle esecuzioni di un evento di sistema da parte di Compute Engine. Ad esempio, ogni migrazione live viene registrata come evento di sistema. Per informazioni sui prezzi e sulle quote degli audit log degli eventi di sistema, consulta la panoramica degli audit log di Cloud.

In Cloud Logging, il campo protoPayload contiene un AuditLog oggetto che memorizza i dati dell'audit logging. Per un esempio di voce del log di controllo, consulta la voce del log di controllo di esempio.

Per visualizzare i log di controllo delle attività amministrative, devi disporre del ruolo Visualizzatore log (roles/logging.viewer) o del ruolo di visualizzatore di base (roles/viewer). Se possibile, seleziona il ruolo con i privilegi meno richiesti per completare l'attività.

Le singole voci del log di controllo vengono memorizzate per un periodo di tempo specificato. Per una conservazione più lunga, puoi esportare le voci di log in Cloud Storage, BigQuery o Pub/Sub. Per esportare le voci di log da tutti i progetti, le cartelle e gli account di fatturazione della tua organizzazione, puoi utilizzare le esportazioni aggregate. Le esportazioni aggregate ti offrono un modo centralizzato per esaminare i log dell'organizzazione.

Per utilizzare i log di controllo per la risoluzione dei problemi:

  • Assicurati di disporre dei ruoli IAM necessari per visualizzare i log. Se esporti i log, devi disporre anche delle autorizzazioni per visualizzare i log esportati nel sink.
  • Segui le best practice per l'utilizzo dei log di controllo per soddisfare la tua strategia di controllo.
  • Seleziona una strategia di gruppo per visualizzare i log. Esistono diversi modi per visualizzare i log in Cloud Audit Logs e tutti i membri del team di risoluzione dei problemi devono utilizzare lo stesso metodo.
  • Utilizza la pagina Attività della console Google Cloud per avere una visione di alto livello dei log delle attività.
  • Visualizza i log esportati dal sink in cui sono stati esportati. I log che rientrano al di fuori del periodo di conservazione sono visibili solo nel sink. Puoi anche utilizzare i log esportati per eseguire un'indagine comparativa, ad esempio rispetto a un momento in cui tutto ha funzionato come previsto.

Logging delle regole firewall

Il logging delle regole del firewall consente di controllare, verificare e analizzare gli effetti delle regole del firewall. Ad esempio, puoi determinare se una regola firewall progettata per negare il traffico funziona come previsto.

Devi attivare il logging delle regole firewall singolarmente per ogni regola firewall per le cui connessioni devi generare log. Il logging delle regole firewall è un'opzione per qualsiasi regola firewall, indipendentemente dall'azione (consenti o nega) o dalla direzione (in entrata o in uscita) della regola. Il logging delle regole firewall può generare molti dati. Il logging delle regole firewall prevede un addebito associato, quindi devi pianificare attentamente le connessioni da registrare.

Determina dove vuoi archiviare i log del firewall. Se vuoi avere una visualizzazione dei log a livello di organizzazione, esporta i log del firewall nello stesso sink degli audit log. Utilizza filtri per cercare eventi firewall specifici.

Firewall Insights

Firewall Insights fornisce report contenenti informazioni sull'utilizzo del firewall e sull'impatto di varie regole firewall sulla rete VPC. Puoi utilizzare Firewall Insights per verificare che le regole firewall consentano o blocchino le connessioni previste.

Puoi anche utilizzare Firewall Insights per rilevare le regole firewall che vengono oscurate da altre regole. Una regola con shadowing è una regola firewall in cui tutti gli attributi pertinenti, come l'intervallo di indirizzi IP e le porte, sono sovrapposti agli attributi di una o più altre regole firewall con priorità uguale o superiore. Le regole con ombre vengono calcolate entro 24 ore dall'attivazione del logging delle regole firewall.

Quando attivi il logging delle regole firewall, Firewall Insights analizza i log per suggerire approfondimenti per qualsiasi regola deny utilizzata nel periodo di osservazione specificato (per impostazione predefinita, le ultime 24 ore). Gli insight sulle regole di rifiuto forniscono indicatori di perdita di pacchetti del firewall. Puoi utilizzare gli indicatori di perdita di pacchetti per verificare che i pacchetti persi siano previsti a causa di protezioni di sicurezza o che i pacchetti persi siano imprevisti a causa di problemi come le configurazioni errate della rete.

Log di flusso VPC

I log di flusso VPC registrano un campione di flussi di rete inviati e ricevuti dalle istanze VM. I log di flusso VPC coprono il traffico che interessa una VM. Tutto il traffico in uscita viene registrato, anche se una regola firewall di rifiuto in uscita blocca il traffico. Il traffico in entrata viene registrato se una regola firewall di autorizzazione in entrata consente il traffico. Il traffico in entrata non viene registrato se una regola firewall di rifiuto in entrata blocca il traffico.

I log di flusso vengono raccolti per ogni connessione VM a intervalli specifici. Tutti i pacchetti campionati raccolti per un determinato intervallo per una determinata connessione, ovvero un intervallo di aggregazione, vengono aggregati in un'unica voce del log di flusso. La voce del flusso di log viene poi inviata a Cloud Logging.

I log di flusso VPC sono abilitati o disabilitati per ogni subnet VPC. Quando attivi i log di flusso VPC, vengono generati molti dati. Ti consigliamo di gestire attentamente le subnet in cui attivi i log di flusso VPC. Ad esempio, ti consigliamo di non attivare i log flussi per un periodo prolungato sulle sottoreti utilizzate dai progetti di sviluppo. Puoi eseguire query sui log di flusso VPC direttamente utilizzando Cloud Logging o l'eseguitore di importazione esportato. Quando risolvi i problemi percepiti relativi al traffico, puoi utilizzare i log di flusso VPC per vedere se il traffico entra o esce da una VM tramite la porta prevista.

Avvisi

Gli avvisi ti consentono di ricevere una notifica tempestiva di eventuali eventi non conformi alle norme che potrebbero incidere sull'accesso alle tue risorse Google Cloud.

Notifiche in tempo reale

Cloud Asset Inventory conserva una cronologia di cinque settimane dei metadati delle risorse di Google Cloud. Un asset è una risorsa Google Cloud supportata. Le risorse supportate includono IAM, Compute Engine con funzionalità di rete associate come regole firewall e spazi dei nomi GKE e associazioni di ruoli e ruoli cluster. Tutte le risorse precedenti influiscono sull'accesso alle risorse Google Cloud.

Per monitorare le deviazioni dalle configurazioni delle risorse, ad esempio le regole firewall e di inoltro, puoi iscriverti alle notifiche in tempo reale. Se le configurazioni delle risorse cambiano, le notifiche in tempo reale inviano immediatamente una notifica tramite Pub/Sub. Le notifiche possono avvisarti in anticipo di eventuali problemi, evitando così una chiamata all'assistenza.

Cloud Audit Logs e funzioni Cloud Run

Per integrare l'utilizzo delle notifiche in tempo reale, puoi monitorare Cloud Logging e inviare avvisi sulle chiamate alle azioni sensibili. Ad esempio, puoi creare un destinatario Cloud Logging che filtra le chiamate a SetIamPolicy a livello di organizzazione. Il sink invia i log a un argomento Pub/Sub che puoi utilizzare per attivare la funzione Cloud Run.

Connectivity Tests

Per determinare se un problema di accesso è correlato alla rete o alle autorizzazioni, utilizza lo strumento Connectivity Tests del Network Intelligence Center. Connectivity Tests è uno strumento di diagnostica e analisi della configurazione statica che consente di verificare la connettività tra un endpoint di origine e uno di destinazione. Connectivity Tests ti aiutano a identificare la causa principale dei problemi di accesso relativi alla rete associati alla configurazione della rete Google Cloud.

Connectivity Tests eseguono test che includono la rete VPC, il peering di reti VPC e i tunnel VPN alla rete on-premise. Ad esempio, Connectivity Tests potrebbe rilevare che una regola firewall blocca la connettività. Per ulteriori informazioni, consulta Casi d'uso comuni.

Policy Troubleshooter

Molte attività in Google Cloud richiedono un ruolo IAM e le autorizzazioni associate. Ti consigliamo di controllare le autorizzazioni contenute in un ruolo e di verificare ogni autorizzazione necessaria per completare un'attività. Ad esempio, per utilizzare le immagini Compute Engine per creare un'istanza, un utente deve disporre del ruolo compute.imageUser, che include nove autorizzazioni. Pertanto, l'utente deve disporre di una combinazione di ruoli e autorizzazioni che includa tutte e nove le autorizzazioni.

Policy Troubleshooter è uno strumento della console Google Cloud che ti aiuta a eseguire il debug del motivo per cui un account utente o servizio non ha l'autorizzazione per accedere a una risorsa. Per risolvere i problemi di accesso, utilizza la parte IAM dello strumento per la risoluzione dei problemi relativi ai criteri.

Ad esempio, potresti voler controllare perché un determinato utente può creare oggetti nei bucket di un progetto, mentre un altro utente non può. Lo strumento per la risoluzione dei problemi relativi ai criteri può aiutarti a vedere quali autorizzazioni ha il primo utente e non il secondo.

Lo strumento per la risoluzione dei problemi relativi ai criteri richiede i seguenti input:

  • Persona giuridica (utente singolo, account di servizio o gruppi)
  • Autorizzazione (tieni presente che si tratta delle autorizzazioni di base, non dei ruoli IAM)
  • Risorsa

Motore per suggerimenti IAM

Sebbene IAM Recommender sia un controllo di applicazione delle norme come descritto nella precedente sezione Recommender, puoi anche utilizzarlo come strumento per la risoluzione dei problemi. Il motore per suggerimenti esegue un job giornaliero che analizza i dati dei log di accesso IAM e le autorizzazioni concesse nei 60 giorni precedenti. Puoi utilizzare Recommender per verificare se di recente è stato approvato e applicato un consiglio che potrebbe aver influito sull'accesso di un utente a una risorsa consentita in precedenza. In questo caso, puoi concedere le autorizzazioni rimosse.

Riassegnazione all'assistenza clienti

Quando risolvi i problemi relativi all'accesso, è importante avere una buona procedura di assistenza interna e una procedura ben definita per la riassegnazione all'assistenza clienti Cloud. Questa sezione descrive un esempio di configurazione dell'assistenza e come puoi comunicare con il servizio clienti per aiutarlo a risolvere rapidamente i tuoi problemi.

Se non riesci a risolvere un problema utilizzando gli strumenti descritti in questo documento, una procedura di assistenza ben definita aiuta l'Assistenza clienti a risolvere i problemi. Ti consigliamo di adottare un approccio sistematico alla risoluzione dei problemi, come descritto nel capitolo sulla risoluzione dei problemi del libro di Google Site Reliability Engineering (SRE).

Ti consigliamo di impostare la procedura di assistenza interna in modo che:

  • Indica nel dettaglio le procedure da seguire in caso di problemi.
  • Avere un percorso di riassegnazione chiaramente definito.
  • Configura una procedura di chiamata.
  • Crea un piano di risposta agli incidenti.
  • Configura un sistema di monitoraggio dei bug o di help desk.
  • Assicurati che il personale di assistenza sia autorizzato a comunicare con l'Assistenza clienti e che i contatti siano identificati.
  • Comunica le procedure di assistenza al personale interno, inclusa la modalità di contattare i contatti nominati di Google Cloud.
  • Analizza regolarmente i problemi di assistenza, esegui l'iterazione e migliora in base a ciò che hai imparato.
  • Includi un modulo di analisi retrospettiva standardizzato.

Se devi riassegnarlo all'assistenza clienti, tieni a portata di mano le seguenti informazioni da condividere con l'assistenza clienti per la risoluzione dei problemi di accesso:

  • L'identità (indirizzo email dell'account utente o di servizio) che richiede l'accesso.
    • Se il problema riguarda tutte le identità o solo alcune.
    • Se sono interessate solo alcune identità, fornisci un'identità di esempio che funziona e un'identità di esempio che non funziona.
  • Indica se l'identità è stata ricreata di recente.
  • La risorsa a cui l'utente sta tentando di accedere (includere l'ID progetto).
  • La richiesta o il metodo che viene chiamato.
    • Fornisci una copia della richiesta e della risposta.
  • Le autorizzazioni concesse all'identità per questo accesso.
    • Fornisci una copia del criterio IAM.
  • L'origine (località) da cui l'identità sta tentando di accedere alle risorse. Ad esempio, se tentano di accedere da una risorsa Google Cloud (ad esempio un'istanza Compute Engine), dalla console Google Cloud, da Google Cloud CLI, da Cloud Shell o da una fonte esterna come on-premise o internet.
    • Se l'origine proviene da un altro progetto, fornisci l'ID progetto di origine.
  • L'ora (timestamp) in cui si è verificato per la prima volta l'errore e se si tratta ancora di un problema.
  • L'ultima volta nota in cui l'identità ha eseguito l'accesso alla risorsa (includi i timestamp).
  • Eventuali modifiche apportate prima dell'inizio del problema (inclusi i timestamp).
  • Eventuali errori registrati in Cloud Logging. Prima di condividere i dati con il servizio clienti, assicurati di oscurare i dati sensibili come token di accesso, credenziali e numeri di carte di credito.

Passaggi successivi

Per altre architetture di riferimento, diagrammi e best practice, visita il Centro architetture di Google Cloud.