Esta página foi traduzida pela API Cloud Translation.

Resolva problemas de políticas e acesso

Este documento fornece uma vista geral dos controlos de aplicação da Google Cloud política de acesso e das ferramentas disponíveis para ajudar a resolver problemas de acesso. Este documento destina-se às equipas de apoio técnico que querem ajudar os clientes na respetiva organização a resolver problemas relacionados com o acesso aos respetivos Google Cloud recursos.

Google Cloud controlos de aplicação de políticas de acesso

Esta secção descreve as políticas que o administrador da sua organização ou si pode implementar e que afetam o acesso aos seus Google Cloud recursos. Implementa políticas de acesso através da utilização de todos ou alguns dos seguintes produtos e ferramentas.

Etiquetas, etiquetas de rede e etiquetas

Google Cloud oferece várias formas de etiquetar e agrupar recursos. Pode usar etiquetas, identificadores e etiquetas de rede para ajudar a aplicar políticas.

As etiquetas são pares de chave-valor que ajudam a organizar os seus Google Cloud recursos. Muitos Google Cloud serviços suportam etiquetas. Também pode usar etiquetas para filtrar e agrupar recursos para outros exemplos de utilização, por exemplo, para identificar todos os recursos que estão num ambiente de teste em oposição aos recursos que estão em produção. No contexto da aplicação de políticas, as etiquetas podem identificar onde os recursos devem estar localizados. Por exemplo, as políticas de acesso que aplica a recursos etiquetados como recursos de teste são diferentes das políticas de acesso que aplica a recursos etiquetados como recursos de produção.

As etiquetas são pares de chave-valor que fornecem um mecanismo para identificar recursos e aplicar políticas. Pode anexar etiquetas a uma organização, uma pasta ou um projeto. Uma etiqueta aplica-se a todos os recursos ao nível da hierarquia ao qual a etiqueta é aplicada. Pode usar etiquetas para permitir ou negar condicionalmente políticas de acesso com base no facto de um recurso ter uma etiqueta específica. Também pode usar etiquetas com políticas de firewall para controlar o tráfego numa rede de nuvem virtual privada (VPC). Compreender como as etiquetas são herdadas e combinadas com as políticas de acesso e firewall é importante para a resolução de problemas.

As etiquetas de rede são diferentes das etiquetas do Resource Manager anteriores. As etiquetas de rede aplicam-se a instâncias de VM e são outra forma de controlar o tráfego de rede para e a partir de uma VM. Nas Google Cloud redes, as etiquetas de rede identificam as VMs que estão sujeitas a regras de firewall e trajetos de rede. Pode usar etiquetas de rede como valores de origem e destino nas regras de firewall. Também pode usar etiquetas de rede para identificar a que VMs se aplica uma determinada rota. A compreensão das etiquetas de rede pode ajudar a resolver problemas de acesso, uma vez que as etiquetas de rede são usadas para definir regras de rede e encaminhamento.

Regras de firewall da VPC

Pode configurar regras de firewall da VPC para permitir ou negar tráfego de e para as suas instâncias de máquinas virtuais (VMs) e produtos criados em VMs. Todas as redes da VPC funcionam como uma firewall distribuída. Embora as regras de firewall de VPC sejam definidas ao nível da rede, as ligações são permitidas ou recusadas por instância. Pode aplicar regras de firewall da VPC à rede VPC, às VMs agrupadas por etiquetas e às VMs agrupadas por contas de serviço.

VPC Service Controls

Os VPC Service Controls oferecem uma solução de segurança de perímetro que ajuda a mitigar a exfiltração de dados de Google Cloud serviços como o Cloud Storage e o BigQuery. Cria um perímetro de serviço que cria um limite de segurança em torno dos Google Cloud recursos e pode gerir o que é permitido dentro e fora do perímetro. Os VPC Service Controls também fornecem controlos de acesso sensíveis ao contexto através da implementação de políticas baseadas em atributos contextuais, como o endereço IP e a identidade.

Resource Manager

Usa o Resource Manager para configurar um recurso de organização. O Resource Manager fornece ferramentas que lhe permitem mapear a sua organização e a forma como desenvolve aplicações para uma hierarquia de recursos. Além de ajudar a agrupar os recursos de forma lógica, o Resource Manager fornece pontos de ligação e herança para controlo de acesso e políticas da organização.

Gestão de identidade e de acesso

A gestão de identidade e de acesso (IAM) permite-lhe definir quem (identidade) tem que acesso (função) para que recurso. Uma política IAM é um conjunto de declarações que define quem tem que tipo de acesso, como acesso de leitura ou escrita. A política de IAM está anexada a um recurso e aplica o controlo de acesso sempre que um utilizador tenta aceder ao recurso.

Uma funcionalidade do IAM são as condições do IAM. Quando implementa as condições da IAM como parte da definição da política, pode optar por conceder acesso aos recursos a identidades (diretores) apenas se as condições configuradas forem cumpridas. Por exemplo, pode usar as condições da IAM para limitar o acesso aos recursos apenas para os funcionários que fazem pedidos a partir do seu escritório corporativo.

Serviço de políticas da organização

O serviço de políticas da organização permite-lhe aplicar restrições a recursos suportados na hierarquia da sua organização. Cada recurso suportado pela política de organização tem um conjunto de restrições que descrevem as formas como o recurso pode ser restringido. Define uma política que define regras específicas que restringem a configuração de recursos.

O serviço de políticas da organização permite-lhe, enquanto administrador autorizado, substituir as políticas da organização predefinidas ao nível da pasta ou do projeto, conforme necessário. As políticas da organização focam-se na forma como configura os recursos, enquanto as políticas IAM focam-se nas autorizações que as suas identidades receberam para esses recursos.

Quotas

Google Cloud Aplica quotas aos recursos, o que define um limite para a quantidade de um determinado Google Cloud recurso que o seu projeto pode usar. O número de projetos que tem também está sujeito a uma quota. Os seguintes tipos de utilização de recursos estão limitados por quotas:

Quota de taxa, como pedidos de API por dia. Esta quota é reposta após um período especificado, como um minuto ou um dia.
Quota de alocação, como o número de máquinas virtuais ou balanceadores de carga usados pelo seu projeto. Esta quota não é reposta ao longo do tempo. Uma quota de atribuição tem de ser explicitamente libertada quando já não quiser usar o recurso, por exemplo, eliminando um cluster do Google Kubernetes Engine (GKE).

Se atingir um limite de quota de atribuição, não pode iniciar novos recursos. Se atingir uma quota de taxa, não pode concluir pedidos da API. Ambos os problemas podem parecer relacionados com o acesso.

Chrome Enterprise Premium

O Chrome Enterprise Premium usa vários Google Cloud produtos para aplicar o controlo de acesso granular com base na identidade do utilizador e no contexto do pedido. Pode configurar o Chrome Enterprise Premium para restringir o acesso à Google Cloud consola e às Google Cloud APIs.

A proteção de acesso do Chrome Enterprise Premium funciona através dos seguintes Google Cloud serviços:

Identity-Aware Proxy (IAP): Um serviço que valida a identidade do utilizador e usa o contexto para determinar se um utilizador deve ter acesso a um recurso.
IAM: O serviço de gestão de identidade e autorização para Google Cloud.
Gestor de acesso sensível ao contexto: Um motor de regras que permite um controlo de acesso detalhado.
Validação de pontos finais: Uma extensão do Google Chrome que recolhe detalhes do dispositivo do utilizador.

IAM Recommender

A IAM inclui ferramentas de inteligência de políticas que lhe oferecem um conjunto abrangente de orientações proativas para ajudar a ser mais eficiente e seguro quando usa o Google Cloud. As ações recomendadas são-lhe fornecidas através de notificações na consola, que pode aplicar diretamente ou através de um evento enviado para um tópico do Pub/Sub.

O IAM Recommender faz parte do conjunto Policy Intelligence e pode usá-lo para ajudar a aplicar o princípio do menor privilégio. O Recommender compara as concessões de funções ao nível do projeto com as autorizações que cada principal usou durante os últimos 90 dias. Se conceder uma função ao nível do projeto a um principal e o principal não usar todas as autorizações dessa função, o Recomendador pode recomendar que revogue a função. Se necessário, o Recommender também recomenda funções menos permissivas como substituição.

Se aplicar automaticamente uma recomendação, pode, inadvertidamente, fazer com que seja negado o acesso de um utilizador ou de uma conta de serviço a um recurso. Se decidir usar as automatizações, use as práticas recomendadas do IAM Recommender para ajudar a decidir o nível de automatização com o qual se sente confortável.

Namespaces do Kubernetes e RBAC

O Kubernetes é operado como um serviço gerido no Google Cloud como Google Kubernetes Engine (GKE). O GKE pode aplicar políticas que são consistentes, independentemente de onde o seu cluster do GKE está a ser executado. As políticas que afetam o acesso aos recursos são uma combinação de controlos do Kubernetes incorporados e Google Cloud controlos específicos.

Além das firewalls de VPC e dos VPC Service Controls, o GKE usa espaços de nomes, controlo de acesso baseado em funções (RBAC) e identidades de cargas de trabalho para gerir políticas que afetam o acesso aos recursos.

Espaços de nomes

Os espaços de nomes são clusters virtuais suportados pelo mesmo cluster físico e fornecem um âmbito para os nomes. Os nomes dos recursos têm de ser exclusivos num espaço de nomes, mas pode usar o mesmo nome em espaços de nomes diferentes. Os espaços de nomes permitem-lhe usar quotas de recursos para dividir os recursos do cluster entre vários utilizadores.

RBAC

O RBAC inclui as seguintes funcionalidades:

Controlo detalhado sobre a forma como os utilizadores acedem aos recursos da API que estão a ser executados no seu cluster.
- Permite-lhe criar políticas detalhadas que definem as operações e os recursos aos quais permite que os utilizadores e as contas de serviço acedam.
- Pode controlar o acesso para Contas Google, Google Cloud contas de serviço e contas de serviço do Kubernetes.
Permite-lhe criar autorizações RBAC que se aplicam a todo o cluster ou a namespaces específicos no cluster.
- As autorizações ao nível do cluster são úteis para limitar o acesso a recursos de API específicos para determinados utilizadores. Estes recursos da API incluem políticas de segurança e segredos.
- As autorizações específicas do espaço de nomes são úteis se, por exemplo, tiver vários grupos de utilizadores que operam nos respetivos espaços de nomes. O RBAC pode ajudar a garantir que os utilizadores só têm acesso aos recursos do cluster no respetivo espaço de nomes.
Uma função que só pode ser usada para conceder acesso a recursos num único espaço de nomes.
Uma função que contém regras que representam um conjunto de autorizações. As autorizações são puramente cumulativas e não existem regras de recusa.

O IAM e o RBAC do Kubernetes estão integrados para que os utilizadores sejam autorizados a realizar ações se tiverem autorizações suficientes de acordo com qualquer uma das ferramentas.

A Figura 1 mostra como usar o IAM com RBAC e namespaces para implementar políticas.

A Figura 1 mostra as seguintes implementações de políticas:

Ao nível do projeto, o IAM define funções para os administradores de clusters gerirem clusters e permitirem que os programadores de contentores acedam às APIs nos clusters.
Ao nível do cluster, o RBAC define autorizações em clusters individuais.
Ao nível do espaço de nomes, o RBAC define autorizações nos espaços de nomes.

Workload Identity

Além do RBAC e da IAM, também tem de compreender o impacto das identidades de cargas de trabalho. O Workload Identity permite-lhe configurar uma conta de serviço do Kubernetes para atuar como uma conta de serviço Google. Qualquer aplicação que seja executada como a conta de serviço do Kubernetes é automaticamente autenticada como a conta de serviço Google quando acede às APIs. Google CloudEsta autenticação permite-lhe atribuir identidade e autorização detalhadas para aplicações no seu cluster.

A Workload Identity Federation para o GKE baseia-se nas autorizações da IAM para controlar a queGoogle Cloud APIs a sua aplicação do GKE pode aceder. Por exemplo, se as autorizações de IAM mudarem, uma aplicação do GKE pode ficar impossibilitada de escrever no Cloud Storage.

Ferramentas de resolução de problemas

Esta secção descreve as ferramentas disponíveis para ajudar a resolver problemas com as suas políticas. Pode usar diferentes produtos e funcionalidades para aplicar uma combinação de políticas. Por exemplo, pode usar firewalls e sub-redes para gerir a comunicação entre recursos no seu ambiente e em quaisquer zonas de segurança que tenha definido. Também pode usar o IAM para restringir quem pode aceder a quê na zona de segurança e a quaisquer zonas do VPC Service Controls que tenha definido.

Registos

Quando ocorre um problema, normalmente, o primeiro passo para a resolução é consultar os registos. Os Google Cloud registos que fornecem estatísticas sobre problemas relacionados com o acesso são os registos de auditoria da nuvem, o registo de regras de firewall e os registos de fluxo de VPC.

Cloud Audit Logs

Os registos de auditoria do Cloud consistem nas seguintes streams de registos de auditoria para cada projeto, pasta e organização: atividade do administrador, acesso aos dados e evento do sistema. Google Cloud Os serviços escrevem entradas de registos de auditoria nestes registos para ajudar a identificar que utilizador realizou uma ação nos seus Google Cloud projetos, onde o fez e quando.

Os registos de atividade de administrador contêm entradas de registo para chamadas API ou outras ações administrativas que modificam a configuração ou os metadados dos recursos. Os registos de atividade do administrador estão sempre ativados. Para ver informações sobre os preços e as quotas dos registos de atividade do administrador, consulte a vista geral dos registos de auditoria do Cloud.
Os registos de acesso aos dados registam chamadas API que criam, modificam ou leem dados fornecidos pelos utilizadores. Os registos de auditoria de acesso aos dados estão desativados por predefinição, exceto para o BigQuery. Os registos de acesso aos dados podem aumentar de tamanho e podem gerar custos. Para aceder a informações sobre os limites de utilização dos registos de acesso aos dados, consulte o artigo Quotas e limites. Para informações sobre potenciais custos, consulte a secção Preços.
Os registos de eventos do sistema contêm entradas de registo para quando o Compute Engine realiza um evento do sistema. Por exemplo, cada migração em direto é registada como um evento do sistema. Para informações sobre os preços e as quotas dos registos de eventos do sistema, consulte a vista geral dos registos de auditoria do Cloud.

No Cloud Logging, o campo protoPayload contém um objeto AuditLog que armazena os dados de registo de auditoria. Para ver um exemplo de uma entrada do registo de auditoria, consulte a entrada de registo de auditoria de amostra.

Para ver os registos de auditoria da atividade de administrador, tem de ter a função de leitor de registos (roles/logging.viewer) ou a função básica de leitor (roles/viewer). Sempre que possível, selecione a função com os privilégios mínimos necessários para concluir a tarefa.

As entradas individuais do registo de auditoria são armazenadas durante um período especificado. Para uma retenção mais longa, pode exportar as entradas do registo para o Cloud Storage, o BigQuery ou o Pub/Sub. Para exportar entradas de registo de todos os projetos, pastas e contas de faturação da sua organização, pode usar exportações agregadas. As exportações agregadas oferecem-lhe uma forma centralizada de rever os registos em toda a organização.

Para usar os registos de auditoria para ajudar na resolução de problemas, faça o seguinte:

Certifique-se de que tem as funções de IAM necessárias para ver os registos. Se exportar os registos, também precisa de autorizações para ver os registos exportados no destino.
Siga as práticas recomendadas para usar registos de auditoria de modo a cumprir a sua estratégia de auditoria.
Selecione uma estratégia de equipa para ver os registos. Existem várias formas de ver registos nos registos de auditoria da nuvem, e todos os membros da sua equipa de resolução de problemas devem usar o mesmo método.
Use a Google Cloud página Atividade da consola para ter uma vista geral dos seus registos de atividade.
Veja os registos exportados a partir do destino para o qual foram exportados. Os registos que estão fora do período de retenção só são visíveis no destino. Também pode usar registos exportados para fazer uma investigação de comparação, por exemplo, com um momento em que tudo funcionava como esperado.

Registo de regras de firewall

O registo de regras de firewall permite-lhe auditar, validar e analisar os efeitos das suas regras de firewall. Por exemplo, pode determinar se uma regra de firewall concebida para recusar tráfego está a funcionar como pretendido.

Ativa o registo das regras de firewall individualmente para cada regra de firewall cujas ligações tem de registar. O registo de regras de firewall é uma opção para qualquer regra de firewall, independentemente da ação (permitir ou recusar) ou da direção (entrada ou saída) da regra. O registo das regras de firewall pode gerar muitos dados. O registo de regras de firewall tem um custo associado, pelo que tem de planear cuidadosamente as ligações que quer registar.

Determine onde quer armazenar os registos da firewall. Se quiser uma vista dos registos ao nível da organização, exporte os registos da firewall para o mesmo destino que os registos de auditoria. Use filtros para pesquisar eventos de firewall específicos.

Firewall Insights

O Firewall Insights fornece relatórios que contêm informações sobre a utilização da firewall e o impacto de várias regras de firewall na sua rede VPC. Pode usar o Firewall Insights para verificar se as regras de firewall permitem ou bloqueiam as ligações pretendidas.

Também pode usar o Firewall Insights para detetar regras de firewall que são ocultadas por outras regras. Uma regra sombreada é uma regra de firewall que tem todos os respetivos atributos relevantes, como o intervalo de endereços IP e as portas, sobrepostos por atributos de uma ou mais regras de firewall que têm uma prioridade superior ou igual. As regras sobrepostas são calculadas no prazo de 24 horas após ativar o registo das regras de firewall.

Quando ativa o registo das regras de firewall, o Firewall Insights analisa os registos para sugerir estatísticas para qualquer regra de recusa usada no período de observação especificado (por predefinição, as últimas 24 horas). As informações das regras de rejeição fornecem-lhe sinais de eliminação de pacotes da firewall. Pode usar os sinais de eliminação de pacotes para verificar se os pacotes eliminados são esperados devido a proteções de segurança ou se os pacotes eliminados são inesperados devido a problemas como configurações incorretas da rede.

VPC Flow Logs

Os registos de fluxo da VPC registam uma amostra de fluxos de rede enviados e recebidos por instâncias de VM. Os registos de fluxo da VPC abrangem o tráfego que afeta uma VM. Todo o tráfego de saída é registado, mesmo que uma regra de firewall de negação de saída bloqueie o tráfego. O tráfego de entrada é registado se uma regra de firewall de permissão de entrada permitir o tráfego. O tráfego de entrada não é registado se uma regra de firewall de negação de entrada bloquear o tráfego.

Os registos de fluxo são recolhidos para cada ligação de VM a intervalos específicos. Todos os pacotes de amostra recolhidos para um determinado intervalo para uma determinada ligação, ou seja, um intervalo de agregação, são agregados numa única entrada do registo de fluxo. A entrada do fluxo de registo é, em seguida, enviada para o Cloud Logging.

Os registos de fluxo de VPC estão ativados ou desativados para cada sub-rede de VPC. Quando ativa os registos de fluxo de VPC, estes geram muitos dados. Recomendamos que faça uma gestão cuidadosa das sub-redes nas quais ativa os registos de fluxo da VPC. Por exemplo, recomendamos que não ative os registos de fluxo durante um período prolongado em sub-redes usadas por projetos de desenvolvimento. Pode consultar os registos de fluxo de VPC diretamente através do Cloud Logging ou do destino exportado. Quando resolve problemas relacionados com o tráfego, pode usar os registos de fluxo da VPC para ver se o tráfego está a sair ou a entrar numa VM através da porta esperada.

Alertas

Os alertas permitem-lhe receber notificações oportunas de eventos fora da política que possam afetar o acesso aos seus recursos do Google Cloud .

Notificações em tempo real

O Cloud Asset Inventory mantém um histórico de cinco semanas dos metadados dos recursos. Google CloudUm recurso é um recurso Google Cloud suportado Google Cloud . Os recursos suportados incluem IAM, Compute Engine com funcionalidades de rede associadas, como regras de firewall e espaços de nomes do GKE, bem como associações de funções e funções de cluster. Todos os recursos anteriores afetam o acesso aos recursos Google Cloud .

Para monitorizar desvios das configurações dos seus recursos, como regras de firewall e regras de encaminhamento, pode subscrever notificações em tempo real. Se as configurações dos recursos forem alteradas, as notificações em tempo real enviam imediatamente uma notificação através do Pub/Sub. As notificações podem alertar para quaisquer problemas antecipadamente, evitando uma chamada para o apoio técnico.

Registos de auditoria do Cloud e funções do Cloud Run

Para complementar a utilização de notificações em tempo real, pode monitorizar o Cloud Logging e receber alertas sobre chamadas para ações confidenciais. Por exemplo, pode criar um sink do Cloud Logging que filtra as chamadas para a SetIamPolicy ao nível da organização. O destino envia registos para um tópico do Pub/Sub que pode usar para acionar uma função do Cloud Run.

Connectivity Tests

Para determinar se um problema de acesso está relacionado com a rede ou com as autorizações, use a ferramenta Testes de conetividade do Network Intelligence Center. Os testes de conetividade são um analisador de configuração estático e uma ferramenta de diagnóstico que lhe permitem verificar a conetividade entre um ponto final de origem e um ponto final de destino. Os testes de conetividade ajudam a identificar a causa principal dos problemas de acesso relacionados com a rede associados à sua Google Cloud configuração de rede.

Os testes de conetividade executam testes que incluem a sua rede VPC, o intercâmbio da rede da VPC e os túneis de VPN para a sua rede nas instalações. Por exemplo, os testes de conetividade podem identificar que uma regra de firewall está a bloquear a conetividade. Para mais informações, consulte os Exemplos de utilização comuns.

Resolução de problemas de políticas

Muitas tarefas no Google Cloud requerem uma função do IAM e autorizações associadas. Recomendamos que verifique que autorizações estão contidas numa função e verifique cada autorização necessária para concluir uma tarefa. Por exemplo, para usar imagens do Compute Engine para criar uma instância, um utilizador precisa da função compute.imageUser, que inclui nove autorizações. Por conseguinte, o utilizador tem de ter uma combinação de funções e autorizações que inclua todas as nove autorizações.

O Resolução de problemas de políticas é uma Google Cloud ferramenta de consola que ajuda a depurar o motivo pelo qual um utilizador ou uma conta de serviço não tem autorização para aceder a um recurso. Para resolver problemas de acesso, usa a parte do IAM da resolução de problemas de políticas.

Por exemplo, pode querer verificar por que motivo um determinado utilizador pode criar objetos em contentores num projeto, enquanto outro utilizador não pode. A ferramenta de resolução de problemas de políticas pode ajudar a ver que autorizações o primeiro utilizador tem e o segundo não.

A resolução de problemas de políticas requer as seguintes entradas:

Principal (utilizador individual, conta de serviço ou grupos)
Autorização (tenha em atenção que estas são as autorizações subjacentes e não as funções do IAM)
Recurso

IAM Recommender

Embora o IAM Recommender seja um controlo de aplicação de políticas, conforme descrito na secção anterior do Recommender, também o pode usar como uma ferramenta de resolução de problemas. O Recommender executa uma tarefa diária que analisa os dados do registo de acesso da IAM e as autorizações concedidas nos 60 dias anteriores. Pode usar o Recomendador para verificar se uma recomendação foi aprovada e aplicada recentemente, o que pode ter afetado o acesso de um utilizador a um recurso permitido anteriormente. Neste caso, pode conceder as autorizações que foram removidas.

Encaminhamento para o apoio ao cliente

Quando resolve problemas relacionados com o acesso, é importante ter um bom processo de apoio técnico interno e um processo bem definido para encaminhamento para o apoio ao cliente da Google Cloud. Esta secção descreve um exemplo de configuração do apoio técnico e como pode comunicar com o serviço de apoio ao cliente para o ajudar a resolver os seus problemas rapidamente.

Se não conseguir resolver um problema através das ferramentas descritas neste documento, um processo de apoio técnico claramente definido ajuda o serviço de apoio ao cliente a resolver os seus problemas. Recomendamos que tenha uma abordagem sistemática à resolução de problemas, conforme descrito no capítulo Resolução de problemas eficaz do livro Site Reliability Engineering (SRE) da Google.

Recomendamos que o seu processo de apoio técnico interno faça o seguinte:

Detalhe os procedimentos a seguir se houver um problema.
Ter um caminho de encaminhamento claramente definido.
Configure um processo de disponibilidade.
Crie um plano de resposta a incidentes.
Configure um sistema de acompanhamento de erros ou de apoio técnico.
Certifique-se de que o seu pessoal de apoio técnico foi autorizado a comunicar com o serviço de apoio ao cliente e que são contactos nomeados.
Comunicar os processos de apoio técnico ao pessoal interno, incluindo como contactar Google Cloud contactos designados.
Analise regularmente os problemas de apoio técnico, repita e melhore com base no que aprendeu.
Incluir um formulário retrospetivo padronizado.

Se precisar de encaminhar o problema para o apoio ao cliente, tenha as seguintes informações disponíveis para partilhar com o apoio ao cliente quando resolver problemas de acesso:

A identidade (email do utilizador ou da conta de serviço) que está a pedir acesso.
- Se este problema afeta todas as identidades ou apenas algumas.
- Se apenas algumas identidades forem afetadas, forneça um exemplo de identidade que funcione e um exemplo de identidade que falhe.
Se a identidade foi recriada recentemente.
O recurso ao qual o utilizador está a tentar aceder (inclua o ID do projeto).
O pedido ou o método que está a ser chamado.
- Forneça uma cópia do pedido e da resposta.
As autorizações que foram concedidas à identidade para este acesso.
- Forneça uma cópia da Política IAM.
A origem (localização) a partir da qual a identidade está a tentar aceder a recursos. Por exemplo, se estiver a tentar aceder a partir de um Google Cloud recurso (como uma instância do Compute Engine), da Google Cloud consola, da Google Cloud CLI, do Cloud Shell ou de uma origem externa, como no local ou na Internet.
- Se a origem for de outro projeto, indique o ID do projeto de origem.
A hora (registo de data/hora) em que o erro ocorreu pela primeira vez e se ainda é um problema.
A última hora conhecida em que a identidade acedeu com êxito ao recurso (inclui datas/horas).
Todas as alterações feitas antes do início do problema (inclua indicações de tempo).
Todos os erros registados no Cloud Logging. Antes de partilhar com o apoio ao cliente, certifique-se de que oculta dados confidenciais, como tokens de acesso, credenciais e números de cartões de crédito.

O que se segue?

Para ver mais arquiteturas de referência, diagramas e práticas recomendadas, explore o Centro de arquitetura na nuvem.