Google Cloud へのサポートアクセス
DoiT は、お客様の Google Cloud 環境へアクセスする際の透明性を完全に確保します。
-
テクニカルサポート用アクセス:契約で定められたテクニカルサポートを提供するために必要な権限を付与するため、
gcloudコマンドを使用します。注意契約で定められたテクニカルサポートを提供する目的でのみ、お客様の Google Cloud 環境へアクセスします。それ以外の目的で環境へアクセスすることはなく、またアクティブな問い合わせの範囲を超えるリソースへアクセスすることも決してありません。
-
Ava 用アクセス:Ava に、お客様の Google Cloud の組織およびプロジェクトへの閲覧専用アクセスを付与します。これにより、お客様の Google Cloud 環境内の特定領域に対して、コンテキストを踏まえた詳��細なインサイトを安全に生成できるようになり、環境全体のデータを公開することなく、Ava がより的確で精度の高い関連性の高い回答を提供できるようになります。
テクニカルサポート用アクセスを付与する
DoiT で新しいエキスパート問い合わせを作成する際、問い合わせで指定した Google Cloud プロジェクトへの DoiT のアクセス許可を求められます。
-
当社は契約上の義務に基づきテクニカルサポートを提供するためにのみ、お客様の Google Cloud 環境へアクセスします。他の理由でお客様の Google Cloud 環境へアクセスすることは決してありません。
-
サポートエンジニアは、�お客様の Google Cloud 環境への書き込み権限を持ちません。唯一の例外として、お客様が Google Cloud Direct Support を利用している場合、当社がお客様に代わって Google Cloud のサポートリクエストを作成することがあります。
アクセスを付与する
DoiT で新しいエキスパート問い合わせを作成する際、問い合わせで指定した Google Cloud プロジェクトへの DoiT のアクセス許可を求められます。
一般的なアクセス付与は、gcloud コマンドで実装されます。このアクセスは閲覧専用かつ限定されたものであり、お客様の問い合わせを担当するサポートエンジニアのみに付与されます。これらのコマンドは、Viewer ロールと Cloud Assist のロールを付与し、Cloud Assist API を有効化します。
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member="group:ticket-$TICKET_ID@cre.doit-intl.com" \
--role=roles/viewer --condition=None
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member="group:ticket-$TICKET_ID@cre.doit-intl.com" \
--role=roles/geminicloudassist.user --condition=None
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member="group:ticket-$TICKET_ID@cre.doit-intl.com" \
--role=roles/geminicloudassist.investigationUser --condition=None
gcloud services enable geminicloudassist.googleapis.com --project $PROJECT_ID
たとえば、Google Cloud プロジェクト example-project-id 上で、エキスパート問い合わせ #1234 に割り当てられたグループに IAM ポリシーバインディングを追加するには、次のように実行します。
gcloud projects add-iam-policy-binding example-project-id \
--member="group:[email protected]" \
--role=roles/viewer --condition=None
gcloud projects add-iam-policy-binding example-project-id \
--member="group:[email protected]" \
--role=roles/geminicloudassist.user --condition=None
gcloud projects add-iam-policy-binding example-project-id \
--member="group:[email protected]" \
--role=roles/geminicloudassist.investigationUser --condition=None
gcloud services enable geminicloudassist.googleapis.com --project example-project-id
場合によっては、問題が 1 つのプロジェクトに限定されず、組織全体へのアクセスを依頼することがあります。そのような場合、通常は次のロールを依頼します。
- Viewer(
roles/viewer) - Browser(
roles/browser) - Security Reviewer(
roles/iam.securityReviewer) - Bigquery Resource Viewer(
roles/bigquery.resourceViewer)
ただし、問題の性質に応じて、担当エンジニアが追加または別のロールを依頼する場合があります。これらの権限が��自動的に付与されることはなく、どのロールを付与するかについては常にお客様側で完全に制御できます。
DoiT Workspace カスタマー ID
ドメインで ID を制限する GCP 組織ポリシー を使用している場合、DoiT の Google Workspace カスタマー ID C04eumws5 を使用して、cre.doit-intl.com を必ず許可リストに追加してください。
アクセスを取り消す
エキスパート問い合わせが解決されると、セキュリティ上の理由からサポートアクセスは自動的に取り消されます。次回エキスパート問い合わせを作成する際には、再度サポートエンジニアへのアクセスを付与する必要があります。
Ava 用アクセスを付与する
Cloud Intelligence Essentials プランをご利用の場合、Ava は問い合わせ内容を調査し、クラウド環境全体のデータを公開することなく、よりきめ細かく、精度が高く、�関連性の高い回答を提供できます。必要に応じて、個別の組織またはプロジェクト単位で Ava にアクセスを付与でき、お客様の Google Cloud 環境に対してコンテキストに即した詳細なインサイトを安全に生成できます。
-
DoiT コンソール にサインインし、トップナビゲーションのメガメニューから Data ingestion and integrations > Google Cloud を選択してください。
-
Ava にアクセスを付与したい Google Cloud の組織またはプロジェクトの右端にあるケバブメニュー(⋮)を選択し、Edit を選択します。Edit project ウィンドウが表示されます。
-
Available features で Ava view-only の横にあるチェックボックスをオンにします。Ava view-only を展開すると、Ava が Google Cloud リソースを分析するために必要な閲覧専用の権限一覧を確認できます。
-
Generate gcloud commands を選択します。実行が必要な gcloud コマンドが DoiT コンソールに表示されます。
-
Find your Organization ID で、表示されているコードブロックをコピーします。
-
Open Google Cloud Shell を選択します。
-
コードを貼り付けてコマンドを実行します。これにより、Google Cloud の組織とその ID の一覧が取得されます。
-
DoiT コンソールに戻ります。
-
Update Custom Role で、表示されているコードブロックをコピーします。
-
Google Cloud Shell に戻ります。コードを貼り付け、ORGANIZATION ID を、必要な権限を追�加する対象組織の organization ID に置き換えて、コマンドを実行します。
-
DoiT コンソールに戻り、Done を選択します。
-
Ava にアクセスを付与したいすべての Google Cloud 組織およびプロジェクトについて、これらの手順を繰り返してください。