Google Cloud へのサポートアクセス
DoiT は、お客様の Google Cloud 環境へアクセスする際の透明性を徹底しています。
-
テクニカルサポートのアクセス: 契約に基づくテクニカルサポートを提供するために必要な権限を確立するため、
gcloudコマンドを使用します。注意当社が Google Cloud 環境へアクセスする目的は、契約に基づくテクニカルサポートの提供に限定されます。その他の目的でアクセスすることはなく、アクティブな問い合わせの範囲を超えるリソースにアクセスすることは決してありません。
-
Ava のアクセス: Ava に対して、お客様の Google Cloud の組織およびプロジェクトへの閲覧専用アクセスを許可します。これにより、Google Cloud 環境全体のデータを開示することなく、特定領域に対して文脈に即した詳細なインサイトを安全に生成でき、Ava はより的確で精度の高い回答を提供できます。
テクニカルサポートのアクセスを許可する
DoiT に新規エキスパート問い合わせを作成する際、問い合わせで指定した Google Cloud プロジェクトへの DoiT のアクセス許可を求められます。
-
当社は契約上の義務に基づきテクニカルサポートを提供するためにのみ、お客様の Google Cloud 環境へアクセスします。その他の理由でアクセスすることは決してありません。
-
サポートエンジニアにはお客様の Google Cloud 環境への書き込み権限はありません。唯一の例外として、Google Cloud Direct Support をご利用の場合は、お客様に代わって Google Cloud のサポートリクエストを起票できます。
アクセスを許可
DoiT に新規エキスパート問い合わせを作成する際、問い合わせで指定した Google Cloud プロジェクトへの DoiT のアクセス許可を求められます。
一般的なアクセス許可は、gcloud コマンドで実装します。アクセスは閲覧専用かつ限定的で、問い合わせを担当するサポートエンジニアのみに付与されます。これらのコマンドは Viewer ロールと Cloud Assist のロールを付与し、Cloud Assist API を有効化します。
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member="group:ticket-$TICKET_ID@cre.doit-intl.com" \
--role=roles/viewer --condition=None
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member="group:ticket-$TICKET_ID@cre.doit-intl.com" \
--role=roles/geminicloudassist.user --condition=None
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member="group:ticket-$TICKET_ID@cre.doit-intl.com" \
--role=roles/geminicloudassist.investigationUser --condition=None
gcloud services enable geminicloudassist.googleapis.com --project $PROJECT_ID
例えば、Google Cloud プロジェクト example-project-id に対し、エキスパート問い合わせ #1234 に割り当てられたグループの IAM ポリシーバインディングを追加するには、次を実行します。
gcloud projects add-iam-policy-binding example-project-id \
--member="group:[email protected]" \
--role=roles/viewer --condition=None
gcloud projects add-iam-policy-binding example-project-id \
--member="group:[email protected]" \
--role=roles/geminicloudassist.user --condition=None
gcloud projects add-iam-policy-binding example-project-id \
--member="group:[email protected]" \
--role=roles/geminicloudassist.investigationUser --condition=None
gcloud services enable geminicloudassist.googleapis.com --project example-project-id
場合によっては、問題が単一のプロジェクトに限定されず、組織全体へのアクセスを求めることがあります。その場合、通常は次のロールをリクエストします。
- Viewer (
roles/viewer) - Browser (
roles/browser) - Security Reviewer (
roles/iam.securityReviewer) - Bigquery Resource Viewer (
roles/bigquery.resourceViewer)
ただし、問題の性質によっては、担当エンジニアが追加または異なるロールをリクエストする場合があります。これらの権限が自動的に付与され�ることはなく、どのロールを付与するかの最終的なコントロールは常にお客様にあります。
DoiT Workspace カスタマー ID
ドメインでアイデンティティを制限する GCP の組織ポリシー を使用している場合は、DoiT の Google Workspace カスタマー ID C04eumws5 を使用して cre.doit-intl.com を許可リストに追加してください。
アクセスを取り消す
エキスパートへ問い合わせが解決されると、セキュリティ上の理由によりサポートアクセスは自動的に取り消されます。次回エキスパートへ問い合わせを作成する際は、再度サポートエンジニアへのアクセスを許可してください。
Ava のアクセスを許可する
Cloud Intelligence Essentials プランをご利用の場合、Ava は問い合わせを調査し、クラウド環境全体のデータを開示することなく、より的確で精度の高い回答を提供できま�す。必要に応じて、Ava に組織またはプロジェクト単位でアクセスを許可し、Google Cloud 環境に関する文脈に即した詳細なインサイトを安全に生成できます。
-
DoiT コンソール にサインインし、上部ナビゲーションのメガメニューから データ取り込みとインテグレーション を選択し、Google Cloud を選択します。
-
アクセスを許可したい Google Cloud の組織またはプロジェクトの右端にあるケバブメニュー(⋮)を選択し、編集 を選択します。プロジェクトを編集 ウィンドウが表示されます。
-
利用可能な機能 で Ava の閲覧専用 のチェックボックスをオンにします。Ava の閲覧専用 を展開すると、Ava が Google Cloud リソースを分析するために必要な閲覧専用権限の一覧を確認できます。
-
gcloud コマンドを生成 を選択します。実行が必要な gcloud コマンドが DoiT コンソールに表示されます。
-
組織 ID を確認 で、提供されたコードブロックをコピーします。
-
Google Cloud Shell を開く を選択します。
-
コードを貼り付けてコマンドを実行します。これにより、Google Cloud の組織とその ID の一覧を取得します。
-
DoiT コンソールに戻ります。
-
カスタムロールの更新 で、提供されたコードブロックをコピーします。
-
Google Cloud Shell に戻ります。コードを貼り付け、ORGANIZATION ID を必要な権限を付与する組織の組織 ID に置き換えてコマ�ンドを実行します。
-
DoiT コンソールに戻り、完了 を選択します。
-
Ava にアクセスを許可したい Google Cloud の組織およびプロジェクトについて、同様の手順を繰り返します。