Google Cloud へのサポートアクセス
DoiT は、お客様の Google Cloud 環境へアクセスする際の透明性を 100% 提供します。
-
テクニカルサポートアクセス:契約に基づきテクニカルサポートを提供するために必要な権限を確立するため、
gcloudコマンドを使用します。注意契約に定められたテクニカルサポートの提供のためにのみ、お客様の Google Cloud 環境へアクセスします。その他の目的でアクセスすることはなく、アクティブなエキスパートへ問い合わせの範囲を超えるリソースにアクセスすることも決してありません。
-
Ava アクセス:Ava に、お客様の Google Cloud の組織およびプロジェクトへの閲覧専用アクセスを�付与します。これにより、Google Cloud 環境全体のデータを開示することなく、特定領域に対する文脈に即した詳細なインサイトを安全に生成でき、Ava がより的確で正確かつ関連性の高い回答を提供できるようになります。
テクニカルサポートアクセスを付与する
DoiT に新しいエキスパートへ問い合わせを作成する際、問い合わせで指定した Google Cloud プロジェクトへの DoiT のアクセス付与が求められます。
-
当社は、契約上の義務に基づくテクニカルサポート提供のためにのみ、お客様の Google Cloud 環境へアクセスします。その他の理由でアクセスすることはありません。
-
サポ��ートエンジニアには、お客様の Google Cloud 環境への書き込み権限はありません。唯一の例外として、Google Cloud Direct Support をご利用の場合に限り、お客様に代わって Google Cloud のサポートリクエストを起票できます。
アクセスを付与する
DoiT に新しいエキスパートへ問い合わせを作成する際、問い合わせで指定した Google Cloud プロジェクトへの DoiT のアクセス付与が求められます。
一般的なアクセス付与は、gcloud コマンドで実装します。アクセスは閲覧専用かつ限定的で、問い合わせを担当するサポートエンジニアのみに付与されます。これらのコマンドは、Viewer ロールや Cloud Assist のロールを付与し、Cloud Assist API を有効にします。
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member="group:ticket-$TICKET_ID@cre.doit-intl.com" \
--role=roles/viewer --condition=None
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member="group:ticket-$TICKET_ID@cre.doit-intl.com" \
--role=roles/geminicloudassist.user --condition=None
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member="group:ticket-$TICKET_ID@cre.doit-intl.com" \
--role=roles/geminicloudassist.investigationUser --condition=None
gcloud services enable geminicloudassist.googleapis.com --project $PROJECT_ID
たとえば、Google Cloud プロジェクト example-project-id において、エキスパートへ問い合わせ #1234 に割り当てられたグループへ IAM ポリシーバインディングを追加するには、次を実行します。
gcloud projects add-iam-policy-binding example-project-id \
--member="group:[email protected]" \
--role=roles/viewer --condition=None
gcloud projects add-iam-policy-binding example-project-id \
--member="group:[email protected]" \
--role=roles/geminicloudassist.user --condition=None
gcloud projects add-iam-policy-binding example-project-id \
--member="group:[email protected]" \
--role=roles/geminicloudassist.investigationUser --condition=None
gcloud services enable geminicloudassist.googleapis.com --project example-project-id
場合によっては、問題が単一のプロジェクトに限定されないことがあり、組織全体へのアクセスをお願いすることがあります。その場合、通常は次のロールをリクエストします。
- Viewer(
roles/viewer) - Browser(
roles/browser) - Security Reviewer(
roles/iam.securityReviewer) - Bigquery Resource Viewer(
roles/bigquery.resourceViewer)
ただし、問題の性質に応じて、担当エンジニアが追加または異なるロールをリクエストする場合があります。これらの権限が自動的に付与されることは決してなく、どのロールを付与するかの最終的なコントロールは常にお客様にあります。
DoiT Workspace カスタマー ID
ドメインでアイデンティティを制限する GCP の組織ポリシー を使用している場合、DoiT の Google Workspace カスタマー ID C04eumws5 を使用して cre.doit-intl.com をホワイトリストに追加してください。
アクセスを取り消す
セキュリティ上の理由から、エキスパートへ問い合わせが解決するとサポートアクセスは自動的に取り消されます。次回エキスパートへ問い合わせを作成する際は、再度サポートエンジニアへのアクセスを付与してください。
Ava アクセスを付与する
Cloud Intelligence Essentials プランをご利用の場合、Ava は問い合わせ内容を調査し、クラウド環境全体のデータを開示することなく、よりニーズに合わせた正確�で関連性の高い回答を提供できます。必要に応じて、Ava に個別の組織またはプロジェクトへのアクセスを付与することで、Google Cloud 環境に対する文脈に即した詳細なインサイトを安全に生成できます。
- DoiT コンソール にサインインし、上部ナビゲーションのメガメニューから データ取り込みと連携 を選択し、Google Cloud を選択します。
- Ava にアクセスを付与したい Google Cloud の組織またはプロジェクトの右端にあるケバブメニュー(⋮)を選択し、編集 を選択します。プロジェクトを編集 ウィンドウが表示されます。
- 利用可能な機能 から Ava の閲覧専用 にチェックを入れます。Ava の閲覧専用 を展開すると、Ava が Google Cloud リソースを分析するために必要な閲覧専用の権限一覧を確認できます。
- gcloud コマンドを生成 を選択します。実行が必要な gcloud コマンドが DoiT コンソールに表示されます。
- Organization ID を確認 のセクションで、表示されているコードブロックをコピーします。
- Google Cloud Shell を開く を選択します。
- コードを貼り付けてコマンドを実行します。これにより、Google Cloud の組織とその ID の一覧が取得されます。
- DoiT コンソールに戻ります。
- カスタムロールを更新 のセクションで、表示されているコードブロックをコピーします。
- Google Cloud Shell に戻り、コードを貼り付け、ORGANIZATION ID を必要な権限を追加する組織の Organization ID に置き換えてコマンドを実行します。
- DoiT コンソールに戻り、完了 を選択します。
- Ava にアクセスを付与したい他の Google Cloud の組織およびプロジェクトについても、同様の手順を繰り返してください。