Skip to content

Acceso a servidores y recursos sobre la nube

Utilizamos grupos de correo de Google Workspace, estos son administrados por RRHH, y ellos entregaron privilegios de administración al IT Business Partner Manager para que los apoye.

Según el área a la que pertenezca una persona y sus funciones el email de la persona es asignado a un grupo.

En GCP, configuramos la organización grupoalto.com, sobre esta organización tenemos 2 grupos principales y el IT Business Partner Manager como admnistrador general de la organización. Los dos grupos son: infraestructurati@grupoalto.com y ti_facturacion@grupoalto.com

Otros grupos, permiten accesos limitados a proyectos dentro de la organización.

Grupo: ti_facturacion@grupoalto.com

Es el grupo compuesto por todas las personas que tienen acceso a visualizar la facturación de los consumos que son realizados sobre GCP. No tiene permisos especiales más que de accesos de lectura.

Grupo: infraestructurati@grupoalto.com

Este grupo esta compuesto por un grupo de ingenieros seleccionados, ellos pueden administrar todos los proyectos de la organización y crear cuentas de servicio. Es el segundo rol con más permisos dentro de la organización.

Grupos de administración de sistemas por producto

Existen por producto grupos que permiten la administración de los recursos de los proyectos asignados a cada producto. Estos grupos son:

  • ti_altochecks_infra@grupoalto.com
  • ti_altotrack_infra@grupoalto.com
  • ti_altoalliance_infra@grupoalto.com

El IT Business Partner Manager decide que personas pueden pertenecer a estos grupos dependiendo de su participación en el producto, su nivel de responsabilidad sobre el producto y su capacidad técnica actual para administrar la nube. Estos grupos sólo tienen permisos sobre los proyectos que pertenecen al producto.

Acceso a servidores

En GCP, utilizamos la tecnología Google Cloud IAP, que entrega un acceso seguro a los servidores que se aloja sobre la nube sin la necesidad de utilizar una VPN para acceder a esta red interna. Estos permisos se asignan directamente a los grupos de correos que representan los equipos de trabajo que tienen acceso algunos recursos dentro de la nube.

Por regla general, en producción, sólo configuramos accesos de edición a los grupos ti_*_infra. El resto de los equipos no puede tener accesos de edición y sólo accesos de lectura a algunos servicios, estos grupos no tienen acceso a los servidores de los ambientes productivos.