Zugriffssteuerung mit IAM

Auf dieser Seite wird erläutert, wie Sie die Zugriffssteuerung für die Support-Dienste von Cloud Customer Care konfigurieren.

Hinweise

Was ist Identity and Access Management (IAM)?

Google Cloud bietet mit der Identitäts- und Zugriffsverwaltung, abgekürzt IAM (für Identity and Access Management), die Möglichkeit, den Zugriff auf einzelne Google Cloud-Ressourcen präzise zu steuern und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Durch IAM können Sie das Prinzip der geringsten Berechtigung anwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen gewähren.

Mit IAM können Sie durch Festlegung von Richtlinien steuern, wer (Identität) welchen Zugriff (Rollen) auf welche Ressourcen hat. IAM-Richtlinien gewähren einem Hauptkonto bestimmte Rollen und dadurch bestimmte Berechtigungen. Beispielsweise können Sie einem Google-Konto für eine bestimmte Ressource, z. B. ein Projekt, die Rolle "Betrachter – Technischer Support" (roles/cloudsupport.techSupportViewer) zuweisen. Dieses Konto kann dann Supportfälle im Projekt ansehen, jedoch nicht verwalten.

Hinweise für den Zugriff

Wenn Sie vom Silber-, Gold- oder Platin-Support gewechselt haben, beachten Sie, dass Supportfälle nicht mehr über das Google Cloud-Supportcenter (GCSC) zugänglich sind. Nachdem Sie den Standard-, erweiterten oder Premium-Support aktiviert haben, können Sie den Zugriff auf umgestellte Fälle verwalten, indem Sie Nutzern, Gruppen oder Domains IAM-Rollen zuweisen.

Supportanfragen auf Organisationsebene

Customer Care-Fälle können entweder innerhalb von Organisationen oder Projekten erstellt werden.

Zur Verwaltung von Anfragen auf Organisationsebene muss der Nutzer die Berechtigung resourcemanager.organizations.get auf Organisationsebene haben. Andernfalls kann er die Organisation nicht in der Google Cloud Console auswählen.

Die einfachste Möglichkeit, diese Berechtigung zu gewähren, besteht darin, dem Nutzer die Rolle roles/resourcemanager.organizationViewer für die Organisation zu gewähren. Diese Rolle gewährt nur die Berechtigung resourcemanager.organizations.get.

HINWEIS: Wenn Sie einem Nutzer die Rolle Organization Viewer gewähren, ist das nicht dasselbe wie einem Nutzer die Rolle Viewer auf Organisationsebene. Dies ist ein häufiger Verwirrungspunkt. Die Rolle Organization Viewer gewährt dem Nutzer keinen Zugriff auf Ressourcen innerhalb der Organisation. Der Nutzer kann nur sehen, dass die Organisation existiert.

Darüber hinaus muss der Nutzer die relevanten IAM-Berechtigungen für den technischen Support haben, die in den folgenden Abschnitten beschrieben werden.

IAM-Rollen und Customer Care

Mit IAM muss jeder Supportnutzer die entsprechenden Berechtigungen zum Ansehen und Verwalten von Anfragen und Nutzern haben. Nutzer erhalten diese Berechtigungen, wenn Sie sie einer IAM-Rolle, einer Gruppe, die zu einer Rolle gehört, oder einer Domain hinzufügen, die einer Rolle zugewiesen ist.

In der folgenden Tabelle sind die für Cloud Customer Care-Nutzer verfügbaren IAM-Rollen, die zugehörigen Berechtigungen sowie die niedrigste Ressourcenebene aufgeführt, auf die Sie die Berechtigungen anwenden können.

Role Permissions

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

Informationen zum Hinzufügen eines Nutzers, einer Gruppe oder einer Domain zu einer Rolle finden Sie unter IAM-Rollen zuweisen.

Supportkontoadministrator

Nutzer mit der Rolle „Supportkontoadministrator“ (roles/cloudsupport.admin) können den erworbenen Supportdienst und dessen Abrechnung verwalten.

Der Supportkontoadministrator ist für die Verwaltung von Richtlinien für das Supportkonto der Organisation zuständig. Hierzu zählen folgende Aufgaben:

  • Neue Supportnutzer zuweisen
  • Rollen vorhandener Supportnutzer ändern
  • Supportabrechnung verwalten

Diese Rolle kann nur auf Organisationsebene gewährt werden.

Supportkontobetrachter

Die Rolle „Supportkontobetrachter“ (roles/cloudsupport.viewer) kann Kontoinformationen für den Dienst ansehen. Sie können keine Supportfälle ansehen oder bearbeiten. Dazu muss ihnen die Rolle „Technischer-Support-Betrachter“ oder „Technischer-Support-Bearbeiter“ zugewiesen sein.

Diese Rolle kann nur auf Organisationsebene gewährt werden.

Mitbearbeiter – Technischer Support

Die Rolle "Mitbearbeiter – Technischer Support" (roles/cloudsupport.techSupportEditor) kann Supportfälle verwalten. Das umfasst das Ansehen, Erstellen, Aktualisieren, Eskalieren und Schließen von Fällen.

Diese Rolle kann auf Organisations-, Ordner- oder Projektebene gewährt werden. Wenn Sie beispielsweise einer Google-Gruppe in einem bestimmten Projekt die Rolle "Mitbearbeiter – Technischer Support" zuweisen, können alle Mitglieder der Gruppe Supportfälle für dieses Projekt verwalten.

Sie können diese Rolle auch auf mehreren Ebenen der Ressourcenhierarchie zuweisen, um unterschiedliche Berechtigungen für verschachtelte Ressourcen festzulegen. Wenn Sie zum Beispiel die Rolle "Betrachter – Technischer Support" für die Organisation und die Rolle "Mitbearbeiter – Technischer Support" für ein Projekt haben, können Sie Supportfälle für die gesamte Organisation ansehen, aber nur Fälle für das Projekt bearbeiten.

Betrachter – Technischer Support

Die Rolle "Betrachter – Technischer Support" (roles/cloudsupport.techSupportViewer) kann Supportfälle und Kontoinformationen ansehen.

Diese Rolle kann auf Organisations-, Projekt- und Ordnerebene festgelegt werden. Sie haben beispielsweise die Möglichkeit, die Rolle "Betrachter – Technischer Support" einer Google-Gruppe in einem bestimmten Ordner innerhalb eines Projekts zuzuweisen, damit die Mitglieder dieser Gruppe die Supportfälle im Ordner sehen können.

IAM-Rollen zuweisen

Nutzer, Google-Gruppen oder Domains müssen die Berechtigung resourcemanager.organizations.setIamPolicy in der Organisation haben, um Nutzer den Customer Care-IAM-Rollen hinzuzufügen. Sie können einem Nutzer oder einer Gruppe diese Berechtigung erteilen. Dazu weisen Sie ihm die Rolle "Organisationsadministrator" zu (roles/resourcemanager.organizationAdmin).

Angenommen, Ihre Organisation möchte, dass Nutzer die Rolle "Supportkontoadministrator" erhalten, damit sie auch in der Lage sind, Nutzer und Gruppen aus den anderen Customer Care-IAM-Rollen hinzuzufügen und zu entfernen, dann kann ein Organisationsadministrator Folgendes tun:

  • Eine Google-Gruppe für die Nutzer (MyCompanySupportAdmins) erstellen
  • Der Google-Gruppe (MyCompanySupportAdmins) die Rolle "Organisationsadministrator" zuweisen
  • Der Google-Gruppe (MyCompanySupportAdmins) die Rolle "Supportkontoadministrator" zuweisen

Im Beispiel können Mitglieder der Google-Gruppe (MyCompanySupportAdmins) Nutzer und Gruppen zu IAM-Rollen in der Organisation zuweisen, da der Gruppe durch die Rolle des Organisationsadministrators die Berechtigung setIamPolicy gewährt wurde. Wenn neue Supportkontoadministratoren der Organisation beitreten, fügen Sie sie der Google-Gruppe (MyCompanySupportAdmins) hinzu, um ihnen die gewünschten Rollen zu gewähren.

So weisen Sie einem Nutzer, einer Gruppe oder einer Domain eine IAM-Rolle zu:

  1. Öffnen Sie in der Google Cloud Console die Seite IAM. Rufen Sie die
    IAM-Seite auf.

  2. Klicken Sie im Menü oben auf Hinzufügen.

  3. Geben Sie einen Nutzer, eine Google-Gruppe oder eine Domain an.

  4. Wählen Sie eine Supportrolle aus. Als wichtige Sicherheitsmaßnahme empfehlen wir dringend, Hauptkonten nur die geringstmögliche Anzahl an notwendigen Berechtigungen zu gewähren.

  5. Klicken Sie auf Speichern.

Nächste Schritte

Supportanfragen in der Google Cloud Console verwalten