Control de acceso con IAM

En esta página, se explica cómo configurar el control de acceso para los servicios de asistencia de Atención al cliente de Cloud.

Antes de comenzar

¿Qué es Identity and Access Management (IAM)?

Google Cloud ofrece IAM, que te permite otorgar acceso detallado a recursos específicos deGoogle Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgas el acceso necesario a tus recursos.

IAM te permite configurar políticas para controlar quién (identidad) tiene qué acceso (funciones) a qué recurso. Las políticas de IAM otorgan roles específicos a una principal, lo que le otorga ciertos permisos. Por ejemplo, para un recurso determinado, como un proyecto, puedes asignar la función de visualizador de asistencia técnica (roles/cloudsupport.techSupportViewer) a una Cuenta de Google. Esa cuenta puede visualizar casos de ayuda del proyecto, pero no administrarlos.

Consideraciones de acceso

Si realizaste la transición de la asistencia Plata, Oro o Platino, ten en cuenta que ya no puedes acceder a los casos de asistencia a través de Google Cloud Support Center (GCSC) de Google Cloud. Después de habilitar la Asistencia estándar, mejorada o premium, puedes gestionar el acceso a los casos en transición otorgando roles de IAM a los usuarios, grupos o dominios.

Casos a nivel de la organización

Los casos de Atención al cliente se pueden crear en organizaciones o proyectos.

Para administrar casos a nivel de la organización, el usuario debe tener el permiso resourcemanager.organizations.get a nivel de la organización; de lo contrario, no podrá seleccionar la organización en la consola de Google Cloud .

La forma más sencilla de otorgar este permiso es otorgarle al usuario el rol roles/resourcemanager.organizationViewer en la organización. Este rol solo otorga el permiso resourcemanager.organizations.get.

NOTA: Otorgar a un usuario el rol Organization Viewer no es lo mismo que otorgarle el rol Viewer a nivel de la organización. Este es un punto de confusión común. El rol Organization Viewer no le otorga al usuario acceso para ver ningún recurso dentro de la organización, solo le permite ver que la organización existe.

Además, el usuario debe tener los permisos de IAM de asistencia técnica relevantes, que se describen en las siguientes secciones.

Roles de IAM de Atención al cliente

Con IAM, cada usuario de asistencia debe tener los permisos adecuados para ver y administrar casos y usuarios. Pueden obtener estos permisos cuando los agregas a una función de IAM, a un grupo que pertenece a una función o a un dominio asignado a una función.

En la siguiente tabla, se enumeran las funciones de IAM disponibles para los usuarios de atención al cliente de Cloud, los permisos asociados y los recursos más bajos a los que se pueden aplicar los permisos.

Role Permissions

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

billing.resourceAssociations.list

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

Para agregar un usuario, grupo o dominio a una función, consulta Otorga roles de IAM.

Administrador de cuentas de asistencia

Los usuarios con el rol de administrador de cuentas de asistencia (roles/cloudsupport.admin) pueden administrar el servicio de asistencia comprado y la forma en que se factura.

El administrador de la cuenta de asistencia es responsable de administrar las políticas de la cuenta de asistencia de la organización, y su función incluye las siguientes tareas:

  • Asignar usuarios nuevos de asistencia
  • Modificar las funciones de los usuarios de asistencia existentes
  • Administrar la asistencia de facturación

Esta función solo se puede otorgar en el nivel de organización.

Lector de cuentas de asistencia

Los usuarios con la función de visualizador de cuentas de asistencia (roles/cloudsupport.viewer) pueden ver la información de la cuenta del servicio. No pueden ver ni editar los casos de ayuda; para ello, se les debe asignar una función de editor o visualizador de asistencia técnica.

Esta función solo se puede otorgar en el nivel de organización.

Editor de asistencia técnica

La función de Editor de asistencia técnica (roles/cloudsupport.techSupportEditor) puede administrar casos de ayuda, como ver, crear, actualizar, escalar y cerrar casos.

Puedes otorgar este rol a nivel de la organización, la carpeta y el proyecto. Por ejemplo, si otorgas el rol de editor de asistencia técnica a un grupo de Google en un proyecto específico, todos los miembros del grupo podrán administrar los casos de ayuda de ese proyecto.

También puedes otorgar esta función en varios niveles de la jerarquía de recursos a fin de establecer permisos diferentes para los recursos anidados. Por ejemplo, si tienes la función de visualizador de asistencia técnica en la organización y de editor de asistencia técnica en un proyecto, puedes ver casos de ayuda en toda la organización, pero solo podrás editar casos del proyecto.

Visualizador de asistencia técnica

Los usuarios con la función de visualizador de asistencia técnica (roles/cloudsupport.techSupportViewer) pueden ver los casos de ayuda y la información de la cuenta.

Esta función se puede establecer en los niveles de organización, proyecto y carpeta. Por ejemplo, puedes otorgar la función de visualizador de asistencia técnica a un grupo de Google en una carpeta específica en un proyecto, lo que permite que los miembros de ese grupo vean los casos de ayuda en la carpeta.

Otorga funciones de IAM

Los usuarios, los Grupos de Google o los dominios deben tener el permiso resourcemanager.organizations.setIamPolicy en la organización para agregar usuarios a las funciones de atención al cliente de IAM. Puedes otorgarle a un usuario o grupo ese permiso mediante el rol de administrador de la organización (roles/resourcemanager.organizationAdmin).

Por ejemplo, si tu organización desea que los usuarios que tengan la función de administradores de cuentas de asistencia también puedan agregar y quitar usuarios y grupos de las otras funciones de atención al cliente de IAM, el administrador de la organización puede hacer lo siguiente:

  • Crear un grupo de Google para los usuarios (AdministradoresDeAsistencia)
  • Asignar la función de administrador de la organización al grupo de Google (AdministradoresDeAsistencia)
  • Asignar la función de administrador de cuentas de asistencia al grupo de Google (AdministradoresDeAsistencia)

En el ejemplo, los miembros del grupo de Google (MyCompanySupportAdmins) pueden asignar usuarios y grupos a las funciones de IAM en la organización porque se les otorgó el permiso setIamPolicy cuando se les asignó la función de administrador de la organización. A medida que los nuevos administradores de cuentas de asistencia se unan a la organización, agrégalos al grupo de Google (AdministradoresDeAsistencia) para otorgarles las funciones deseadas.

Para otorgar un rol de IAM a un usuario, grupo o dominio, haz lo siguiente:

  1. En la consola de Google Cloud , ve a la página IAM.
    Ir a la página de IAM

  2. En el menú de la parte superior, haz clic en Agregar.

  3. Especifica un usuario, un Grupo de Google o un dominio.

  4. Seleccionar una función de asistencia. Para una mejor seguridad, se recomienda brindarle al principal la menor cantidad de privilegios que necesite.

  5. Haz clic en Guardar.

¿Qué sigue?

Obtén información sobre cómo administrar los casos de ayuda en la consola deGoogle Cloud .