Kontrol akses dengan IAM

Halaman ini menjelaskan cara mengonfigurasi kontrol akses untuk layanan dukungan Cloud Customer Care.

Sebelum memulai

Apa yang dimaksud dengan Identity and Access Management (IAM)

Google Cloud menawarkan IAM, yang memungkinkan Anda memberikan akses yang lebih terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip hak istimewa terendah untuk keamanan, jadi Anda hanya memberikan akses yang diperlukan ke resource Anda.

Dengan IAM, Anda dapat mengontrol siapa (identitas) yang memiliki akses apa (peran) ke resource mana dengan menetapkan kebijakan IAM. Kebijakan IAM memberikan peran tertentu kepada akun utama, sehingga akun utama tersebut memiliki izin tertentu. Misalnya, untuk resource tertentu, seperti project, Anda dapat menetapkan peran Tech Support Viewer (roles/cloudsupport.techSupportViewer) ke Akun Google dan akun tersebut dapat melihat kasus dukungan dalam project, tetapi tidak dapat mengelola kasus dukungan.

Pertimbangan akses

Jika Anda telah bertransisi dari Dukungan Silver, Gold, atau Platinum, perlu diingat bahwa kasus dukungan tidak dapat lagi diakses melalui Pusat Dukungan Google Cloud (GCSC). Setelah mengaktifkan Dukungan Standard, Enhanced, atau Premium, Anda dapat mengelola akses ke kasus yang ditransisikan dengan memberikan peran IAM kepada pengguna, grup, atau domain.

Kasus tingkat organisasi

Kasus Layanan Pelanggan dapat dibuat dalam organisasi atau project.

Untuk mengelola kasus tingkat organisasi, pengguna harus memiliki izin resourcemanager.organizations.get di tingkat organisasi, atau mereka tidak akan dapat memilih organisasi di konsol Google Cloud.

Cara termudah untuk memberikan izin ini adalah dengan memberikan peran roles/resourcemanager.organizationViewer kepada pengguna di organisasi. Peran ini hanya memberikan izin resourcemanager.organizations.get.

CATATAN: Memberikan peran Organization Viewer kepada pengguna tidak sama dengan memberikan peran Viewer kepada pengguna di tingkat Organisasi. Hal ini sering kali menimbulkan kebingungan. Peran Organization Viewer tidak memberi pengguna akses untuk melihat resource apa pun dalam organisasi, tetapi hanya memungkinkan pengguna melihat bahwa organisasi tersebut ada.

Selain itu, pengguna harus memiliki izin IAM Dukungan Teknis yang relevan, yang dijelaskan di bagian berikut.

Peran IAM Layanan Pelanggan

Dengan IAM, setiap pengguna dukungan harus memiliki izin yang sesuai untuk melihat dan mengelola kasus dan pengguna. Pengguna akan mendapatkan izin ini saat Anda menambahkannya ke peran IAM, grup yang memiliki peran, atau domain yang ditetapkan ke peran.

Tabel berikut mencantumkan peran IAM yang tersedia untuk pengguna Cloud Customer Care, izin terkait untuk resource mana, dan tingkat resource terendah yang dapat Anda terapkan izinnya.

Role Permissions

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

billing.resourceAssociations.list

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

Untuk menambahkan pengguna, grup, atau domain ke peran, lihat Memberikan peran IAM.

Support Account Administrator

Pengguna dengan peran Support Account Administrator (roles/cloudsupport.admin) dapat mengelola layanan dukungan yang dibeli dan cara penagihannya.

Administrator Akun Dukungan bertanggung jawab untuk mengelola kebijakan untuk akun dukungan organisasi, termasuk:

  • Menetapkan pengguna dukungan baru
  • Mengubah peran untuk pengguna dukungan yang ada
  • Mengelola penagihan dukungan

Peran ini hanya dapat diberikan di tingkat organisasi.

Penampil Akun Dukungan

Peran Support Account Viewer (roles/cloudsupport.viewer) dapat melihat informasi akun untuk layanan. Mereka tidak dapat melihat atau mengedit kasus dukungan; untuk melakukannya, mereka harus diberi peran Tech Support Viewer atau Tech Support Editor.

Peran ini hanya dapat diberikan di tingkat organisasi.

Tech Support Editor

Peran Tech Support Editor (roles/cloudsupport.techSupportEditor) dapat mengelola kasus dukungan, termasuk melihat, membuat, memperbarui, mengeskalasikan, dan menutup kasus.

Anda dapat memberikan peran ini di tingkat organisasi, folder, dan project. Misalnya, jika Anda memberikan peran Tech Support Editor ke grup Google pada project tertentu, semua anggota grup dapat mengelola kasus dukungan untuk project tersebut.

Anda juga dapat memberikan peran ini di beberapa tingkat hierarki resource untuk menetapkan izin yang berbeda untuk resource bertingkat. Misalnya, jika Anda memiliki peran Tech Support Viewer untuk organisasi dan peran Tech Support Editor pada project, Anda dapat melihat kasus dukungan di seluruh organisasi, tetapi hanya mengedit kasus untuk project.

Tech Support Viewer

Peran Tech Support Viewer (roles/cloudsupport.techSupportViewer) dapat melihat kasus dukungan dan informasi akun.

Peran ini dapat ditetapkan di tingkat organisasi, project, dan folder. Misalnya, Anda dapat memberikan peran Tech Support Viewer ke grup Google di folder tertentu dalam project, yang memungkinkan anggota grup tersebut melihat kasus dukungan di folder.

Memberikan peran IAM

Pengguna, Google Grup, atau domain harus memiliki izin resourcemanager.organizations.setIamPolicy di organisasi untuk menambahkan pengguna ke peran IAM Layanan Pelanggan. Anda dapat memberikan izin tersebut kepada pengguna atau grup dengan memberi mereka peran Organization Administrator (roles/resourcemanager.organizationAdmin).

Misalnya, jika organisasi Anda ingin pengguna yang diberi peran Support Account Administrator juga dapat menambahkan dan menghapus pengguna serta grup dari peran IAM Layanan Pelanggan lainnya, Administrator Organisasi dapat melakukan hal berikut:

  • Buat Google Grup untuk pengguna (MyCompanySupportAdmins).
  • Tetapkan peran Administrator Organisasi kepada Grup Google (MyCompanySupportAdmins).
  • Tetapkan peran Support Account Administrator ke Grup Google (MyCompanySupportAdmins).

Dalam contoh ini, anggota Google Grup (MyCompanySupportAdmins) dapat menetapkan pengguna dan grup ke peran IAM di organisasi karena grup telah diberi izin setIamPolicy saat diberi peran Administrator Organisasi. Saat Administrator Akun Dukungan baru bergabung dengan organisasi, tambahkan mereka ke Grup Google (MyCompanySupportAdmins) untuk memberi mereka peran yang diinginkan.

Untuk memberikan peran IAM kepada pengguna, grup, atau domain:

  1. Di konsol Google Cloud, buka halaman IAM.
    Buka halaman IAM

  2. Dari menu teratas, klik Tambahkan.

  3. Tentukan pengguna, Grup Google, atau domain.

  4. Pilih peran Dukungan. Untuk praktik keamanan terbaik, sebaiknya berikan akun utama hak istimewa terendah yang diperlukan.

  5. Klik Simpan.

Langkah selanjutnya

Pahami cara mengelola kasus dukungan di konsol Google Cloud.