Controllo dell'accesso con IAM

Questa pagina spiega come configurare il controllo dell'accesso per i servizi di assistenza del team Cloud Customer Care.

Prima di iniziare

Che cos'è Identity and Access Management (IAM)

Google Cloud offre IAM, che ti consente di concedere un accesso più granulare a determinate Google Cloud risorse e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo il livello di accesso necessario per le tue risorse.

IAM ti consente di controllare chi (identità) ha quale accesso (ruoli) a quale risorsa impostando i criteri IAM. I criteri IAM concedono uno o più ruoli specifici a un'entità, assegnandole determinate autorizzazioni. Ad esempio, per una determinata risorsa, come un progetto, puoi assegnare il ruolo Visualizzatore dell'assistenza tecnica (roles/cloudsupport.techSupportViewer) a un Account Google, che potrà visualizzare le richieste di assistenza nel progetto, ma non potrà gestirle.

Considerazioni sull'accesso

Se hai eseguito la transizione dall'assistenza Silver, Gold o Platinum, tieni presente che le richieste di assistenza non sono più accessibili tramite il Google Cloud Centro assistenza (Google Cloud Support Center). Dopo aver attivato l'Assistenza Standard, Avanzata o Premium, puoi gestire l'accesso alle richieste di cui è stata eseguita la transizione concedendo i ruoli IAM a utenti, gruppi o domini.

Richieste a livello di organizzazione

Le richieste all'Assistenza clienti possono essere create all'interno di organizzazioni o progetti.

Per gestire le richieste a livello di organizzazione, l'utente deve disporre dell'autorizzazione resourcemanager.organizations.get a livello di organizzazione, altrimenti non potrà selezionare l'organizzazione nella console Google Cloud.

Il modo più semplice per concedere questa autorizzazione è assegnare all'utente il ruolo roles/resourcemanager.organizationViewer nell'organizzazione. Questo ruolo concede solo l'autorizzazione resourcemanager.organizations.get.

NOTA: concedere a un utente il ruolo Organization Viewer non è come concedere a un utente il ruolo Viewer a livello di organizzazione. Questo è un punto di confusione molto comune. Il ruolo Organization Viewer non consente all'utente di visualizzare alcuna risorsa all'interno dell'organizzazione, ma solo di sapere che l'organizzazione esiste.

Inoltre, l'utente deve disporre delle autorizzazioni IAM per l'assistenza tecnica pertinenti, descritte nelle sezioni seguenti.

Ruoli IAM dell'assistenza clienti

Con IAM, ogni utente di assistenza deve disporre delle autorizzazioni appropriate per visualizzare e gestire richieste e utenti. Gli utenti acquisiscono queste autorizzazioni quando li aggiungi a un ruolo IAM, a un gruppo che appartiene a un ruolo o a un dominio assegnato a un ruolo.

La tabella riportata di seguito elenca i ruoli IAM disponibili per gli utenti dell'assistenza clienti di Cloud, le autorizzazioni associate alle risorse e il livello di risorsa più basso a cui puoi applicare le autorizzazioni.

Role Permissions

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

billing.resourceAssociations.list

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

Per aggiungere un utente, un gruppo o un dominio a un ruolo, consulta Assegnare i ruoli IAM.

Amministratore account di assistenza

Gli utenti con il ruolo Amministratore account di assistenza (roles/cloudsupport.admin) possono gestire il servizio di assistenza acquistato e la relativa fatturazione.

L'amministratore account di assistenza è responsabile dell'amministrazione dei criteri per l'account di assistenza dell'organizzazione, tra cui:

  • Assegnare nuovi utenti dell'assistenza
  • Modificare i ruoli per gli utenti di assistenza esistenti
  • Gestione della fatturazione dell'assistenza

Questo ruolo può essere concesso solo a livello di organizzazione.

Support Account Viewer

Il ruolo Visualizzatore account di assistenza (roles/cloudsupport.viewer) può visualizzare le informazioni dell'account per il servizio. Non possono visualizzare o modificare le richieste di assistenza. Per farlo, devono disporre del ruolo Visualizzatore assistenza tecnica o Editor assistenza tecnica.

Questo ruolo può essere concesso solo a livello di organizzazione.

Editor assistenza tecnica

Il ruolo Editor richieste di assistenza tecnica (roles/cloudsupport.techSupportEditor) consente di gestire le richieste di assistenza, tra cui visualizzazione, creazione, aggiornamento, riassegnazione e chiusura.

Puoi concedere questo ruolo a livello di organizzazione, cartella e progetto. Ad esempio, se concedi il ruolo Editor assistenza tecnica a un gruppo Google per un progetto specifico, tutti i membri del gruppo possono gestire le richieste di assistenza per quel progetto.

Puoi anche concedere questo ruolo a più livelli della gerarchia delle risorse per stabilire autorizzazioni diverse per le risorse nidificate. Ad esempio, se disponi del ruolo Visualizzatore assistenza tecnica per l'organizzazione e del ruolo Editor assistenza tecnica per un progetto, puoi visualizzare le richieste di assistenza nell'intera organizzazione, ma puoi modificarle solo per il progetto.

Tech Support Viewer

Il ruolo Tech Support Viewer (roles/cloudsupport.techSupportViewer) consente di visualizzare le richieste di assistenza e i dati dell'account.

Questo ruolo può essere impostato a livello di organizzazione, progetto e cartella. Ad esempio, puoi concedere il ruolo Visualizzatore dell'assistenza tecnica a un gruppo Google in una cartella specifica all'interno di un progetto, in modo che i membri del gruppo possano visualizzare le richieste di assistenza nella cartella.

Concedere i ruoli IAM

Gli utenti, i gruppi Google o i domini devono disporre dell'resourcemanager.organizations.setIamPolicy autorizzazione per l'organizzazione per aggiungere utenti ai ruoli IAM del servizio clienti. Puoi concedere questa autorizzazione a un utente o a un gruppo concedendogli il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin).

Ad esempio, se la tua organizzazione vuole che gli utenti a cui è stato concesso il ruolo Amministratore account di assistenza possano anche aggiungere e rimuovere utenti e gruppi dagli altri ruoli IAM per l'assistenza clienti, un Amministratore dell'organizzazione può eseguire le seguenti operazioni:

  • Crea un gruppo Google per gli utenti (Amministratori dell'assistenza di MyCompany).
  • Assegna al gruppo Google (MyCompanySupportAdmins) il ruolo Amministratore dell'organizzazione.
  • Assegna al gruppo Google (MyCompanySupportAdmins) il ruolo Amministratore account di assistenza.

Nell'esempio, i membri del gruppo Google (Amministratori dell'assistenza di MyCompany) possono assegnare utenti e gruppi ai ruoli IAM nell'organizzazione perché al gruppo è stata concessa l'autorizzazione setIamPolicy quando è stato concesso il ruolo Amministratore dell'organizzazione. Quando nuovi amministratori dell'account assistenza si uniscono all'organizzazione, aggiungili al gruppo Google (MyCompanySupportAdmins) per concedere loro i ruoli desiderati.

Per concedere un ruolo IAM a un utente, a un gruppo o a un dominio:

  1. Nella console Google Cloud, vai alla pagina IAM.
    Vai alla pagina IAM

  2. Nel menu in alto, fai clic su Aggiungi.

  3. Specifica un utente, un gruppo Google o un dominio.

  4. Seleziona un ruolo Assistenza. Per le best practice di sicurezza, consigliamo vivamente di assegnare all'entità il minor numero di privilegi necessario.

  5. Fai clic su Salva.

Passaggi successivi

Scopri come gestire le richieste di assistenza nella console Google Cloud.