Questa pagina spiega come configurare il controllo dell'accesso per i servizi di assistenza del team Cloud Customer Care.
Prima di iniziare
- Devi disporre del servizio Assistenza Standard, Assistenza Avanzata o Assistenza Premium.
- Devi disporre del ruolo Amministratore organizzazione (
roles/resourcemanager.organizationAdmin
) per la tua Google Cloud organizzazione.
Che cos'è Identity and Access Management (IAM)
Google Cloud offre IAM, che ti consente di concedere un accesso più granulare a determinate Google Cloud risorse e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo il livello di accesso necessario per le tue risorse.
IAM ti consente di controllare chi (identità) ha quale accesso (ruoli) a quale risorsa impostando i criteri IAM.
I criteri IAM concedono uno o più ruoli specifici a un'entità, assegnandole determinate autorizzazioni. Ad esempio, per una determinata risorsa, come un progetto, puoi assegnare il ruolo Visualizzatore dell'assistenza tecnica (roles/cloudsupport.techSupportViewer
) a un Account Google, che potrà visualizzare le richieste di assistenza nel progetto, ma non potrà gestirle.
Considerazioni sull'accesso
Se hai eseguito la transizione dall'assistenza Silver, Gold o Platinum, tieni presente che le richieste di assistenza non sono più accessibili tramite il Google Cloud Centro assistenza (Google Cloud Support Center). Dopo aver attivato l'Assistenza Standard, Avanzata o Premium, puoi gestire l'accesso alle richieste di cui è stata eseguita la transizione concedendo i ruoli IAM a utenti, gruppi o domini.
Richieste a livello di organizzazione
Le richieste all'Assistenza clienti possono essere create all'interno di organizzazioni o progetti.
Per gestire le richieste a livello di organizzazione, l'utente deve disporre dell'autorizzazione resourcemanager.organizations.get
a livello di organizzazione, altrimenti non potrà selezionare l'organizzazione nella console Google Cloud.
Il modo più semplice per concedere questa autorizzazione è assegnare all'utente il ruolo roles/resourcemanager.organizationViewer
nell'organizzazione. Questo ruolo
concede solo l'autorizzazione resourcemanager.organizations.get
.
NOTA: concedere a un utente il ruolo Organization Viewer
non è come concedere a un utente il ruolo Viewer
a livello di organizzazione. Questo è un punto di confusione molto comune. Il ruolo Organization Viewer
non consente all'utente di visualizzare alcuna risorsa all'interno dell'organizzazione, ma solo di sapere che l'organizzazione esiste.
Inoltre, l'utente deve disporre delle autorizzazioni IAM per l'assistenza tecnica pertinenti, descritte nelle sezioni seguenti.
Ruoli IAM dell'assistenza clienti
Con IAM, ogni utente di assistenza deve disporre delle autorizzazioni appropriate per visualizzare e gestire richieste e utenti. Gli utenti acquisiscono queste autorizzazioni quando li aggiungi a un ruolo IAM, a un gruppo che appartiene a un ruolo o a un dominio assegnato a un ruolo.
La tabella riportata di seguito elenca i ruoli IAM disponibili per gli utenti dell'assistenza clienti di Cloud, le autorizzazioni associate alle risorse e il livello di risorsa più basso a cui puoi applicare le autorizzazioni.
Role | Permissions |
---|---|
Support Account Administrator( Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role:
|
|
Tech Support Editor( Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information. |
|
Tech Support Viewer( Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information. |
|
Support Account Viewer( Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role:
|
|
Per aggiungere un utente, un gruppo o un dominio a un ruolo, consulta Assegnare i ruoli IAM.
Amministratore account di assistenza
Gli utenti con il ruolo Amministratore account di assistenza (roles/cloudsupport.admin
)
possono gestire il servizio di assistenza acquistato e la relativa fatturazione.
L'amministratore account di assistenza è responsabile dell'amministrazione dei criteri per l'account di assistenza dell'organizzazione, tra cui:
- Assegnare nuovi utenti dell'assistenza
- Modificare i ruoli per gli utenti di assistenza esistenti
- Gestione della fatturazione dell'assistenza
Questo ruolo può essere concesso solo a livello di organizzazione.
Support Account Viewer
Il ruolo Visualizzatore account di assistenza (roles/cloudsupport.viewer
) può visualizzare le informazioni dell'account per il servizio. Non possono visualizzare o modificare le richieste di assistenza. Per farlo, devono disporre del ruolo Visualizzatore assistenza tecnica o Editor assistenza tecnica.
Questo ruolo può essere concesso solo a livello di organizzazione.
Editor assistenza tecnica
Il ruolo Editor richieste di assistenza tecnica (roles/cloudsupport.techSupportEditor
) consente di gestire le richieste di assistenza, tra cui visualizzazione, creazione, aggiornamento, riassegnazione e chiusura.
Puoi concedere questo ruolo a livello di organizzazione, cartella e progetto. Ad esempio, se concedi il ruolo Editor assistenza tecnica a un gruppo Google per un progetto specifico, tutti i membri del gruppo possono gestire le richieste di assistenza per quel progetto.
Puoi anche concedere questo ruolo a più livelli della gerarchia delle risorse per stabilire autorizzazioni diverse per le risorse nidificate. Ad esempio, se disponi del ruolo Visualizzatore assistenza tecnica per l'organizzazione e del ruolo Editor assistenza tecnica per un progetto, puoi visualizzare le richieste di assistenza nell'intera organizzazione, ma puoi modificarle solo per il progetto.
Tech Support Viewer
Il ruolo Tech Support Viewer (roles/cloudsupport.techSupportViewer
) consente di visualizzare le richieste di assistenza e i dati dell'account.
Questo ruolo può essere impostato a livello di organizzazione, progetto e cartella. Ad esempio, puoi concedere il ruolo Visualizzatore dell'assistenza tecnica a un gruppo Google in una cartella specifica all'interno di un progetto, in modo che i membri del gruppo possano visualizzare le richieste di assistenza nella cartella.
Concedere i ruoli IAM
Gli utenti, i gruppi Google o i domini devono disporre dell'resourcemanager.organizations.setIamPolicy
autorizzazione per l'organizzazione per aggiungere utenti ai ruoli IAM del servizio clienti. Puoi concedere questa autorizzazione a un utente o a un gruppo concedendogli il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin
).
Ad esempio, se la tua organizzazione vuole che gli utenti a cui è stato concesso il ruolo Amministratore account di assistenza possano anche aggiungere e rimuovere utenti e gruppi dagli altri ruoli IAM per l'assistenza clienti, un Amministratore dell'organizzazione può eseguire le seguenti operazioni:
- Crea un gruppo Google per gli utenti (Amministratori dell'assistenza di MyCompany).
- Assegna al gruppo Google (MyCompanySupportAdmins) il ruolo Amministratore dell'organizzazione.
- Assegna al gruppo Google (MyCompanySupportAdmins) il ruolo Amministratore account di assistenza.
Nell'esempio, i membri del gruppo Google (Amministratori dell'assistenza di MyCompany) possono assegnare utenti e gruppi ai ruoli IAM nell'organizzazione perché al gruppo è stata concessa l'autorizzazione setIamPolicy
quando è stato concesso il ruolo Amministratore dell'organizzazione. Quando nuovi amministratori dell'account assistenza si uniscono all'organizzazione, aggiungili al gruppo Google (MyCompanySupportAdmins) per concedere loro i ruoli desiderati.
Per concedere un ruolo IAM a un utente, a un gruppo o a un dominio:
Nella console Google Cloud, vai alla pagina IAM.
Vai alla pagina IAMNel menu in alto, fai clic su Aggiungi.
Specifica un utente, un gruppo Google o un dominio.
Seleziona un ruolo Assistenza. Per le best practice di sicurezza, consigliamo vivamente di assegnare all'entità il minor numero di privilegi necessario.
Fai clic su Salva.
Passaggi successivi
Scopri come gestire le richieste di assistenza nella console Google Cloud.