Control de acceso con la gestión de identidades y accesos

En esta página se explica cómo configurar el control de acceso a los servicios de asistencia de Cloud Customer Care.

Antes de empezar

¿Qué es la gestión de identidades y accesos (IAM)?

Google Cloud ofrece IAM, que te permite dar un acceso más granular a recursos Google Cloud específicos y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de mínimos accesos, por lo que solo concedes el acceso necesario a tus recursos.

Gestión de Identidades y Accesos te permite controlar quién (identidad) tiene qué acceso (roles) a qué recurso mediante la configuración de políticas de Gestión de Identidades y Accesos. Las políticas de gestión de identidades y accesos conceden roles específicos a una entidad principal, lo que le otorga determinados permisos. Por ejemplo, en un recurso concreto, como un proyecto, puedes asignar el rol Lector de asistencia técnica (roles/cloudsupport.techSupportViewer) a una cuenta de Google. Esta cuenta puede ver los casos de asistencia del proyecto, pero no puede gestionarlos.

Consideraciones sobre el acceso

Si has migrado desde Asistencia Plata, Oro o Platino, ten en cuenta que ya no se puede acceder a los casos de asistencia a través del Google Cloudcentro de asistencia (GCSC). Después de habilitar la asistencia estándar, mejorada o premium, puede gestionar el acceso a las incidencias migradas asignando roles de gestión de identidades y accesos a usuarios, grupos o dominios.

Casos a nivel de organización

Los casos de asistencia se pueden crear en organizaciones o proyectos.

Para gestionar las solicitudes de asistencia a nivel de organización, el usuario debe tener el permiso resourcemanager.organizations.get a nivel de organización. De lo contrario, no podrá seleccionar la organización en la consola Google Cloud .

La forma más sencilla de conceder este permiso es asignar al usuario el rol roles/resourcemanager.organizationVieweren la organización. Este rol solo concede el permiso resourcemanager.organizations.get.

NOTA: Otorgar a un usuario el rol Organization Viewer no es lo mismo que otorgarle el rol Viewer a nivel de organización. Es un punto que suele generar confusión. El rol Organization Viewer no da acceso al usuario para ver ningún recurso de la organización, solo le permite ver que la organización existe.

Además, el usuario debe tener los permisos de gestión de identidades y accesos de asistencia técnica pertinentes, que se describen en las siguientes secciones.

Roles de gestión de identidades y accesos de Customer Care

Con IAM, todos los usuarios de asistencia deben tener los permisos adecuados para ver y gestionar casos y usuarios. Los usuarios obtienen estos permisos cuando los añades a un rol de gestión de identidades y accesos, a un grupo que pertenece a un rol o a un dominio asignado a un rol.

de tu equipo de administradores de asistencia de Google Cloud.

En la siguiente tabla se indican los roles de gestión de identidades y accesos disponibles para los usuarios del servicio de atención al cliente de Google Cloud, los permisos asociados a los recursos y el nivel de recurso más bajo al que se pueden aplicar los permisos.

Role Permissions

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

billing.resourceAssociations.list

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

Para añadir un usuario, un grupo o un dominio a un rol, consulta el artículo sobre cómo conceder roles de gestión de identidades y accesos.

Administrador de cuentas de asistencia

Los usuarios con el rol Administrador de cuenta de asistencia (roles/cloudsupport.admin) pueden gestionar el servicio de asistencia adquirido y cómo se factura.

El administrador de cuentas de asistencia es responsable de administrar las políticas de la cuenta de asistencia de la organización, entre las que se incluyen las siguientes:

  • Asignar nuevos usuarios de asistencia
  • Modificar los roles de los usuarios de asistencia
  • Gestionar la facturación del servicio de asistencia

Este rol solo se puede asignar a nivel de organización.

Lector de cuentas del servicio de asistencia

El rol Lector de cuentas del servicio de asistencia (roles/cloudsupport.viewer) puede ver la información de la cuenta del servicio. No pueden ver ni editar casos de asistencia. Para hacerlo, deben tener asignado el rol de lector o editor de asistencia técnica.

Este rol solo se puede asignar a nivel de organización.

Editor de asistencia técnica

El rol Editor de asistencia técnica (roles/cloudsupport.techSupportEditor) puede gestionar casos de asistencia, como verlos, crearlos, actualizarlos, derivarlos y cerrarlos.

Puedes asignar este rol a nivel de organización, carpeta y proyecto. Por ejemplo, si asignas el rol Editor de Asistencia Técnica a un grupo de Google en un proyecto específico, todos los miembros del grupo podrán gestionar las incidencias de asistencia de ese proyecto.

También puedes asignar este rol en varios niveles de la jerarquía de recursos para establecer diferentes permisos para los recursos anidados. Por ejemplo, si tienes el rol Lector de asistencia técnica en la organización y el rol Editor de asistencia técnica en un proyecto, puedes ver los casos de asistencia de toda la organización, pero solo puedes editar los del proyecto.

Lector de asistencia técnica

El rol Lector de asistencia técnica (roles/cloudsupport.techSupportViewer) puede ver los casos de asistencia y la información de la cuenta.

Este rol se puede asignar a nivel de organización, proyecto y carpeta. Por ejemplo, puedes asignar el rol Lector de asistencia técnica a un grupo de Google en una carpeta específica de un proyecto, lo que permite a los miembros de ese grupo ver los casos de asistencia de la carpeta.

Asignar roles de gestión de identidades y accesos

Los usuarios, los grupos de Google o los dominios deben tener el permiso resourcemanager.organizations.setIamPolicy en la organización para añadir usuarios a los roles de gestión de identidades y accesos de Asistencia. Para conceder ese permiso a un usuario o grupo, debes asignarle el rol Administrador de la organización (roles/resourcemanager.organizationAdmin).

Por ejemplo, si tu organización quiere que los usuarios a los que se les ha concedido el rol Administrador de cuentas de asistencia también puedan añadir y quitar usuarios y grupos de los otros roles de gestión de identidades y accesos de Atención al Cliente, un administrador de la organización puede hacer lo siguiente:

  • Crea un grupo de Google para los usuarios (por ejemplo, MyCompanySupportAdmins).
  • Asigna el rol Administrador de la organización al grupo de Google (MyCompanySupportAdmins).
  • Asigna el rol Administrador de cuentas de asistencia al grupo de Google (MyCompanySupportAdmins).

En el ejemplo, los miembros del grupo de Google (MyCompanySupportAdmins) pueden asignar usuarios y grupos a roles de gestión de identidades y accesos en la organización porque se le ha concedido el permiso setIamPolicy al asignarle el rol Administrador de la organización. Cuando se unan nuevos administradores de cuentas de asistencia a la organización, añádelos al grupo de Google (MiEmpresaAdministradoresAsistencia) para concederles los roles que necesiten.

Para conceder un rol de gestión de identidades y accesos a un usuario, grupo o dominio, sigue estos pasos:

  1. En la consola, ve a la página Gestión de identidades y accesos. Google Cloud
    Ir a la página de gestión de identidades y accesos

  2. En el menú de la parte superior, haz clic en Añadir.

  3. Especifica un usuario, un grupo de Google o un dominio.

  4. Selecciona un rol de Asistencia. Para seguir las prácticas de seguridad recomendadas, te aconsejamos que concedas al principal el mínimo privilegio necesario.

  5. Haz clic en Guardar.

Siguientes pasos

Consulta cómo gestionar casos de asistencia en la consola deGoogle Cloud .