Controle de acesso com o IAM

Nesta página, explicamos como configurar o controle de acesso para os serviços de suporte do Cloud Customer Care.

Antes de começar

O que é o gerenciamento de identidade e acesso (IAM)

O Google Cloud oferece IAM, que permite conceder acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de segurança do menor privilégio (em inglês) para conceder apenas o acesso necessário aos recursos.

Por meio da definição de políticas do IAM, você pode controlar quem (identidade) tem qual acesso (papéis) a qual recurso. As políticas do IAM concedem papéis específicos a um principal, dando ao principal as permissões específicas. Por exemplo, para um determinado recurso, como um projeto, é possível atribuir o papel de visualizador de suporte técnico (roles/cloudsupport.techSupportViewer) a uma Conta do Google. Com essa conta, é possível visualizar casos de suporte no projeto, mas gerenciar casos de suporte não é.

Considerações sobre o acesso

Se você fez a transição do suporte Silver, Gold ou Platinum, lembre-se de que as consultas ao suporte não poderão mais ser acessadas pela Central de suporte do Google Cloud (GCSC). Depois de ativar o suporte Standard, Enhanced ou Premium, você pode gerenciar o acesso a casos transferidos concedendo papéis do IAM a usuários, grupos ou domínios.

Casos no nível da organização

Os casos de atendimento ao cliente podem ser criados em organizações ou projetos.

Para gerenciar casos no nível da organização, o usuário precisa ter a permissão resourcemanager.organizations.get no nível da organização. Caso contrário, ele não poderá selecionar a organização no console do Google Cloud.

A maneira mais simples de conceder essa permissão é conceder ao usuário o papel roles/resourcemanager.organizationViewer na organização. Esse papel concede apenas a permissão resourcemanager.organizations.get.

OBSERVAÇÃO: conceder a um usuário o papel Organization Viewer não é o mesmo que conceder a um usuário o papel Viewer no nível da organização. Esse é um ponto de confusão comum. O papel Organization Viewer não dá ao usuário acesso para visualizar os recursos dentro da organização, apenas permite que o usuário veja que a organização existe.

Além disso, o usuário precisa ter as permissões de IAM de suporte técnico relevantes, que são descritas nas seções a seguir.

Papéis de IAM do Customer Care

Com o IAM, cada usuário de suporte precisa ter as permissões apropriadas para visualizar e gerenciar casos e usuários. Os usuários recebem essas permissões quando você as adiciona a um papel do IAM, a um grupo que pertence a um papel ou a um domínio atribuído a um papel.

A tabela a seguir lista os papéis do IAM disponíveis para os usuários do Cloud Customer Care, as permissões associadas a quais recursos e o nível de recurso mais baixo em que as permissões podem ser aplicadas.

Role Permissions

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

billing.resourceAssociations.list

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

Para adicionar um usuário, grupo ou domínio a um papel, consulte Como conceder papéis do IAM.

Administrador da conta de suporte

Os usuários com o papel de administrador da conta de suporte (roles/cloudsupport.admin) podem gerenciar o serviço de suporte comprado e como ele é faturado.

Essa pessoa é responsável pela administração de políticas para a conta de suporte da organização, incluindo as seguintes atividades:

  • atribuição de novos usuários de suporte
  • modificação de papéis para usuários de suporte existentes
  • gerenciamento do suporte de faturamento

Esse papel só pode ser atribuído no nível da organização.

Leitor da conta de suporte

O papel Leitor da conta de suporte (roles/cloudsupport.viewer) pode ver as informações da conta para o serviço. Não é possível visualizar ou editar casos de suporte. Para isso, é necessário atribuir um papel de visualizador ou de editor de suporte técnico.

Esse papel só pode ser atribuído no nível da organização.

Editor de suporte técnico

O papel de editor de suporte técnico (roles/cloudsupport.techSupportEditor) pode gerenciar casos de suporte, incluindo visualização, criação, atualização, encaminhamento e encerramento de casos.

É possível conceder esse papel nos níveis de organização, pasta e projeto. Por exemplo, se você conceder o papel Editor de suporte técnico a um grupo do Google em um projeto específico, todos os membros do grupo poderão gerenciar casos de suporte para esse projeto.

Também é possível conceder esse papel em vários níveis da hierarquia de recursos para estabelecer permissões diferentes para recursos aninhados. Por exemplo, se você tiver o papel de visualizador de suporte técnico para a organização e de editor de suporte técnico em um projeto, poderá visualizar os casos de suporte na organização, mas editar apenas os casos para o projeto.

Leitor de suporte técnico

O papel de visualizador de suporte técnico (roles/cloudsupport.techSupportViewer) permite visualizar casos de suporte e informações da conta.

É possível definir esse papel nos níveis de organização, projeto e pasta. Por exemplo, é possível conceder o papel de visualizador de suporte técnico a um grupo do Google em uma pasta específica de um projeto, o que permite que os membros visualizem os casos de suporte na pasta.

Como conceder papéis do IAM

É necessário que os usuários, Grupos do Google ou domínios tenham a permissão resourcemanager.organizations.setIamPolicy na organização para adicionarem usuários aos papéis do IAM do Customer Care. É possível dar essa permissão a usuários ou grupos concedendo a eles o papel de administrador da organização (roles/resourcemanager.organizationAdmin).

Por exemplo, se sua organização quiser que os usuários que receberam o papel de administrador de conta de suporte também possam adicionar e remover usuários e grupos de outros papéis do IAM do Customer Care, o administrador de uma organização poderá fazer o seguinte:

  • Criar um Grupo do Google para os usuários (MyCompanySupportAdmins).
  • Atribuir ao Grupo do Google (MyCompanySupportAdmins) o papel de administrador da organização.
  • Atribuir ao Grupo do Google (MyCompanySupportAdmins) o papel de administrador de conta de suporte.

No exemplo, os membros do Grupo do Google (MyCompanySupportAdmins) podem atribuir papéis do IAM a usuários e grupos na organização, porque o grupo recebeu a permissão setIamPolicy quando o papel de administrador da organização foi concedido. À medida que os novos administradores de conta de suporte entrarem na organização, adicione-os ao Grupo do Google (MyCompanySupportAdmins) para conceder a eles os papéis desejados.

Para conceder um papel do IAM a um usuário, um grupo ou um domínio:

  1. No console do Google Cloud, abra a página IAM.
    Acessar a página "IAM"

  2. No menu superior, clique em Adicionar.

  3. Especifique um usuário, um Grupo do Google ou um domínio.

  4. Selecione um papel de suporte. Como prática recomendada de segurança, conceda ao principal o mínimo de privilégio necessário.

  5. Clique em Salvar.

A seguir

Entenda como gerenciar casos de suporte no console do Google Cloud.