Nesta página, explicamos como configurar o controle de acesso para os serviços de suporte do Cloud Customer Care.
Antes de começar
- É necessário ter o serviço Suporte Padrão, Suporte Avançado ou Suporte Premium.
- É necessário ter o papel de administrador da organização (
roles/resourcemanager.organizationAdmin) para sua organização do Google Cloud.
O que é o gerenciamento de identidade e acesso (IAM)
O Google Cloud oferece IAM, que permite conceder acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de segurança do menor privilégio (em inglês) para conceder apenas o acesso necessário aos recursos.
Por meio da definição de políticas do IAM, você pode controlar quem (identidade) tem qual acesso (papéis) a qual recurso.
As políticas do IAM concedem papéis específicos a um principal,
dando ao principal as permissões específicas. Por exemplo, para um determinado recurso, como um projeto, é possível atribuir o papel de visualizador de suporte técnico (roles/cloudsupport.techSupportViewer) a uma Conta do Google. Com essa conta, é possível visualizar casos de suporte no projeto, mas gerenciar casos de suporte não é.
Considerações sobre o acesso
Se você fez a transição do suporte Silver, Gold ou Platinum, lembre-se de que as consultas ao suporte não poderão mais ser acessadas pela Central de suporte do Google Cloud (GCSC). Depois de ativar o suporte Standard, Enhanced ou Premium, você pode gerenciar o acesso a casos transferidos concedendo papéis do IAM a usuários, grupos ou domínios.
Casos no nível da organização
Os casos de atendimento ao cliente podem ser criados em organizações ou projetos.
Para gerenciar casos no nível da organização, o usuário precisa ter a permissão resourcemanager.organizations.get no nível da organização. Caso contrário, ele não poderá selecionar a organização no console do Google Cloud.
A maneira mais simples de conceder essa permissão é conceder ao usuário o papel roles/resourcemanager.organizationViewer na organização. Esse papel concede apenas a permissão resourcemanager.organizations.get.
OBSERVAÇÃO: conceder a um usuário o papel Organization Viewer não é o mesmo que conceder a um
usuário o papel Viewer no nível da organização. Esse é um ponto de confusão comum. O papel Organization Viewer não dá ao usuário acesso para visualizar os recursos dentro da organização, apenas permite que o usuário veja que a organização existe.
Além disso, o usuário precisa ter as permissões de IAM de suporte técnico relevantes, que são descritas nas seções a seguir.
Papéis de IAM do Customer Care
Com o IAM, cada usuário de suporte precisa ter as permissões apropriadas para visualizar e gerenciar casos e usuários. Os usuários recebem essas permissões quando você as adiciona a um papel do IAM, a um grupo que pertence a um papel ou a um domínio atribuído a um papel.
A tabela a seguir lista os papéis do IAM disponíveis para os usuários do Cloud Customer Care, as permissões associadas a quais recursos e o nível de recurso mais baixo em que as permissões podem ser aplicadas.
| Role | Permissions |
|---|---|
Support Account Administrator( Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role:
|
|
Tech Support Editor( Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information. |
|
Tech Support Viewer( Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information. |
|
Support Account Viewer( Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role:
|
|
Para adicionar um usuário, grupo ou domínio a um papel, consulte Como conceder papéis do IAM.
Administrador da conta de suporte
Os usuários com o papel de administrador da conta de suporte (roles/cloudsupport.admin) podem gerenciar o serviço de suporte comprado e como ele é faturado.
Essa pessoa é responsável pela administração de políticas para a conta de suporte da organização, incluindo as seguintes atividades:
- atribuição de novos usuários de suporte
- modificação de papéis para usuários de suporte existentes
- gerenciamento do suporte de faturamento
Esse papel só pode ser atribuído no nível da organização.
Leitor da conta de suporte
O papel Leitor da conta de suporte (roles/cloudsupport.viewer) pode ver as informações da conta para o serviço. Não é possível visualizar ou editar casos de suporte. Para isso, é necessário atribuir um papel de visualizador ou de editor de suporte técnico.
Esse papel só pode ser atribuído no nível da organização.
Editor de suporte técnico
O papel de editor de suporte técnico (roles/cloudsupport.techSupportEditor) pode gerenciar
casos de suporte, incluindo visualização, criação, atualização, encaminhamento e encerramento de
casos.
É possível conceder esse papel nos níveis de organização, pasta e projeto. Por exemplo, se você conceder o papel Editor de suporte técnico a um grupo do Google em um projeto específico, todos os membros do grupo poderão gerenciar casos de suporte para esse projeto.
Também é possível conceder esse papel em vários níveis da hierarquia de recursos para estabelecer permissões diferentes para recursos aninhados. Por exemplo, se você tiver o papel de visualizador de suporte técnico para a organização e de editor de suporte técnico em um projeto, poderá visualizar os casos de suporte na organização, mas editar apenas os casos para o projeto.
Leitor de suporte técnico
O papel de visualizador de suporte técnico (roles/cloudsupport.techSupportViewer) permite visualizar casos de suporte e informações da conta.
É possível definir esse papel nos níveis de organização, projeto e pasta. Por exemplo, é possível conceder o papel de visualizador de suporte técnico a um grupo do Google em uma pasta específica de um projeto, o que permite que os membros visualizem os casos de suporte na pasta.
Como conceder papéis do IAM
É necessário que os usuários, Grupos do Google ou domínios tenham a permissão resourcemanager.organizations.setIamPolicy na organização para adicionarem usuários aos papéis do IAM do Customer Care. É possível dar essa permissão a usuários ou grupos concedendo a eles o papel de administrador da organização (roles/resourcemanager.organizationAdmin).
Por exemplo, se sua organização quiser que os usuários que receberam o papel de administrador de conta de suporte também possam adicionar e remover usuários e grupos de outros papéis do IAM do Customer Care, o administrador de uma organização poderá fazer o seguinte:
- Criar um Grupo do Google para os usuários (MyCompanySupportAdmins).
- Atribuir ao Grupo do Google (MyCompanySupportAdmins) o papel de administrador da organização.
- Atribuir ao Grupo do Google (MyCompanySupportAdmins) o papel de administrador de conta de suporte.
No exemplo, os membros do Grupo do Google (MyCompanySupportAdmins) podem atribuir papéis do IAM a usuários e grupos na organização, porque o grupo recebeu a permissão setIamPolicy quando o papel de administrador da organização foi concedido. À medida que os novos administradores de conta de suporte entrarem na organização, adicione-os ao Grupo do Google (MyCompanySupportAdmins) para conceder a eles os papéis desejados.
Para conceder um papel do IAM a um usuário, um grupo ou um domínio:
No console do Google Cloud, abra a página IAM.
Acessar a página "IAM"No menu superior, clique em Adicionar.
Especifique um usuário, um Grupo do Google ou um domínio.
Selecione um papel de suporte. Como prática recomendada de segurança, conceda ao principal o mínimo de privilégio necessário.
Clique em Salvar.
A seguir
Entenda como gerenciar casos de suporte no console do Google Cloud.