Se usó la API de Cloud Translation para traducir esta página.

Control de acceso con IAM

En esta página, se explica cómo configurar el control de acceso para los servicios de asistencia de Atención al cliente de Cloud.

Antes de comenzar

Debes tener los servicios de Asistencia estándar, Asistencia mejorada o Asistencia premium.
Debes tener el rol de administrador de la organización (roles/resourcemanager.organizationAdmin) para tu organización de Google Cloud.

¿Qué es Identity and Access Management (IAM)?

Google Cloud ofrece IAM, que te permite otorgar acceso detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgas el acceso necesario a tus recursos.

IAM te permite configurar políticas para controlar quién (identidad) tiene qué acceso (funciones) a qué recurso. Las políticas de IAM otorgan roles específicos a una principal, lo que le otorga ciertos permisos. Por ejemplo, para un recurso determinado, como un proyecto, puedes asignar la función de visualizador de asistencia técnica (roles/cloudsupport.techSupportViewer) a una Cuenta de Google. Esa cuenta puede visualizar casos de ayuda del proyecto, pero no administrarlos.

Consideraciones de acceso

Si realizaste la transición desde la asistencia Plata, Oro o Platino, ten en cuenta que ya no se puede acceder a los casos de ayuda a través de Google Cloud Support Center (GCSC). Después de habilitar la Asistencia estándar, mejorada o premium, puedes administrar el acceso a los casos transferidos mediante la asignación de funciones de IAM a usuarios, grupos o dominios.

Casos a nivel de la organización

Los casos de Atención al cliente se pueden crear dentro de organizaciones o proyectos.

Para administrar casos a nivel de la organización, el usuario debe tener el permiso resourcemanager.organizations.get a nivel de la organización. De lo contrario, no podrá seleccionar la organización en la consola de Google Cloud.

La forma más sencilla de otorgar este permiso es otorgar al usuario la función roles/resourcemanager.organizationViewer en la organización. Esta función solo otorga el permiso resourcemanager.organizations.get.

NOTA: Otorgar a un usuario la función Organization Viewer no es lo mismo que otorgarle la función Viewer a nivel de la organización. Este es un punto común de confusión. La función Organization Viewer no le otorga al usuario acceso para ver ningún recurso dentro de la organización, solo le permite ver que la organización existe.

Además, el usuario debe tener los permisos relevantes de IAM de asistencia técnica, que se describen en las siguientes secciones.

Funciones de IAM de Atención al cliente

Con la IAM, todos los usuarios de asistencia deben tener los permisos adecuados para ver y administrar casos y usuarios. Pueden obtener estos permisos cuando los agregas a una función de IAM, a un grupo que pertenece a una función o a un dominio asignado a una función.

En la siguiente tabla, se enumeran las funciones de IAM disponibles para los usuarios de atención al cliente de Cloud, los permisos asociados y los recursos más bajos a los que se pueden aplicar los permisos.

Role Permissions

Role	Permissions
Support Account Administrator (`roles/cloudsupport.admin`) Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role: Organization	`cloudsupport.accounts.*` `cloudsupport.accounts.create` `cloudsupport.accounts.delete` `cloudsupport.accounts.get` `cloudsupport.accounts.getIamPolicy` `cloudsupport.accounts.getUserRoles` `cloudsupport.accounts.list` `cloudsupport.accounts.purchase` `cloudsupport.accounts.setIamPolicy` `cloudsupport.accounts.update` `cloudsupport.accounts.updateUserRoles` `cloudsupport.operations.get` `cloudsupport.properties.get` `resourcemanager.organizations.get`
Tech Support Editor (`roles/cloudsupport.techSupportEditor`) Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.	`cloudasset.assets.searchAllResources` `cloudsupport.properties.get` `cloudsupport.techCases.*` `cloudsupport.techCases.create` `cloudsupport.techCases.escalate` `cloudsupport.techCases.get` `cloudsupport.techCases.list` `cloudsupport.techCases.update` `resourcemanager.projects.get` `resourcemanager.projects.list`
Tech Support Viewer (`roles/cloudsupport.techSupportViewer`) Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.	`cloudsupport.properties.get` `cloudsupport.techCases.get` `cloudsupport.techCases.list` `resourcemanager.projects.get` `resourcemanager.projects.list`
Support Account Viewer (`roles/cloudsupport.viewer`) Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role: Organization	`cloudsupport.accounts.get` `cloudsupport.accounts.getUserRoles` `cloudsupport.accounts.list` `cloudsupport.properties.get`

Support Account Administrator

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

Organization

cloudsupport.accounts.*

cloudsupport.accounts.create
cloudsupport.accounts.delete
cloudsupport.accounts.get
cloudsupport.accounts.getIamPolicy
cloudsupport.accounts.getUserRoles
cloudsupport.accounts.list
cloudsupport.accounts.purchase
cloudsupport.accounts.setIamPolicy
cloudsupport.accounts.update
cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

Tech Support Editor

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

cloudsupport.techCases.create
cloudsupport.techCases.escalate
cloudsupport.techCases.get
cloudsupport.techCases.list
cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

Tech Support Viewer

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

Support Account Viewer

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

Para agregar un usuario, grupo o dominio a una función, consulta Otorga funciones de IAM.

Administrador de cuentas de asistencia

Los usuarios con el rol de administrador de cuentas de asistencia (roles/cloudsupport.admin) pueden administrar el servicio de asistencia comprado y la forma en que se factura.

El administrador de la cuenta de asistencia es responsable de administrar las políticas de la cuenta de asistencia de la organización, y su función incluye las siguientes tareas:

Asignar usuarios nuevos de asistencia
Modificar las funciones de los usuarios de asistencia existentes
Administrar la asistencia de facturación

Esta función solo se puede otorgar en el nivel de organización.

Lector de cuentas de asistencia

El rol Visualizador de cuentas de asistencia (roles/cloudsupport.viewer) puede ver la información de la cuenta del servicio. No pueden ver ni editar los casos de ayuda; para hacerlo, se les debe asignar una función de Visualizador de asistencia técnica o Editor de asistencia técnica.

Esta función solo se puede otorgar en el nivel de organización.

Editor de asistencia técnica

La función de Editor de asistencia técnica (roles/cloudsupport.techSupportEditor) puede administrar casos de ayuda, como ver, crear, actualizar, escalar y cerrar casos.

Puedes otorgar este rol a nivel de organización, carpeta y proyecto. Por ejemplo, si otorgas la función de Editor de asistencia técnica a un Grupo de Google en un proyecto específico, todos los miembros del grupo podrán administrar los casos de asistencia para ese proyecto.

También puedes otorgar esta función en varios niveles de la jerarquía de recursos a fin de establecer permisos diferentes para los recursos anidados. Por ejemplo, si tienes la función de visualizador de asistencia técnica en la organización y de editor de asistencia técnica en un proyecto, puedes ver casos de ayuda en toda la organización, pero solo podrás editar casos del proyecto.

Visualizador de asistencia técnica

Los usuarios con la función de visualizador de asistencia técnica (roles/cloudsupport.techSupportViewer) pueden ver los casos de ayuda y la información de la cuenta.

Esta función se puede establecer en los niveles de organización, proyecto y carpeta. Por ejemplo, puedes otorgar la función de visualizador de asistencia técnica a un grupo de Google en una carpeta específica en un proyecto, lo que permite que los miembros de ese grupo vean los casos de ayuda en la carpeta.

Otorga funciones de IAM

Los usuarios, los Grupos de Google o los dominios deben tener el permiso resourcemanager.organizations.setIamPolicy en la organización para agregar usuarios a las funciones de atención al cliente de IAM. Puedes otorgarle a un usuario o grupo ese permiso mediante el rol de administrador de la organización (roles/resourcemanager.organizationAdmin).

Por ejemplo, si tu organización desea que los usuarios que tengan la función de administradores de cuentas de asistencia también puedan agregar y quitar usuarios y grupos de las otras funciones de atención al cliente de IAM, el administrador de la organización puede hacer lo siguiente:

Crear un grupo de Google para los usuarios (AdministradoresDeAsistencia)
Asignar la función de administrador de la organización al grupo de Google (AdministradoresDeAsistencia)
Asignar la función de administrador de cuentas de asistencia al grupo de Google (AdministradoresDeAsistencia)

En el ejemplo, los miembros del grupo de Google (MyCompanySupportAdmins) pueden asignar usuarios y grupos a las funciones de IAM en la organización porque se les otorgó el permiso setIamPolicy cuando se les asignó la función de administrador de la organización. A medida que los nuevos administradores de cuentas de asistencia se unan a la organización, agrégalos al grupo de Google (AdministradoresDeAsistencia) para otorgarles las funciones deseadas.

Para otorgar un rol de IAM a un usuario, grupo o dominio, sigue estos pasos:

En la consola de Google Cloud, ve a la página IAM.
Ir a la página IAM.
En el menú de la parte superior, haz clic en Agregar.
Especifica un usuario, un Grupo de Google o un dominio.
Seleccionar una función de asistencia. Para una mejor seguridad, se recomienda brindarle al principal la menor cantidad de privilegios que necesite.
Haz clic en Guardar.

¿Qué sigue?

Comprende cómo administrar casos de ayuda en la consola de Google Cloud.