Cette page a été traduite par l'API Cloud Translation.

Contrôle des accès avec IAM

Cette page explique comment configurer le contrôle des accès pour les services d'assistance du Cloud Customer Care.

Avant de commencer

Vous devez disposer de l'assistance Standard, Advanced ou Premium.
Vous devez disposer du rôle "Administrateur de l'organisation" (roles/resourcemanager.organizationAdmin) pour votre Google Cloud organisation.

Qu'est-ce que Cloud Identity and Access Management (IAM) ?

Google Cloud propose IAM, qui vous permet d'attribuer un accès précis à des ressourcesGoogle Cloud spécifiques et empêche tout accès non souhaité à d'autres ressources. IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.

Grâce à IAM, vous pouvez contrôler qui (identité) bénéficie de quel type d'accès (rôles) à quelles ressources en définissant des stratégies IAM. Les stratégies IAM permettent d'attribuer un ou plusieurs rôles spécifiques à un compte principal afin de lui accorder certaines autorisations. Par exemple, pour une ressource spécifique telle qu'un projet, vous pouvez attribuer le rôle "Lecteur de l'assistance technique" (roles/cloudsupport.techSupportViewer) à un compte Google. Celui-ci peut ainsi consulter les demandes d'assistance du projet, mais ne peut pas les gérer.

Points à prendre en compte concernant l'accès

Si vous êtes passé de l'assistance Silver, Gold ou Platinum, gardez à l'esprit que les demandes d'assistance ne sont plus accessibles via le Google CloudCentre d'assistance (GCSC). Après avoir activé l'assistance Standard, Advanced ou Premium, vous pouvez gérer l'accès aux demandes migrées en attribuant des rôles IAM aux utilisateurs, aux groupes ou aux domaines.

Cas au niveau de l'organisation

Vous pouvez créer des demandes d'assistance client dans des organisations ou des projets.

Pour gérer les demandes au niveau de l'organisation, l'utilisateur doit disposer de l'autorisation resourcemanager.organizations.get au niveau de l'organisation, sinon il ne pourra pas sélectionner l'organisation dans la console Google Cloud.

Le moyen le plus simple d'accorder cette autorisation consiste à attribuer à l'utilisateur le rôle roles/resourcemanager.organizationViewer dans l'organisation. Ce rôle n'accorde que l'autorisation resourcemanager.organizations.get.

REMARQUE: Attribuer le rôle Organization Viewer à un utilisateur n'est pas la même chose que d'attribuer le rôle Viewer au niveau de l'organisation. Il s'agit d'un point de confusion courant. Le rôle Organization Viewer ne permet pas à l'utilisateur d'afficher les ressources de l'organisation. Il lui permet uniquement de voir que l'organisation existe.

De plus, l'utilisateur doit disposer des autorisations IAM d'assistance technique appropriées, décrites dans les sections suivantes.

Rôles IAM du Customer Care

Avec IAM, chaque utilisateur de l'assistance doit disposer des autorisations appropriées pour afficher et gérer les demandes et les utilisateurs. Les utilisateurs obtiennent ces autorisations lorsque vous les ajoutez à un rôle IAM, à un groupe appartenant à un rôle ou à un domaine attribué à un rôle.

Le tableau suivant décrit les rôles IAM disponibles pour les utilisateurs Cloud Customer Care, répertorie les autorisations associées aux ressources et indique le niveau de ressource le plus bas auquel vous pouvez appliquer ces autorisations.

Role Permissions

Role	Permissions
Support Account Administrator (`roles/cloudsupport.admin`) Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role: Organization	`cloudsupport.accounts.*` `cloudsupport.accounts.create` `cloudsupport.accounts.delete` `cloudsupport.accounts.get` `cloudsupport.accounts.getIamPolicy` `cloudsupport.accounts.getUserRoles` `cloudsupport.accounts.list` `cloudsupport.accounts.purchase` `cloudsupport.accounts.setIamPolicy` `cloudsupport.accounts.update` `cloudsupport.accounts.updateUserRoles` `cloudsupport.operations.get` `cloudsupport.properties.get` `resourcemanager.organizations.get`
Tech Support Editor (`roles/cloudsupport.techSupportEditor`) Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.	`billing.resourceAssociations.list` `cloudasset.assets.searchAllResources` `cloudsupport.properties.get` `cloudsupport.techCases.*` `cloudsupport.techCases.create` `cloudsupport.techCases.escalate` `cloudsupport.techCases.get` `cloudsupport.techCases.list` `cloudsupport.techCases.update` `resourcemanager.projects.get` `resourcemanager.projects.list`
Tech Support Viewer (`roles/cloudsupport.techSupportViewer`) Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.	`cloudsupport.properties.get` `cloudsupport.techCases.get` `cloudsupport.techCases.list` `resourcemanager.projects.get` `resourcemanager.projects.list`
Support Account Viewer (`roles/cloudsupport.viewer`) Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role: Organization	`cloudsupport.accounts.get` `cloudsupport.accounts.getUserRoles` `cloudsupport.accounts.list` `cloudsupport.properties.get`

Support Account Administrator

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

Organization

cloudsupport.accounts.*

cloudsupport.accounts.create
cloudsupport.accounts.delete
cloudsupport.accounts.get
cloudsupport.accounts.getIamPolicy
cloudsupport.accounts.getUserRoles
cloudsupport.accounts.list
cloudsupport.accounts.purchase
cloudsupport.accounts.setIamPolicy
cloudsupport.accounts.update
cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

Tech Support Editor

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

billing.resourceAssociations.list

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

cloudsupport.techCases.create
cloudsupport.techCases.escalate
cloudsupport.techCases.get
cloudsupport.techCases.list
cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

Tech Support Viewer

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

Support Account Viewer

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

Pour ajouter un utilisateur, un groupe ou un domaine à un rôle, consultez la page Attribuer des rôles IAM.

Administrateur de compte d'assistance

Les utilisateurs détenant le rôle "Administrateur de compte de support" (roles/cloudsupport.admin) peuvent gérer le service d'assistance souscrit et le type de facturation associé.

L'administrateur de compte d'assistance est responsable de l'administration des stratégies du compte d'assistance de l'organisation, y compris de :

l'attribution de nouveaux utilisateurs de l'assistance ;
la modification des rôles pour les utilisateurs de l'assistance existants ;
la gestion de la facturation de l'assistance.

Il ne peut être accordé qu'au niveau de l'organisation.

Lecteur de compte de support

Les utilisateurs détenant le rôle "Lecteur de compte de support" (roles/cloudsupport.viewer) peuvent afficher les informations concernant le compte pour le service. Ils ne peuvent pas consulter ni modifier les demandes d'assistance. Pour cela, ils doivent obtenir le rôle "Lecteur de l'assistance technique" ou "Éditeur de l'assistance technique".

Il ne peut être accordé qu'au niveau de l'organisation.

Éditeur de l'assistance technique

Le rôle "Éditeur de l'assistance technique" (roles/cloudsupport.techSupportEditor) permet de gérer les demandes d'assistance, y compris leur affichage, leur création, leur mise à jour, leur transmission et leur fermeture.

Vous pouvez attribuer ce rôle au niveau de l'organisation, du dossier et du projet. Par exemple, si vous attribuez le rôle "Éditeur de l'assistance technique" à un groupe Google au niveau d'un projet spécifique, tous les membres du groupe peuvent gérer les demandes d'assistance de ce projet.

Vous pouvez également accorder ce rôle à plusieurs niveaux de la hiérarchie des ressources afin de définir des autorisations différentes pour les ressources imbriquées. Par exemple, si vous détenez le rôle "Lecteur de l'assistance technique" au niveau de l'organisation et le rôle "Éditeur de l'assistance technique" au niveau du projet, vous pouvez consulter les demandes d'assistance dans l'ensemble de l'organisation, mais ne pouvez modifier que les demandes associées au projet en question.

Lecteur de l'assistance technique

Le rôle "Lecteur de l'assistance technique" (roles/cloudsupport.techSupportViewer) permet d'afficher les demandes d'assistance et les informations concernant le compte d'assistance.

Il peut être défini au niveau de l'organisation, du projet et du dossier. Par exemple, vous pouvez attribuer le rôle "Lecteur de l'assistance technique" à un groupe Google au niveau d'un dossier spécifique d'un projet, et ainsi permettre aux membres du groupe de consulter les demandes d'assistance du dossier.

Attribuer des rôles IAM

Les utilisateurs, groupes Google et domaines doivent disposer de l'autorisation resourcemanager.organizations.setIamPolicy au niveau de l'organisation pour pouvoir ajouter des utilisateurs aux rôles Customer Care IAM. Vous pouvez accorder cette autorisation à un utilisateur ou à un groupe en lui attribuant le rôle "Administrateur de l'organisation" (roles/resourcemanager.organizationAdmin).

Par exemple, si votre organisation souhaite que les utilisateurs détenant le rôle "Administrateur de compte de support" puissent également ajouter des utilisateurs et des groupes aux autres rôles Customer Care IAM, ainsi que supprimer des utilisateurs et groupes de ces rôles, un administrateur de l'organisation peut effectuer la démarche suivante :

Créer un groupe Google pour les utilisateurs (MyCompanySupportAdmins)
Attribuer le rôle "Administrateur de l'organisation" au groupe Google (MyCompanySupportAdmins)
Attribuer le rôle "Administrateur de compte de support" au groupe Google (MyCompanySupportAdmins)

Dans cet exemple, les membres du groupe Google (MyCompanySupportAdmins) peuvent ajouter des utilisateurs et des groupes aux rôles IAM de l'organisation, car le groupe a obtenu l'autorisation setIamPolicy avec le rôle "Administrateur de l'organisation". Lorsque de nouveaux administrateurs de compte de support rejoignent l'organisation, ajoutez-les au groupe Google (MyCompanySupportAdmins) pour leur accorder les rôles souhaités.

Pour attribuer un rôle IAM à un utilisateur, un groupe ou un domaine :

Dans la console Google Cloud, accédez à la page IAM.
Accéder à la page IAM
Dans le menu supérieur, cliquez sur Ajouter.
Spécifiez un utilisateur, un groupe Google ou un domaine.
Sélectionnez un rôle d'assistance. Pour respecter les bonnes pratiques en matière de sécurité, nous vous recommandons vivement d'accorder le moins de privilèges possible aux comptes principaux.
Cliquez sur Enregistrer.

Étape suivante

Découvrez comment gérer les demandes d'assistance dans Google Cloud Console.