使用 IAM 控管存取權

本頁說明如何設定 Cloud Customer Care 的支援服務存取權控管。

事前準備

• 您必須訂閱 Standard 支援服務、Enhanced 支援服務或 Premium 支援服務。
• 您必須具備 Google Cloud 機構的「機構管理員」角色 (roles/resourcemanager.organizationAdmin)。

什麼是身分與存取權管理 (IAM)

Google Cloud 提供 IAM，可讓您以更精細的方式授予特定Google Cloud 資源的存取權，避免其他資源遭到未經授權者擅自存取。IAM 能讓您採用最低權限安全性原則，僅授予必要的資源存取權限給使用者。

設定身分與存取權管理政策之後，即可控管「誰」 (身分) 具備「何種存取權」(角色)，可以存取「哪些資源」。身分與存取權管理政策可將特定角色授予主體，讓主體擁有特定權限。舉例來說，您可以將某個特定資源 (例如專案) 的「技術支援檢視者」角色 (roles/cloudsupport.techSupportViewer) 指派給 Google 帳戶，該帳戶即可查看專案中的客服案件，但無法管理客服案件。

存取權考量因素

如果您已從白銀級、爍金級或白金級支援服務遷移出去，請注意，您將無法再透過 Google Cloud支援中心 (GCSC) 存取支援案件。啟用 Standard、Enhanced 或 Premium 支援服務後，您可以將 IAM 角色授予使用者、群組或網域，藉此管理已轉移案件的存取權。

機構層級案件

您可以在機構或專案中建立客戶服務案件。

如要管理機構層級案件，使用者必須具備機構層級的 resourcemanager.organizations.get 權限，否則無法在 Google Cloud 控制台中選取機構。

授予這項權限最簡單的方法，就是授予使用者機構中的 roles/resourcemanager.organizationViewer 角色。這個角色只會授予 resourcemanager.organizations.get 權限。

注意：授予使用者 Organization Viewer 角色與在機構層級授予使用者 Viewer 角色不同。這也是常見的疑問。Organization Viewer 角色不會授予使用者查看機構內任何資源的存取權，只會讓使用者查看機構是否存在。

此外，使用者必須具備相關的技術支援 IAM 權限，詳情請見下文。

Customer Care IAM 角色

使用 IAM 時，每個支援使用者都必須擁有適當權限，才能查看及管理案件和使用者。將使用者加入 IAM 角色、屬於角色的群組，或指派給角色的網域時，使用者就會取得這些權限。

下表列出 Cloud Customer Care 使用者可用的 IAM 角色、相關資源的權限，以及可套用權限的最低資源層級。

Role	Permissions
Support Account Administrator (roles/cloudsupport.admin) Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role: Organization	cloudsupport.accounts.* cloudsupport.accounts.create cloudsupport.accounts.delete cloudsupport.accounts.get cloudsupport.accounts.getIamPolicy cloudsupport.accounts.getUserRoles cloudsupport.accounts.list cloudsupport.accounts.purchase cloudsupport.accounts.setIamPolicy cloudsupport.accounts.update cloudsupport.accounts.updateUserRoles cloudsupport.operations.get cloudsupport.properties.get resourcemanager.organizations.get
Tech Support Editor (roles/cloudsupport.techSupportEditor) Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.	billing.resourceAssociations.list cloudasset.assets.searchAllResources cloudsupport.properties.get cloudsupport.techCases.* cloudsupport.techCases.create cloudsupport.techCases.escalate cloudsupport.techCases.get cloudsupport.techCases.list cloudsupport.techCases.update resourcemanager.projects.get resourcemanager.projects.list
Tech Support Viewer (roles/cloudsupport.techSupportViewer) Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.	cloudsupport.properties.get cloudsupport.techCases.get cloudsupport.techCases.list resourcemanager.projects.get resourcemanager.projects.list
Support Account Viewer (roles/cloudsupport.viewer) Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role: Organization	cloudsupport.accounts.get cloudsupport.accounts.getUserRoles cloudsupport.accounts.list cloudsupport.properties.get

如要將使用者、群組或網域新增至角色，請參閱「授予 IAM 角色」。

支援帳戶管理員

具備「支援帳戶管理員」角色 (roles/cloudsupport.admin) 的使用者，可以管理已購買的支援服務，以及相關的帳單。

「支援帳戶管理員」須負責管理機構支援帳戶的各項政策，其中包括：

• 指派新的支援使用者
• 修改現有支援使用者的角色
• 管理支援服務費用

這個角色只能在機構層級授予。

支援帳戶檢視者

支援帳戶檢視者角色 (roles/cloudsupport.viewer) 可查看服務的帳戶資訊。他們無法查看或編輯客服案件，必須指派「技術支援檢視者」或「技術支援編輯者」角色才能查看或編輯。

這個角色只能在機構層級授予。

技術支援編輯者

「技術支援編輯者」角色 (roles/cloudsupport.techSupportEditor) 可管理客服案件，包括查看、建立、更新、提報和關閉案件。

您可以在機構、資料夾和專案層級授予這個角色。舉例來說，如果您將「技術支援編輯者」角色授予特定專案的 Google 群組，該群組的所有成員都能管理該專案的客服案件。

您也可以在資源階層的多個層級中授予這個角色，為巢狀資源建立不同的權限。舉例來說，如果您擁有機構的「技術支援檢視者」角色，以及專案的「技術支援編輯者」角色，您就能查看機構內的客服案件，但只能編輯該專案的案件。

技術支援檢視者

技術支援檢視者角色 (roles/cloudsupport.techSupportViewer) 可查看支援案件和帳戶資訊。

這個角色可在機構、專案和資料夾層級設定。舉例來說，您可以將技術支援檢視者角色授予專案中特定資料夾的 Google 群組，讓該群組成員查看資料夾中的支援案件。

授予 IAM 角色

使用者、Google 網路論壇或網域必須具備機構的 resourcemanager.organizations.setIamPolicy 權限，才能將使用者新增至客戶服務 IAM 角色。您可以授予使用者或群組「機構管理員」角色 (roles/resourcemanager.organizationAdmin)，將該權限授予使用者或群組。

舉例來說，如果貴機構希望授予「支援帳戶管理員」角色的使用者同時能夠新增及移除其他客戶服務 IAM 角色的使用者和群組，機構管理員可以執行以下操作：

• 為使用者建立 Google 群組 (MyCompanySupportAdmins)。
• 指派「Google 群組 (MyCompanySupportAdmins)」機構管理員角色。
• 將「支援帳戶管理員」角色指派給 Google 群組 (MyCompanySupportAdmins)。

在這個範例中，Google 群組 (MyCompanySupportAdmins) 的成員可以將使用者和群組指派給機構中的 IAM 角色，因為該群組在授予「機構管理員」角色時已獲得 setIamPolicy 權限。當新的支援帳戶管理員加入機構時，請將他們加入 Google 群組 (MyCompanySupportAdmins)，授予他們所需的角色。

如要將 IAM 角色授予使用者、群組或網域，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「IAM」頁面。
   前往「身分與存取權管理」頁面

2. 按一下頂端選單中的「新增」。

3. 指定使用者、Google 群組或網域。

4. 選取「支援」角色。基於安全性最佳做法，強烈建議您只授予主體所需的最低權限。

5. 按一下 [儲存]。

後續步驟

瞭解如何在Google Cloud 控制台中管理客服案件。