Kontrol akses dengan IAM

Halaman ini menjelaskan cara mengonfigurasi kontrol akses untuk layanan dukungan Cloud Customer Care.

Sebelum memulai

Anda harus memiliki layanan Dukungan Standar, Dukungan Enhanced, atau Dukungan Premium.
Anda harus memiliki peran Organization Administrator (roles/resourcemanager.organizationAdmin) untuk organisasi Google Cloud Anda.

Apa itu Identity and Access Management (IAM)

Google Cloud menawarkan IAM, yang memungkinkan Anda memberikan akses yang lebih terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip hak istimewa terendah untuk keamanan, jadi Anda hanya memberikan akses yang diperlukan ke resource Anda.

IAM memungkinkan Anda mengontrol siapa (identitas) yang memiliki akses (peran) ke resource tertentu dengan menetapkan kebijakan IAM. Kebijakan IAM memberikan peran tertentu kepada akun utama, dengan memberikan izin tertentu kepada akun utama tersebut. Misalnya, untuk resource tertentu, seperti project, Anda dapat menetapkan peran Tech Support Viewer (roles/cloudsupport.techSupportViewer) ke Akun Google dan akun tersebut dapat melihat kasus dukungan dalam project, tetapi tidak dapat mengelola kasus dukungan.

Pertimbangan akses

Jika Anda telah beralih dari Dukungan Silver, Gold, atau Platinum, perhatikan bahwa kasus dukungan tidak lagi dapat diakses melalui Pusat Dukungan Google Cloud (GCSC). Setelah mengaktifkan Dukungan Standard, Enhanced, atau Premium, Anda dapat mengelola akses ke kasus yang ditransisikan dengan memberikan peran IAM kepada pengguna, grup, atau domain.

Kasus Tingkat Organisasi

Kasus Layanan Pelanggan dapat dibuat dalam organisasi atau project.

Untuk mengelola kasus tingkat organisasi, pengguna harus memiliki izin resourcemanager.organizations.get di tingkat organisasi, atau mereka tidak akan dapat memilih organisasi di Konsol Google Cloud.

Cara termudah untuk memberikan izin ini adalah dengan memberikan peran roles/resourcemanager.organizationViewer kepada pengguna di organisasi. Peran ini hanya memberikan izin resourcemanager.organizations.get.

CATATAN: Memberikan peran Organization Viewer kepada pengguna tidak sama dengan memberikan peran Viewer kepada pengguna di tingkat Organisasi. Ini adalah hal umum yang membuat mereka bingung. Peran Organization Viewer tidak memberi pengguna akses untuk melihat resource apa pun di dalam organisasi, tetapi hanya mengizinkan pengguna untuk melihat bahwa organisasi tersebut ada.

Selain itu, pengguna harus memiliki izin IAM Dukungan Teknis yang relevan, yang dijelaskan di bagian berikut.

Peran IAM Layanan Pelanggan

Dengan IAM, setiap pengguna dukungan harus memiliki izin yang sesuai untuk melihat serta mengelola kasus dan pengguna. Pengguna akan mendapatkan izin ini saat Anda menambahkannya ke peran IAM, grup yang termasuk dalam suatu peran, atau domain yang ditetapkan pada sebuah peran.

Tabel berikut berisi daftar peran IAM yang tersedia untuk pengguna Cloud Customer Care, izin terkait untuk resource, dan level resource terendah yang izinnya dapat Anda terapkan.

Role Permissions

Role	Permissions
Support Account Administrator (`roles/cloudsupport.admin`) Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role: Organization	`cloudsupport.accounts.*` `cloudsupport.accounts.create` `cloudsupport.accounts.delete` `cloudsupport.accounts.get` `cloudsupport.accounts.getIamPolicy` `cloudsupport.accounts.getUserRoles` `cloudsupport.accounts.list` `cloudsupport.accounts.purchase` `cloudsupport.accounts.setIamPolicy` `cloudsupport.accounts.update` `cloudsupport.accounts.updateUserRoles` `cloudsupport.operations.get` `cloudsupport.properties.get` `resourcemanager.organizations.get`
Tech Support Editor (`roles/cloudsupport.techSupportEditor`) Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.	`cloudasset.assets.searchAllResources` `cloudsupport.properties.get` `cloudsupport.techCases.*` `cloudsupport.techCases.create` `cloudsupport.techCases.escalate` `cloudsupport.techCases.get` `cloudsupport.techCases.list` `cloudsupport.techCases.update` `resourcemanager.projects.get` `resourcemanager.projects.list`
Tech Support Viewer (`roles/cloudsupport.techSupportViewer`) Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.	`cloudsupport.properties.get` `cloudsupport.techCases.get` `cloudsupport.techCases.list` `resourcemanager.projects.get` `resourcemanager.projects.list`
Support Account Viewer (`roles/cloudsupport.viewer`) Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role: Organization	`cloudsupport.accounts.get` `cloudsupport.accounts.getUserRoles` `cloudsupport.accounts.list` `cloudsupport.properties.get`

Support Account Administrator

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

Organization

cloudsupport.accounts.*

cloudsupport.accounts.create
cloudsupport.accounts.delete
cloudsupport.accounts.get
cloudsupport.accounts.getIamPolicy
cloudsupport.accounts.getUserRoles
cloudsupport.accounts.list
cloudsupport.accounts.purchase
cloudsupport.accounts.setIamPolicy
cloudsupport.accounts.update
cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

Tech Support Editor

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

cloudsupport.techCases.create
cloudsupport.techCases.escalate
cloudsupport.techCases.get
cloudsupport.techCases.list
cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

Tech Support Viewer

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

Support Account Viewer

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

Untuk menambahkan pengguna, grup, atau domain ke peran, lihat Memberikan peran IAM.

Support Account Administrator

Pengguna dengan peran Support Account Administrator (roles/cloudsupport.admin) dapat mengelola layanan dukungan yang dibeli dan cara penagihannya.

Support Account Administrator bertanggung jawab mengelola kebijakan untuk akun dukungan organisasi, termasuk:

Menetapkan pengguna dukungan baru
Memodifikasi peran untuk pengguna dukungan yang ada
Mengelola penagihan dukungan

Peran ini hanya dapat diberikan di tingkat organisasi.

Support Account Viewer

Peran Support Account Viewer (roles/cloudsupport.viewer) dapat melihat informasi akun untuk layanan tersebut. Mereka tidak dapat melihat atau mengedit kasus dukungan; untuk melakukannya, mereka harus diberi peran Tech Support Viewer atau Tech Support Editor.

Peran ini hanya dapat diberikan di tingkat organisasi.

Tech Support Editor

Peran Tech Support Editor (roles/cloudsupport.techSupportEditor) dapat mengelola kasus dukungan, termasuk melihat, membuat, memperbarui, mengeskalasi, dan menutup kasus.

Anda dapat memberikan peran ini di tingkat organisasi, folder, dan project. Misalnya, jika Anda memberikan peran Tech Support Editor ke grup Google pada project tertentu, semua anggota grup dapat mengelola kasus dukungan untuk project tersebut.

Anda juga dapat memberikan peran ini pada beberapa level hierarki resource guna menetapkan izin yang berbeda untuk resource bertingkat. Misalnya, jika Anda memiliki peran Tech Support Viewer untuk organisasi dan peran Tech Support Editor pada project, Anda dapat melihat kasus dukungan di seluruh organisasi, tetapi hanya mengedit kasus untuk project tersebut.

Tech Support Viewer

Peran Tech Support Viewer (roles/cloudsupport.techSupportViewer) dapat melihat kasus dukungan dan informasi akun.

Peran ini dapat ditetapkan di tingkat organisasi, project, dan folder. Misalnya, Anda dapat memberikan peran Tech Support Viewer ke grup Google di folder tertentu dalam project, yang memungkinkan anggota grup tersebut melihat kasus dukungan dalam folder.

Memberikan peran IAM

Pengguna, Google Grup, atau domain harus memiliki izin resourcemanager.organizations.setIamPolicy di organisasi untuk menambahkan pengguna ke peran IAM Layanan Pelanggan. Anda dapat memberikan izin tersebut kepada pengguna atau grup dengan memberi mereka peran Organization Administrator (roles/resourcemanager.organizationAdmin).

Misalnya, jika organisasi Anda ingin pengguna diberi peran Support Account Administrators untuk juga dapat menambahkan dan menghapus pengguna dan grup dari peran IAM Layanan Pelanggan lainnya, Organization Administrator dapat melakukan hal berikut:

Buat Google Grup untuk pengguna (MyCompanySupportAdmins).
Tetapkan peran Organization Administrator ke Google Grup (MyCompanySupportAdmins).
Tetapkan peran Support Account Administrator pada Google Grup (MyCompanySupportAdmins).

Sebagai contoh, anggota Google Grup (MyCompanySupportAdmins) dapat menetapkan pengguna dan grup ke peran IAM di organisasi karena grup telah diberi izin setIamPolicy saat diberi peran Administrator Organisasi. Saat Administrator Akun Dukungan baru bergabung dengan organisasi, tambahkan mereka ke Google Grup (MyCompanySupportAdmins) untuk memberi mereka peran yang diinginkan.

Untuk memberikan peran IAM kepada pengguna, grup, atau domain:

Di konsol Google Cloud, buka halaman IAM.
Buka halaman IAM
Dari menu teratas, klik Tambahkan.
Tentukan pengguna, Google Grup, atau domain.
Pilih peran Dukungan. Untuk praktik keamanan terbaik, sebaiknya berikan jumlah hak istimewa terendah yang diperlukan kepada akun utama.
Klik Save.

Langkah selanjutnya

Pahami cara mengelola kasus dukungan di Konsol Google Cloud.