Zugriffssteuerung mit IAM

Auf dieser Seite wird erläutert, wie Sie die Zugriffssteuerung für die Supportdienste von Cloud Customer Care konfigurieren.

Hinweis

Was ist Identity and Access Management (IAM)?

Google Cloud bietet IAM, mit dem sich der Zugriff auf einzelneGoogle Cloud -Ressourcen präzise steuern und unerwünschter Zugriff auf andere Ressourcen verhindern lässt. Mit IAM können Sie das Prinzip der geringsten Berechtigung anwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen gewähren.

Mit IAM können Sie durch Festlegung von Richtlinien steuern, wer (Identität) welchen Zugriff (Rollen) auf welche Ressourcen hat. IAM-Richtlinien gewähren einem Hauptkonto bestimmte Rollen und dadurch bestimmte Berechtigungen. Beispielsweise können Sie einem Google-Konto für eine bestimmte Ressource, z. B. ein Projekt, die Rolle "Betrachter – Technischer Support" (roles/cloudsupport.techSupportViewer) zuweisen. Dieses Konto kann dann Supportfälle im Projekt ansehen, jedoch nicht verwalten.

Hinweise für den Zugriff

Wenn Sie vom Silber-, Gold- oder Platin-Support auf einen anderen Supportplan umgestellt haben, können Sie Supportfälle nicht mehr über das Google CloudGoogle Cloud-Supportcenter (GCSC) aufrufen. Nachdem Sie den Standard-, erweiterten oder Premium-Support aktiviert haben, können Sie den Zugriff auf übertragene Fälle verwalten, indem Sie Nutzern, Gruppen oder Domains IAM-Rollen zuweisen.

Supportanfragen auf Organisationsebene

Customer Care-Anfragen können innerhalb von Organisationen oder Projekten erstellt werden.

Damit Nutzer Fälle auf Organisationsebene verwalten können, müssen sie die Berechtigung resourcemanager.organizations.get auf Organisationsebene haben. Andernfalls können sie die Organisation nicht in der Google Cloud Console auswählen.

Am einfachsten erteilen Sie diese Berechtigung, indem Sie dem Nutzer die Rolle roles/resourcemanager.organizationViewer für die Organisation zuweisen. Mit dieser Rolle wird nur die Berechtigung resourcemanager.organizations.get gewährt.

HINWEIS: Wenn Sie einem Nutzer die Rolle Organization Viewer zuweisen, ist das nicht dasselbe wie die Zuweisung der Rolle Viewer auf Organisationsebene. Das ist ein häufiges Missverständnis. Die Rolle Organization Viewer gewährt dem Nutzer keinen Zugriff auf Ressourcen innerhalb der Organisation. Er kann nur sehen, dass die Organisation existiert.

Außerdem muss der Nutzer die entsprechenden IAM-Berechtigungen für den technischen Support haben, die in den folgenden Abschnitten beschrieben werden.

IAM-Rollen und Customer Care

Bei Verwendung von IAM muss jeder Supportnutzer die entsprechenden Berechtigungen zum Aufrufen und Verwalten von Fällen bzw. Nutzern haben. Nutzer erhalten diese Berechtigungen, wenn Sie sie einer IAM-Rolle, einer Gruppe, die zu einer Rolle gehört, oder einer Domain hinzufügen, die einer Rolle zugewiesen ist.

In der folgenden Tabelle sind die für Cloud Customer Care-Nutzer verfügbaren IAM-Rollen, die zugehörigen Berechtigungen sowie die niedrigste Ressourcenebene aufgeführt, auf die Sie die Berechtigungen anwenden können.

Role Permissions

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

billing.resourceAssociations.list

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

Informationen zum Hinzufügen eines Nutzers, einer Gruppe oder einer Domain zu einer Rolle finden Sie unter IAM-Rollen gewähren.

Supportkontoadministrator

Nutzer mit der Rolle „Supportkontoadministrator“ (roles/cloudsupport.admin) können den erworbenen Support und dessen Abrechnung verwalten.

Der Supportkontoadministrator ist für die Verwaltung von Richtlinien für das Supportkonto der Organisation zuständig. Hierzu zählen folgende Aufgaben:

  • Neue Supportnutzer zuweisen
  • Rollen vorhandener Supportnutzer ändern
  • Supportabrechnung verwalten

Diese Rolle kann nur auf Organisationsebene gewährt werden.

Supportkontobetrachter

Die Rolle „Supportkontobetrachter“ (roles/cloudsupport.viewer) kann Kontoinformationen für den Dienst aufrufen. In dieser Rolle können jedoch keine Supportfälle angesehen oder bearbeitet werden. Zu diesem Zweck wird die Rolle „Betrachter – Technischer Support“ oder „Mitbearbeiter – Technischer Support“ benötigt.

Diese Rolle kann nur auf Organisationsebene gewährt werden.

Mitbearbeiter – Technischer Support

Die Rolle "Mitbearbeiter – Technischer Support" (roles/cloudsupport.techSupportEditor) kann Supportfälle verwalten. Das umfasst das Ansehen, Erstellen, Aktualisieren, Eskalieren und Schließen von Fällen.

Diese Rolle kann auf Organisations-, Ordner- oder Projektebene gewährt werden. Wenn Sie beispielsweise einer Google-Gruppe in einem bestimmten Projekt die Rolle "Mitbearbeiter – Technischer Support" zuweisen, können alle Mitglieder der Gruppe Supportfälle für dieses Projekt verwalten.

Sie können diese Rolle auch auf mehreren Ebenen der Ressourcenhierarchie zuweisen, um unterschiedliche Berechtigungen für verschachtelte Ressourcen festzulegen. Wenn Sie zum Beispiel die Rolle "Betrachter – Technischer Support" für die Organisation und die Rolle "Mitbearbeiter – Technischer Support" für ein Projekt haben, können Sie Supportfälle für die gesamte Organisation ansehen, aber nur Fälle für das Projekt bearbeiten.

Betrachter – Technischer Support

Die Rolle "Betrachter – Technischer Support" (roles/cloudsupport.techSupportViewer) kann Supportfälle und Kontoinformationen ansehen.

Diese Rolle kann auf Organisations-, Projekt- und Ordnerebene festgelegt werden. Sie haben beispielsweise die Möglichkeit, die Rolle "Betrachter – Technischer Support" einer Google-Gruppe in einem bestimmten Ordner innerhalb eines Projekts zuzuweisen, damit die Mitglieder dieser Gruppe die Supportfälle im Ordner sehen können.

IAM-Rollen zuweisen

Nutzer, Google-Gruppen oder Domains müssen die Berechtigung resourcemanager.organizations.setIamPolicy in der Organisation haben, um Nutzer den Customer Care-IAM-Rollen hinzuzufügen. Sie können einem Nutzer oder einer Gruppe diese Berechtigung erteilen. Dazu weisen Sie ihm die Rolle "Organisationsadministrator" zu (roles/resourcemanager.organizationAdmin).

Angenommen, Ihre Organisation möchte, dass Nutzer die Rolle "Supportkontoadministrator" erhalten, damit sie auch in der Lage sind, Nutzer und Gruppen aus den anderen Customer Care-IAM-Rollen hinzuzufügen und zu entfernen, dann kann ein Organisationsadministrator Folgendes tun:

  • Eine Google-Gruppe für die Nutzer (MyCompanySupportAdmins) erstellen
  • Der Google-Gruppe (MyCompanySupportAdmins) die Rolle "Organisationsadministrator" zuweisen
  • Der Google-Gruppe (MyCompanySupportAdmins) die Rolle "Supportkontoadministrator" zuweisen

Im Beispiel können Mitglieder der Google-Gruppe (MyCompanySupportAdmins) Nutzer und Gruppen zu IAM-Rollen in der Organisation zuweisen, da der Gruppe durch die Rolle des Organisationsadministrators die Berechtigung setIamPolicy gewährt wurde. Wenn neue Supportkontoadministratoren der Organisation beitreten, fügen Sie sie der Google-Gruppe (MyCompanySupportAdmins) hinzu, um ihnen die gewünschten Rollen zu gewähren.

So weisen Sie einem Nutzer, einer Gruppe oder einer Domain eine IAM-Rolle zu:

  1. Öffnen Sie in der Google Cloud Console die Seite IAM. Rufen Sie die
    IAM-Seite auf.

  2. Klicken Sie im Menü oben auf Hinzufügen.

  3. Geben Sie einen Nutzer, eine Google-Gruppe oder eine Domain an.

  4. Wählen Sie eine Supportrolle aus. Als wichtige Sicherheitsmaßnahme empfehlen wir dringend, Hauptkonten nur die geringstmögliche Anzahl an notwendigen Berechtigungen zu gewähren.

  5. Klicken Sie auf Speichern.

Nächste Schritte

Informationen zum Verwalten von Supportfällen in der Google Cloud Console