Control de acceso

La asistencia Premium te permite configurar el control de acceso a Cloud Support para organizaciones mediante la administración de identidades y accesos (IAM).

Si deseas obtener asistencia Premium para tu organización, comunícate con tu representante de ventas de Google Cloud o solicita un plan.

Requisitos

  • Debes suscribirte a un plan de asistencia Premium.
  • Debes tener una organización de Google Cloud y acceso a la organización.
  • Debes tener la función de administrador de la organización (roles/resourcemanager.organizationAdmin) para tu organización de Google Cloud.

¿Qué es IAM?

Google Cloud ofrece IAM, que te permite otorgar acceso detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgas el acceso necesario a tus recursos.

IAM te permite configurar políticas para controlar quién (identidad) tiene qué acceso (funciones) a qué recurso. Las políticas de IAM otorgan funciones específicas a un miembro del proyecto y otorgan ciertos permisos a la identidad. Por ejemplo, para un recurso determinado, como un proyecto, puedes asignar la función de visualizador de asistencia técnica (roles/cloudsupport.techSupportViewer) a una Cuenta de Google. Esa cuenta puede visualizar casos de ayuda del proyecto, pero no administrarlos.

Consideraciones de acceso

Cuando otorgues funciones a los usuarios, ten en cuenta las siguientes consideraciones de acceso.

Acceso al centro de asistencia

Los clientes que migraron a la asistencia Premium desde los planes Oro, Plata o Platino, ya no pueden acceder a los casos de ayuda a través de Google Cloud Support Center (GCSC). Una vez habilitada la asistencia Premium, solo se podrá acceder a los casos migrados desde la página de asistencia de Google Cloud Console.

Funciones de IAM de Support

Con IAM, cada usuario del plan de asistencia Premium debe tener los permisos adecuados para ver y administrar casos y usuarios. Los usuarios obtienen estos permisos cuando los agregas a una función de IAM, a un grupo que pertenece a una función o a un dominio asignado a una función.

La siguiente tabla detalla las funciones de IAM disponibles para los usuarios de Cloud Support, los permisos asociados y los recursos más bajos a los que se pueden aplicar los permisos.

Función Título Descripción Permisos Recurso más bajo
roles/cloudsupport.admin Administrador de cuentas de asistencia Permite la administración de una cuenta de asistencia sin dar acceso a los casos de asistencia. Consulta la documentación de la asistencia de Cloud para obtener más información.
  • cloudsupport.accounts.*
  • cloudsupport.operations.*
  • cloudsupport.properties.*
Organización
roles/cloudsupport.techSupportEditor Editor de asistencia técnica Acceso completo de lectura y escritura a los casos de asistencia técnica (solo para Customer Care Premium).
  • cloudsupport.properties.*
  • cloudsupport.techCases.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudsupport.techSupportViewer Visualizador de asistencia técnica Acceso de solo lectura a los casos de asistencia técnica (solo para Customer Care Premium).
  • cloudsupport.properties.*
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudsupport.viewer Visualizador de cuentas de asistencia Acceso de solo lectura a los detalles de una cuenta de asistencia. Esta opción no permite ver casos.
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.properties.*
Organización

Para agregar un usuario, grupo o dominio a una función, consulta cómo agregar usuarios a las funciones de IAM de Cloud Support.

Administrador de cuentas de asistencia

Los usuarios con la función de administrador de cuentas de asistencia (roles/cloudsupport.admin) pueden administrar el plan de asistencia adquirido y la forma en que se factura.

Esta función solo se puede otorgar en el nivel de organización.

Lector de cuentas de asistencia

Los usuarios con la función de visualizador de cuentas de asistencia (roles/cloudsupport.viewer) pueden ver la información de la cuenta de asistencia. No pueden ver ni editar los casos de ayuda; para ello, se les debe asignar una función de editor o visualizador de asistencia técnica.

Esta función solo se puede otorgar en el nivel de organización.

Editor de asistencia técnica

Los usuarios con la función de editor de asistencia técnica (roles/cloudsupport.techSupportEditor) pueden ver, editar y aumentar la prioridad de los casos de ayuda.

Esta función se puede otorgar en los niveles de organización, carpeta y proyecto. Por ejemplo, puedes otorgar la función de editor de asistencia técnica a un grupo de Google en un proyecto específico, lo que permite a los miembros ver, crear, actualizar y cerrar casos de ayuda, además de aumentar su prioridad, para ese proyecto.

También puedes otorgar esta función en varios niveles de la jerarquía de recursos a fin de establecer permisos diferentes para los recursos anidados. Por ejemplo, si tienes la función de visualizador de asistencia técnica en la organización y de editor de asistencia técnica en un proyecto, puedes ver casos de ayuda en toda la organización, pero solo podrás editar casos del proyecto.

Visualizador de asistencia técnica

Los usuarios con la función de visualizador de asistencia técnica (roles/cloudsupport.techSupportViewer) pueden ver los casos de ayuda y la información de la cuenta.

Esta función se puede establecer en los niveles de organización, proyecto y carpeta. Por ejemplo, puedes otorgar la función de visualizador de asistencia técnica a un grupo de Google en una carpeta específica en un proyecto, lo que permite que los miembros de ese grupo vean los casos de ayuda en la carpeta.

Agrega usuarios a funciones de IAM de Support

Los usuarios, los Grupos de Google o los dominios deben tener el permiso resourcemanager.organizations.setIamPolicy en la organización para agregar usuarios a las funciones de asistencia de IAM. Puedes otorgarle a un usuario o grupo ese permiso mediante la función de administrador de la organización (roles/resourcemanager.organizationAdmin).

Por ejemplo, si deseas que los usuarios que tengan la función de administradores de cuentas de asistencia para que también puedan agregar y quitar usuarios y grupos de las otras funciones de IAM de Support, el administrador de la organización puede hacer lo siguiente:

  • Crear un grupo de Google para los usuarios (AdministradoresDeAsistencia)
  • Asignar la función de administrador de la organización al grupo de Google (AdministradoresDeAsistencia)
  • Asignar la función de administrador de cuentas de asistencia al grupo de Google (AdministradoresDeAsistencia)

En el ejemplo, los miembros del grupo de Google (MyCompanySupportAdmins) pueden asignar usuarios y grupos a las funciones de IAM en la organización porque se les otorgó el permiso setIamPolicy cuando se les asignó la función de administrador de la organización. A medida que los nuevos administradores de cuentas de asistencia se unan a la organización, agrégalos al grupo de Google (AdministradoresDeAsistencia) para otorgarles las funciones deseadas.

Para agregar un usuario, grupo o dominio a una función de asistencia de IAM, sigue estos pasos.

  1. Accede a la página IAM y administración de Google Cloud Console como administrador de la organización.
    Ir a la página IAM y administración de Cloud Console

  2. Selecciona Asistencia en el menú lateral.

  3. Selecciona la función que deseas asignar:

    • Administrador de cuentas de asistencia
    • Visualizador de cuentas de asistencia
    • Editor de asistencia técnica
    • Visualizador de asistencia técnica
  4. Especifica los usuarios, grupos o dominios que deseas agregar.

Qué sigue

Obtén información sobre cómo administrar los casos de ayuda en Google Cloud Console.