Contrôle des accès

Cette page explique comment configurer le contrôle des accès pour les offres d'assistance du Cloud Customer Care.

Avant de commencer

Qu'est-ce que la gestion de l'authentification et des accès (IAM) ?

Google Cloud propose IAM, qui vous permet d'attribuer un accès précis à des ressources spécifiques de Google Cloud et empêche tout accès non souhaité à d'autres ressources. IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.

Grâce à IAM, vous pouvez contrôler qui (identité) bénéficie de quel type d'accès (rôles) à quelles ressources en définissant des stratégies IAM. Ces stratégies permettent d'attribuer un ou plusieurs rôles spécifiques à un compte principal, et ainsi d'accorder certaines autorisations à ce compte. Par exemple, pour une ressource spécifique telle qu'un projet, vous pouvez attribuer le rôle "Lecteur de l'assistance technique" (roles/cloudsupport.techSupportViewer) à un compte Google. Celui-ci peut ainsi consulter les demandes d'assistance du projet, mais ne peut pas les gérer.

Points à prendre en compte concernant l'accès

Si vous avez effectué la transition de l'assistance Silver, Gold ou Platinum, gardez à l'esprit que les demandes d'assistance ne sont plus accessibles via le centre d'assistance Google Cloud (GCSC). Après avoir activé l'assistance Standard, Advanced ou Premium, vous pouvez gérer l'accès aux demandes transférées en attribuant des rôles IAM aux utilisateurs, aux groupes ou aux domaines.

La formule d'assistance Role-based utilise un modèle d'accès basé sur les rôles. Pour savoir comment accorder un accès pour les utilisateurs basés sur des rôles, consultez la page Formule d'assistance Role-based et Enterprise.

Rôles IAM du service client

Avec IAM, chaque utilisateur de l'assistance doit disposer des autorisations appropriées pour afficher et gérer les demandes et les utilisateurs. Les utilisateurs obtiennent ces autorisations lorsque vous les ajoutez à un rôle IAM, à un groupe appartenant à un rôle ou à un domaine attribué à un rôle.

Le tableau suivant répertorie les rôles IAM disponibles pour les utilisateurs de Cloud Customer Care, les autorisations associées aux ressources et le niveau de ressource le plus bas auquel vous pouvez appliquer les autorisations.

Rôle Autorisations

Administrateur de compte d'assistance
(roles/cloudsupport.admin)

Permet de gérer un compte d'assistance sans avoir accès aux demandes d'assistance. Pour plus d'informations, consultez la documentation sur l'assistance Cloud.

Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :

  • Organisation
  • cloudsupport.accounts.*
  • cloudsupport.operations.*
  • cloudsupport.properties.*
  • resourcemanager.organizations.get

Éditeur de l'assistance technique
(roles/cloudsupport.techSupportEditor)

Accès complet en lecture/écriture aux demandes d'assistance technique (applicable au service client GCP et à l'assistance Maps).

  • cloudsupport.properties.*
  • cloudsupport.techCases.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Lecteur de l'assistance technique
(roles/cloudsupport.techSupportViewer)

Accès en lecture seule aux demandes d'assistance technique (applicable au service client GCP et à l'assistance Maps).

  • cloudsupport.properties.*
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Lecteur de compte d'assistance
(roles/cloudsupport.viewer)

Accès en lecture seule aux détails d'un compte d'assistance. Ne permet pas de consulter les demandes d'assistance.

Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :

  • Organisation
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.properties.*

Pour ajouter un utilisateur, un groupe ou un domaine à un rôle, consultez la page Accorder des rôles IAM.

Administrateur de compte de support

Les utilisateurs dotés du rôle Administrateur de compte d'assistance (roles/cloudsupport.admin) peuvent gérer l'offre d'assistance achetée et le mode de facturation.

L'Administrateur de compte d'assistance est responsable de l'administration des règles du compte d'assistance de l'organisation, y compris:

  • l'attribution de nouveaux utilisateurs de l'assistance ;
  • la modification des rôles pour les utilisateurs de l'assistance existants ;
  • la gestion de la facturation de l'assistance.

Il ne peut être accordé qu'au niveau de l'organisation.

Lecteur de compte de support

Le rôle Lecteur de compte d'assistance (roles/cloudsupport.viewer) peut afficher les informations de compte relatives à l'offre. Ils ne peuvent pas consulter ni modifier les demandes d'assistance. Pour ce faire, vous devez lui attribuer le rôle Lecteur d'assistance technique ou Éditeur de l'assistance technique.

Il ne peut être accordé qu'au niveau de l'organisation.

Éditeur de l'assistance technique

Le rôle "Éditeur de l'assistance technique" (roles/cloudsupport.techSupportEditor) permet de gérer les demandes d'assistance, y compris leur affichage, leur création, leur mise à jour, leur transmission et leur fermeture.

Vous pouvez attribuer ce rôle au niveau de l'organisation, d'un dossier ou d'un projet. Par exemple, si vous attribuez le rôle "Éditeur de l'assistance technique" à un groupe Google sur un projet spécifique, tous les membres du groupe peuvent gérer les demandes d'assistance de ce projet.

Vous pouvez également accorder ce rôle à plusieurs niveaux de la hiérarchie des ressources afin de définir des autorisations différentes pour les ressources imbriquées. Par exemple, si vous détenez le rôle "Lecteur de l'assistance technique" au niveau de l'organisation et le rôle "Éditeur de l'assistance technique" au niveau du projet, vous pouvez consulter les demandes d'assistance dans l'ensemble de l'organisation, mais ne pouvez modifier que les demandes associées au projet en question.

Lecteur de l'assistance technique

Le rôle "Lecteur de l'assistance technique" (roles/cloudsupport.techSupportViewer) permet d'afficher les demandes d'assistance et les informations concernant le compte d'assistance.

Il peut être défini au niveau de l'organisation, du projet et du dossier. Par exemple, vous pouvez attribuer le rôle "Lecteur de l'assistance technique" à un groupe Google au niveau d'un dossier spécifique d'un projet, et ainsi permettre aux membres du groupe de consulter les demandes d'assistance du dossier.

Attribuer des rôles IAM

Les utilisateurs, groupes Google ou domaines doivent disposer de l'autorisation resourcemanager.organizations.setIamPolicy sur l'organisation pour ajouter des utilisateurs aux rôles IAM du service client. Vous pouvez accorder cette autorisation à un utilisateur ou à un groupe en lui attribuant le rôle "Administrateur de l'organisation" (roles/resourcemanager.organizationAdmin).

Par exemple, si votre organisation souhaite que les utilisateurs dotés du rôle "Administrateur de compte d'assistance" puissent également ajouter et supprimer des utilisateurs et des groupes des autres rôles IAM du service client, une organisation L'administrateur peut effectuer les opérations suivantes:

  • Créer un groupe Google pour les utilisateurs (MyCompanySupportAdmins)
  • Attribuer le rôle "Administrateur de l'organisation" au groupe Google (MyCompanySupportAdmins)
  • Attribuer le rôle "Administrateur de compte de support" au groupe Google (MyCompanySupportAdmins)

Dans cet exemple, les membres du groupe Google (MyCompanySupportAdmins) peuvent ajouter des utilisateurs et des groupes aux rôles IAM de l'organisation, car le groupe a obtenu l'autorisation setIamPolicy avec le rôle "Administrateur de l'organisation". Lorsque de nouveaux administrateurs de compte de support rejoignent l'organisation, ajoutez-les au groupe Google (MyCompanySupportAdmins) pour leur accorder les rôles souhaités.

Pour attribuer un rôle IAM à un utilisateur, un groupe ou un domaine:

  1. Dans Google Cloud Console, accédez à la page IAM.
    Accéder à la page "IAM"

  2. Dans le menu qui se trouve en haut, cliquez sur Ajouter.

  3. Spécifiez un utilisateur, un groupe Google ou un domaine.

  4. Sélectionnez un rôle d'assistance. Pour respecter les bonnes pratiques en matière de sécurité, nous vous recommandons vivement d'accorder le moins de privilèges possible au compte principal.

  5. Cliquez sur Enregistrer.

Étape suivante

Découvrez comment gérer les demandes d'assistance dans Google Cloud Console.