Contrôle des accès avec IAM

Cette page explique comment configurer le contrôle des accès pour les services d'assistance de Cloud Customer Care.

Avant de commencer

Qu'est-ce que Cloud Identity and Access Management (IAM) ?

Google Cloud propose IAM, qui vous permet d'attribuer un accès précis à des ressources spécifiques de Google Cloud et empêche tout accès non souhaité à d'autres ressources. IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.

Grâce à IAM, vous pouvez contrôler qui (identité) bénéficie de quel type d'accès (rôles) à quelles ressources en définissant des stratégies IAM. Les stratégies IAM permettent d'attribuer un ou plusieurs rôles spécifiques à un compte principal afin de lui accorder certaines autorisations. Par exemple, pour une ressource spécifique telle qu'un projet, vous pouvez attribuer le rôle "Lecteur de l'assistance technique" (roles/cloudsupport.techSupportViewer) à un compte Google. Celui-ci peut ainsi consulter les demandes d'assistance du projet, mais ne peut pas les gérer.

Points à prendre en compte concernant l'accès

Si vous êtes passé de l'assistance Silver, Gold ou Platinum, gardez à l'esprit que les demandes d'assistance ne sont plus accessibles via le Centre d'assistance Google Cloud (GCSC). Après avoir activé l'assistance Standard, Advanced ou Premium, vous pouvez gérer l'accès aux demandes migrées en attribuant des rôles IAM aux utilisateurs, aux groupes ou aux domaines.

Demandes au niveau de l'organisation

Les demandes Customer Care peuvent être créées au sein d'organisations ou de projets.

Pour gérer les demandes au niveau de l'organisation, l'utilisateur doit disposer de l'autorisation resourcemanager.organizations.get au niveau de l'organisation. Dans le cas contraire, il ne pourra pas sélectionner l'organisation dans la console Google Cloud.

Le moyen le plus simple d'accorder cette autorisation consiste à attribuer à l'utilisateur le rôle roles/resourcemanager.organizationViewer sur l'organisation. Ce rôle n'accorde que l'autorisation resourcemanager.organizations.get.

REMARQUE: Accorder à un utilisateur le rôle Organization Viewer n'équivaut pas à lui accorder le rôle Viewer au niveau de l'organisation. C'est un point commun de confusion. Le rôle Organization Viewer ne donne pas à l'utilisateur l'accès permettant d'afficher les ressources de l'organisation. Il lui permet seulement de voir que l'organisation existe.

En outre, l'utilisateur doit disposer des autorisations IAM appropriées concernant l'assistance technique, qui sont décrites dans les sections suivantes.

Rôles IAM du Customer Care

Avec IAM, chaque utilisateur de l'assistance doit disposer des autorisations appropriées pour afficher et gérer les demandes et les utilisateurs. Les utilisateurs obtiennent ces autorisations lorsque vous les ajoutez à un rôle IAM, à un groupe appartenant à un rôle ou à un domaine attribué à un rôle.

Le tableau suivant décrit les rôles IAM disponibles pour les utilisateurs Cloud Customer Care, répertorie les autorisations associées aux ressources et indique le niveau de ressource le plus bas auquel vous pouvez appliquer ces autorisations.

Role Permissions

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

Pour ajouter un utilisateur, un groupe ou un domaine à un rôle, consultez la page Attribuer des rôles IAM.

Administrateur de compte d'assistance

Les utilisateurs disposant du rôle Administrateur de compte d'assistance (roles/cloudsupport.admin) peuvent gérer le service d'assistance acheté et la façon dont il est facturé.

L'administrateur de compte d'assistance est responsable de l'administration des stratégies du compte d'assistance de l'organisation, y compris de :

  • l'attribution de nouveaux utilisateurs de l'assistance ;
  • la modification des rôles pour les utilisateurs de l'assistance existants ;
  • la gestion de la facturation de l'assistance.

Il ne peut être accordé qu'au niveau de l'organisation.

Lecteur de compte de support

Le rôle Lecteur de compte de support (roles/cloudsupport.viewer) peut afficher les informations de compte du service. Ils ne peuvent pas consulter ni modifier les demandes d'assistance. Pour cela, ils doivent obtenir le rôle "Lecteur de l'assistance technique" ou "Éditeur de l'assistance technique".

Il ne peut être accordé qu'au niveau de l'organisation.

Éditeur de l'assistance technique

Le rôle "Éditeur de l'assistance technique" (roles/cloudsupport.techSupportEditor) permet de gérer les demandes d'assistance, y compris leur affichage, leur création, leur mise à jour, leur transmission et leur fermeture.

Vous pouvez attribuer ce rôle au niveau de l'organisation, du dossier et du projet. Par exemple, si vous attribuez le rôle "Éditeur de l'assistance technique" à un groupe Google au niveau d'un projet spécifique, tous les membres du groupe peuvent gérer les demandes d'assistance de ce projet.

Vous pouvez également accorder ce rôle à plusieurs niveaux de la hiérarchie des ressources afin de définir des autorisations différentes pour les ressources imbriquées. Par exemple, si vous détenez le rôle "Lecteur de l'assistance technique" au niveau de l'organisation et le rôle "Éditeur de l'assistance technique" au niveau du projet, vous pouvez consulter les demandes d'assistance dans l'ensemble de l'organisation, mais ne pouvez modifier que les demandes associées au projet en question.

Lecteur de l'assistance technique

Le rôle "Lecteur de l'assistance technique" (roles/cloudsupport.techSupportViewer) permet d'afficher les demandes d'assistance et les informations concernant le compte d'assistance.

Il peut être défini au niveau de l'organisation, du projet et du dossier. Par exemple, vous pouvez attribuer le rôle "Lecteur de l'assistance technique" à un groupe Google au niveau d'un dossier spécifique d'un projet, et ainsi permettre aux membres du groupe de consulter les demandes d'assistance du dossier.

Attribuer des rôles IAM

Les utilisateurs, groupes Google et domaines doivent disposer de l'autorisation resourcemanager.organizations.setIamPolicy au niveau de l'organisation pour pouvoir ajouter des utilisateurs aux rôles Customer Care IAM. Vous pouvez accorder cette autorisation à un utilisateur ou à un groupe en lui attribuant le rôle "Administrateur de l'organisation" (roles/resourcemanager.organizationAdmin).

Par exemple, si votre organisation souhaite que les utilisateurs détenant le rôle "Administrateur de compte de support" puissent également ajouter des utilisateurs et des groupes aux autres rôles Customer Care IAM, ainsi que supprimer des utilisateurs et groupes de ces rôles, un administrateur de l'organisation peut effectuer la démarche suivante :

  • Créer un groupe Google pour les utilisateurs (MyCompanySupportAdmins)
  • Attribuer le rôle "Administrateur de l'organisation" au groupe Google (MyCompanySupportAdmins)
  • Attribuer le rôle "Administrateur de compte de support" au groupe Google (MyCompanySupportAdmins)

Dans cet exemple, les membres du groupe Google (MyCompanySupportAdmins) peuvent ajouter des utilisateurs et des groupes aux rôles IAM de l'organisation, car le groupe a obtenu l'autorisation setIamPolicy avec le rôle "Administrateur de l'organisation". Lorsque de nouveaux administrateurs de compte de support rejoignent l'organisation, ajoutez-les au groupe Google (MyCompanySupportAdmins) pour leur accorder les rôles souhaités.

Pour attribuer un rôle IAM à un utilisateur, un groupe ou un domaine :

  1. Dans la console Google Cloud, accédez à la page IAM.
    Accéder à la page IAM

  2. Dans le menu supérieur, cliquez sur Ajouter.

  3. Spécifiez un utilisateur, un groupe Google ou un domaine.

  4. Sélectionnez un rôle d'assistance. Pour respecter les bonnes pratiques en matière de sécurité, nous vous recommandons vivement d'accorder le moins de privilèges possible aux comptes principaux.

  5. Cliquez sur Enregistrer.

Étapes suivantes

Découvrez comment gérer les demandes d'assistance dans la console Google Cloud.