Contrôle des accès

L'assistance Premium vous permet de configurer le contrôle des accès à l'assistance Cloud pour les organisations utilisant Identity and Access Management (IAM).

Pour bénéficier de l'assistance Premium pour votre organisation, contactez votre conseiller commercial Google Cloud ou demandez à être accompagné d'un conseiller.

Prérequis

  • Vous devez avoir souscrit une formule d'assistance Premium.
  • Vous devez disposer d'une organisation Google Cloud et y avoir accès.
  • Vous devez détenir le rôle "Administrateur de l'organisation" (roles/resourcemanager.organizationAdmin) pour votre organisation Google Cloud.

Qu'est-ce qu'IAM

Google Cloud propose IAM, qui vous permet d'attribuer un accès précis à des ressources spécifiques de Google Cloud et empêche tout accès non souhaité à d'autres ressources. IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.

Grâce à IAM, vous pouvez contrôler qui (identité) bénéficie de quel type d'accès (rôles) à quelles ressources en définissant des stratégies IAM. Ces stratégies permettent d'attribuer un ou plusieurs rôles spécifiques à un membre du projet, et ainsi d'accorder à cette identité certaines autorisations. Par exemple, pour une ressource spécifique telle qu'un projet, vous pouvez attribuer le rôle "Lecteur de l'assistance technique" (roles/cloudsupport.techSupportViewer) à un compte Google. Celui-ci peut ainsi consulter les demandes d'assistance du projet, mais ne peut pas les gérer.

Points à prendre en compte concernant l'accès

Lorsque vous attribuez des rôles aux utilisateurs, tenez compte des points suivants concernant l'accès.

Accès au centre d'assistance

Pour les clients ayant migré d'une formule d'assistance Silver, Gold ou Platinum vers l'assistance Premium, les demandes d'assistance ne sont plus accessibles via le Centre d'assistance Google Cloud (GCSC). Une fois l'assistance Premium activée, les demandes migrées ne sont accessibles qu'à partir de la page Assistance de Google Cloud Console.

Rôles d'assistance IAM

Avec IAM, chaque utilisateur de la formule d'assistance Premium doit disposer des autorisations appropriées pour afficher et gérer les demandes et les utilisateurs. Les utilisateurs obtiennent ces autorisations lorsque vous les ajoutez à un rôle IAM, à un groupe appartenant à un rôle ou à un domaine attribué à un rôle.

Le tableau suivant décrit les rôles IAM disponibles pour les utilisateurs de l'assistance Cloud, répertorie les autorisations associées aux ressources et indique le niveau de ressource le plus bas auquel vous pouvez appliquer ces autorisations.

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudsupport.admin Administrateur de compte d'assistance Permet de gérer un compte d'assistance sans avoir accès aux demandes d'assistance. Pour plus d'informations, consultez la documentation sur l'assistance Cloud.
  • cloudsupport.accounts.*
  • cloudsupport.operations.*
  • cloudsupport.properties.*
Organisation
roles/cloudsupport.techSupportEditor Éditeur de l'assistance technique Accès complet en lecture/écriture aux demandes d'assistance technique (applicable au service client GCP et à l'assistance Maps).
  • cloudsupport.properties.*
  • cloudsupport.techCases.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudsupport.techSupportViewer Lecteur de l'assistance technique Accès en lecture seule aux demandes d'assistance technique (applicable au service client GCP et à l'assistance Maps).
  • cloudsupport.properties.*
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudsupport.viewer Lecteur de compte d'assistance Accès en lecture seule aux détails d'un compte d'assistance. Ne permet pas de consulter les demandes d'assistance.
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.properties.*
Organisation

Pour ajouter un utilisateur, un groupe ou un domaine à un rôle, consultez la section Ajouter des utilisateurs aux rôles d'assistance IAM.

Administrateur de compte de support

Les utilisateurs détenant le rôle "Administrateur de compte de support" (roles/cloudsupport.admin) peuvent gérer la formule d'assistance souscrite et le type de facturation associé.

Il ne peut être accordé qu'au niveau de l'organisation.

Lecteur de compte de support

Les utilisateurs détenant le rôle "Lecteur de compte de support" (roles/cloudsupport.viewer) peuvent afficher les informations concernant le compte d'assistance. Ils ne peuvent pas consulter ni modifier les demandes d'assistance. Pour cela, ils doivent obtenir le rôle "Lecteur de l'assistance technique" ou "Éditeur de l'assistance technique".

Il ne peut être accordé qu'au niveau de l'organisation.

Éditeur de l'assistance technique

Le rôle "Éditeur de l'assistance technique" (roles/cloudsupport.techSupportEditor) permet de gérer les demandes d'assistance, y compris leur affichage, leur création, leur mise à jour, leur transmission et leur fermeture.

Vous pouvez accorder ce rôle au niveau de l'organisation, du dossier et du projet. Par exemple, si vous attribuez le rôle "Éditeur de l'assistance technique" à un groupe Google sur un projet spécifique, tous les membres du groupe peuvent gérer les demandes d'assistance pour ce projet.

Vous pouvez également accorder ce rôle à plusieurs niveaux de la hiérarchie des ressources afin de définir des autorisations différentes pour les ressources imbriquées. Par exemple, si vous détenez le rôle "Lecteur de l'assistance technique" au niveau de l'organisation et le rôle "Éditeur de l'assistance technique" au niveau du projet, vous pouvez consulter les demandes d'assistance dans l'ensemble de l'organisation, mais ne pouvez modifier que les demandes associées au projet en question.

Lecteur de l'assistance technique

Le rôle "Lecteur de l'assistance technique" (roles/cloudsupport.techSupportViewer) permet d'afficher les demandes d'assistance et les informations concernant le compte d'assistance.

Il peut être défini au niveau de l'organisation, du projet et du dossier. Par exemple, vous pouvez attribuer le rôle "Lecteur de l'assistance technique" à un groupe Google au niveau d'un dossier spécifique d'un projet, et ainsi permettre aux membres du groupe de consulter les demandes d'assistance du dossier.

Ajouter des utilisateurs aux rôles d'assistance IAM

Les utilisateurs, groupes Google et domaines doivent disposer de l'autorisation resourcemanager.organizations.setIamPolicy au niveau de l'organisation pour pouvoir ajouter des utilisateurs aux rôles d'assistance IAM. Vous pouvez accorder cette autorisation à un utilisateur ou à un groupe en lui attribuant le rôle "Administrateur de l'organisation" (roles/resourcemanager.organizationAdmin).

Par exemple, si votre organisation souhaite que les utilisateurs détenant le rôle "Administrateur de compte de support" puissent également ajouter des utilisateurs et des groupes aux autres rôles d'assistance IAM, ainsi que supprimer des utilisateurs et groupes de ces rôles, un administrateur de l'organisation peut effectuer la démarche suivante :

  • Créer un groupe Google pour les utilisateurs (MyCompanySupportAdmins)
  • Attribuer le rôle "Administrateur de l'organisation" au groupe Google (MyCompanySupportAdmins)
  • Attribuer le rôle "Administrateur de compte de support" au groupe Google (MyCompanySupportAdmins)

Dans cet exemple, les membres du groupe Google (MyCompanySupportAdmins) peuvent ajouter des utilisateurs et des groupes aux rôles IAM de l'organisation, car le groupe a obtenu l'autorisation setIamPolicy avec le rôle "Administrateur de l'organisation". Lorsque de nouveaux administrateurs de compte de support rejoignent l'organisation, ajoutez-les au groupe Google (MyCompanySupportAdmins) pour leur accorder les rôles souhaités.

Pour ajouter un utilisateur, un groupe ou un domaine à un rôle d'assistance IAM, procédez comme suit :

  1. Connectez-vous à la page IAM et administration de Google Cloud Console en tant qu'administrateur de l'organisation.
    Accéder à la page "IAM et administration" de Cloud Console

  2. Sélectionnez Assistance dans le menu latéral.

  3. Sélectionnez le rôle à attribuer :

    • Administrateur de compte de support
    • Lecteur de compte de support
    • Éditeur de l'assistance technique
    • Lecteur de l'assistance technique
  4. Spécifiez les utilisateurs, groupes ou domaines à ajouter.

Étape suivante

Découvrez comment gérer les demandes d'assistance dans Google Cloud Console.