Contrôle des accès avec IAM

Cette page explique comment configurer le contrôle des accès pour les offres d'assistance du Cloud Customer Care.

Avant de commencer

Qu'est-ce que Cloud Identity and Access Management (IAM) ?

Google Cloud propose IAM, qui vous permet d'attribuer un accès précis à des ressources spécifiques de Google Cloud et empêche tout accès non souhaité à d'autres ressources. IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.

Grâce à IAM, vous pouvez contrôler qui (identité) bénéficie de quel type d'accès (rôles) à quelles ressources en définissant des stratégies IAM. Les stratégies IAM permettent d'attribuer un ou plusieurs rôles spécifiques à un compte principal afin de lui accorder certaines autorisations. Par exemple, pour une ressource spécifique telle qu'un projet, vous pouvez attribuer le rôle "Lecteur de l'assistance technique" (roles/cloudsupport.techSupportViewer) à un compte Google. Celui-ci peut ainsi consulter les demandes d'assistance du projet, mais ne peut pas les gérer.

Points à prendre en compte concernant l'accès

Si vous êtes passé de l'assistance Silver, Gold ou Platinum, gardez à l'esprit que les demandes d'assistance ne sont plus accessibles via le Centre d'assistance Google Cloud (GCSC). Après avoir activé l'assistance Standard, Advanced ou Premium, vous pouvez gérer l'accès aux demandes migrées en attribuant des rôles IAM aux utilisateurs, aux groupes ou aux domaines.

La formule d'assistance Role-based utilise un modèle d'accès basé sur les rôles. Pour savoir comment accorder l'accès aux utilisateurs de Role-based, consultez la page Formules d'assistance Role-Based et Enterprise.

Rôles IAM du Customer Care

Avec IAM, chaque utilisateur de l'assistance doit disposer des autorisations appropriées pour afficher et gérer les demandes et les utilisateurs. Les utilisateurs obtiennent ces autorisations lorsque vous les ajoutez à un rôle IAM, à un groupe appartenant à un rôle ou à un domaine attribué à un rôle.

Le tableau suivant décrit les rôles IAM disponibles pour les utilisateurs Cloud Customer Care, répertorie les autorisations associées aux ressources et indique le niveau de ressource le plus bas auquel vous pouvez appliquer ces autorisations.

Rôle Autorisations

Administrateur de compte d'assistance
(roles/cloudsupport.admin)

Permet de gérer un compte d'assistance sans avoir accès aux demandes d'assistance. Pour plus d'informations, consultez la documentation sur l'assistance Cloud.

Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :

  • Organisation
  • cloudsupport.accounts.*
  • cloudsupport.operations.*
  • cloudsupport.properties.*
  • resourcemanager.organizations.get

Éditeur de l'assistance technique
(roles/cloudsupport.techSupportEditor)

Accès complet en lecture/écriture aux demandes d'assistance technique (applicable au service client GCP et à l'assistance Maps).

  • cloudsupport.properties.*
  • cloudsupport.techCases.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Lecteur de l'assistance technique
(roles/cloudsupport.techSupportViewer)

Accès en lecture seule aux demandes d'assistance technique (applicable au service client GCP et à l'assistance Maps).

  • cloudsupport.properties.*
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Lecteur de compte d'assistance
(roles/cloudsupport.viewer)

Accès en lecture seule aux détails d'un compte d'assistance. Ne permet pas de consulter les demandes d'assistance.

Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :

  • Organisation
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.properties.*

Pour ajouter un utilisateur, un groupe ou un domaine à un rôle, consultez la page Attribuer des rôles IAM.

Administrateur de compte de support

Les utilisateurs détenant le rôle "Administrateur de compte de support" (roles/cloudsupport.admin) peuvent gérer l'offre d'assistance souscrite et le type de facturation associé.

L'administrateur de compte d'assistance est responsable de l'administration des stratégies du compte d'assistance de l'organisation, y compris de :

  • l'attribution de nouveaux utilisateurs de l'assistance ;
  • la modification des rôles pour les utilisateurs de l'assistance existants ;
  • la gestion de la facturation de l'assistance.

Il ne peut être accordé qu'au niveau de l'organisation.

Lecteur de compte de support

Les utilisateurs détenant le rôle "Lecteur de compte de support" (roles/cloudsupport.viewer) peuvent afficher les informations concernant le compte pour l'offre. Ils ne peuvent pas consulter ni modifier les demandes d'assistance. Pour cela, ils doivent obtenir le rôle "Lecteur de l'assistance technique" ou "Éditeur de l'assistance technique".

Il ne peut être accordé qu'au niveau de l'organisation.

Éditeur de l'assistance technique

Le rôle "Éditeur de l'assistance technique" (roles/cloudsupport.techSupportEditor) permet de gérer les demandes d'assistance, y compris leur affichage, leur création, leur mise à jour, leur transmission et leur fermeture.

Vous pouvez attribuer ce rôle au niveau de l'organisation, du dossier et du projet. Par exemple, si vous attribuez le rôle "Éditeur de l'assistance technique" à un groupe Google au niveau d'un projet spécifique, tous les membres du groupe peuvent gérer les demandes d'assistance de ce projet.

Vous pouvez également accorder ce rôle à plusieurs niveaux de la hiérarchie des ressources afin de définir des autorisations différentes pour les ressources imbriquées. Par exemple, si vous détenez le rôle "Lecteur de l'assistance technique" au niveau de l'organisation et le rôle "Éditeur de l'assistance technique" au niveau du projet, vous pouvez consulter les demandes d'assistance dans l'ensemble de l'organisation, mais ne pouvez modifier que les demandes associées au projet en question.

Lecteur de l'assistance technique

Le rôle "Lecteur de l'assistance technique" (roles/cloudsupport.techSupportViewer) permet d'afficher les demandes d'assistance et les informations concernant le compte d'assistance.

Il peut être défini au niveau de l'organisation, du projet et du dossier. Par exemple, vous pouvez attribuer le rôle "Lecteur de l'assistance technique" à un groupe Google au niveau d'un dossier spécifique d'un projet, et ainsi permettre aux membres du groupe de consulter les demandes d'assistance du dossier.

Attribuer des rôles IAM

Les utilisateurs, groupes Google et domaines doivent disposer de l'autorisation resourcemanager.organizations.setIamPolicy au niveau de l'organisation pour pouvoir ajouter des utilisateurs aux rôles Customer Care IAM. Vous pouvez accorder cette autorisation à un utilisateur ou à un groupe en lui attribuant le rôle "Administrateur de l'organisation" (roles/resourcemanager.organizationAdmin).

Par exemple, si votre organisation souhaite que les utilisateurs détenant le rôle "Administrateur de compte de support" puissent également ajouter des utilisateurs et des groupes aux autres rôles Customer Care IAM, ainsi que supprimer des utilisateurs et groupes de ces rôles, un administrateur de l'organisation peut effectuer la démarche suivante :

  • Créer un groupe Google pour les utilisateurs (MyCompanySupportAdmins)
  • Attribuer le rôle "Administrateur de l'organisation" au groupe Google (MyCompanySupportAdmins)
  • Attribuer le rôle "Administrateur de compte de support" au groupe Google (MyCompanySupportAdmins)

Dans cet exemple, les membres du groupe Google (MyCompanySupportAdmins) peuvent ajouter des utilisateurs et des groupes aux rôles IAM de l'organisation, car le groupe a obtenu l'autorisation setIamPolicy avec le rôle "Administrateur de l'organisation". Lorsque de nouveaux administrateurs de compte de support rejoignent l'organisation, ajoutez-les au groupe Google (MyCompanySupportAdmins) pour leur accorder les rôles souhaités.

Pour attribuer un rôle IAM à un utilisateur, un groupe ou un domaine :

  1. Dans Google Cloud Console, accédez à la page IAM.
    Accéder à la page IAM

  2. Dans le menu supérieur, cliquez sur Ajouter.

  3. Spécifiez un utilisateur, un groupe Google ou un domaine.

  4. Sélectionnez un rôle d'assistance. Pour respecter les bonnes pratiques en matière de sécurité, nous vous recommandons vivement d'accorder le moins de privilèges possible aux comptes principaux.

  5. Cliquez sur Enregistrer.

Étapes suivantes

Découvrez comment gérer les demandes d'assistance dans Google Cloud Console.