בקרת גישה באמצעות IAM

כאן מוסבר איך מגדירים את בקרת הגישה בשירותי התמיכה של Cloud Customer Care.

לפני שמתחילים

ודאו שיש לכם את השירות תמיכת Standard, תמיכת Enhanced או תמיכת Premium.
התפקיד שלכם בארגון Google Cloud צריך להיות "אדמין ארגוני" (roles/resourcemanager.organizationAdmin).

הסבר על ניהול הזהויות והרשאות הגישה (IAM)

‫Google Cloud כולל את הממשק לניהול זהויות והרשאות גישה (IAM), שבאמצעותו תוכלו לתת גישה פרטנית יותר למשאבים ספציפיים ב-Google Cloud , ולמנוע גישה לא רצויה למשאבים אחרים. בעזרת IAM תוכלו לשמור על עקרון האבטחה של הרשאות מינימליות, וכך לתת למי שצריך רק את רמת הגישה הדרושה למשאבים השונים.

באמצעות כללי המדיניות ב-IAM תוכלו לקבוע למי (זהות) יש הרשאת גישה (תפקיד) למשאב מסוים. או במילים אחרות: כללי המדיניות שתקבעו ב-IAM נותנים לחשבונות המשתמשים תפקידים ספציפיים, שיש להם הרשאות ספציפיות. לדוגמה, תוכלו לתת לחשבון Google מסוים את התפקיד 'צפייה בבקשות לתמיכה טכנית' (roles/cloudsupport.techSupportViewer) בפרויקט ספציפי. כך, המשתמש באותו חשבון יוכל לראות את בקשות התמיכה בפרויקט אבל לא לנהל אותן.

שיקולים במתן הרשאות גישה

אם עברתם מתמיכה ברמות Silver,‏ Gold או Platinum: לא תהיה לכם יותר גישה לבקשות תמיכה דרך Support Center (GCSC) ב- Google Cloud. אחרי שתפעילו את תמיכת Standard,‏ Enhanced או Premium תוכלו לתת למשתמשים, לקבוצות ולדומיינים תפקידים ב-IAM כדי לנהל את הרשאות הגישה לבקשות תמיכה ברמת התמיכה שאליה עברתם.

פניות ברמת הארגון

אפשר ליצור פניות לשירות הלקוחות ברמת הארגון או הפרויקט.

כדי לנהל את הפניות ברמת הארגון, המשתמש צריך את ההרשאה resourcemanager.organizations.get ברמת הארגון. אחרת, הוא לא יוכל לבחור את הארגון במסוף Google Cloud .

הדרך הכי פשוטה לתת את ההרשאה הזו היא לתת למשתמש את התפקיד roles/resourcemanager.organizationViewer ברמת הארגון. התפקיד הזה נותן רק את ההרשאה resourcemanager.organizations.get.

הערה: רבים מתבלבלים, אבל כשנותנים את התפקיד Organization Viewer למשתמש זה לא כמו התפקיד Viewer ברמת הארגון. התפקיד Organization Viewer לא מאפשר למשתמש לראות את המשאבים בארגון, אלא רק מאפשר לו לראות שהארגון קיים.

בנוסף, למשתמש צריכות להיות הרשאות ב-IAM שרלוונטיות לתמיכה טכנית, כמו שמוסבר בחלקים הבאים.

תפקידים ב-IAM וגישה לשירות הלקוחות

כדי שמשתמשי התמיכה יוכלו לראות ולנהל את בקשות התמיכה והמשתמשים, הם צריכים את ההרשאות המתאימות ב-IAM. הם יקבלו את ההרשאות האלו אם תוסיפו אותם לתפקיד ספציפי ב-IAM, לקבוצה ששייכת לתפקיד כזה או לדומיין שמוקצה לתפקיד כזה.

בטבלה הבאה מפורטים התפקידים הזמינים ב-IAM למשתמשי Cloud Customer Care, ההרשאות שמשויכות לכל משאב והרמה הנמוכה ביותר בהיררכיית המשאבים שבה אפשר לתת את התפקיד.

Role Permissions

Role	Permissions
Support Account Administrator (`roles/cloudsupport.admin`) Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role: Organization	`cloudsupport.accounts.*` `cloudsupport.accounts.create` `cloudsupport.accounts.delete` `cloudsupport.accounts.get` `cloudsupport.accounts.getIamPolicy` `cloudsupport.accounts.getUserRoles` `cloudsupport.accounts.list` `cloudsupport.accounts.purchase` `cloudsupport.accounts.setIamPolicy` `cloudsupport.accounts.update` `cloudsupport.accounts.updateUserRoles` `cloudsupport.operations.get` `cloudsupport.properties.get` `resourcemanager.organizations.get`
Tech Support Editor (`roles/cloudsupport.techSupportEditor`) Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.	`billing.resourceAssociations.list` `cloudasset.assets.searchAllResources` `cloudsupport.properties.get` `cloudsupport.techCases.*` `cloudsupport.techCases.create` `cloudsupport.techCases.escalate` `cloudsupport.techCases.get` `cloudsupport.techCases.list` `cloudsupport.techCases.update` `resourcemanager.projects.get` `resourcemanager.projects.list`
Tech Support Viewer (`roles/cloudsupport.techSupportViewer`) Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.	`cloudsupport.properties.get` `cloudsupport.techCases.get` `cloudsupport.techCases.list` `resourcemanager.projects.get` `resourcemanager.projects.list`
Support Account Viewer (`roles/cloudsupport.viewer`) Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role: Organization	`cloudsupport.accounts.get` `cloudsupport.accounts.getUserRoles` `cloudsupport.accounts.list` `cloudsupport.properties.get`

Support Account Administrator

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

Organization

cloudsupport.accounts.*

cloudsupport.accounts.create
cloudsupport.accounts.delete
cloudsupport.accounts.get
cloudsupport.accounts.getIamPolicy
cloudsupport.accounts.getUserRoles
cloudsupport.accounts.list
cloudsupport.accounts.purchase
cloudsupport.accounts.setIamPolicy
cloudsupport.accounts.update
cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

Tech Support Editor

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

billing.resourceAssociations.list

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

cloudsupport.techCases.create
cloudsupport.techCases.escalate
cloudsupport.techCases.get
cloudsupport.techCases.list
cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

Tech Support Viewer

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

Support Account Viewer

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

במאמר הענקת תפקידי IAM מוסבר איך מוסיפים לתפקידים משתמשים, קבוצות או דומיינים.

אדמין של חשבון תמיכה

משתמשים בתפקיד 'אדמין של חשבון תמיכה' (roles/cloudsupport.admin) יכולים לנהל את שירותי התמיכה שנרכשו ואת החיוב הקשור אליהם.

האדמין של חשבון התמיכה אחראי על ניהול המדיניות בחשבון התמיכה של הארגון, כולל:

מתן תפקידים חדשים למשתמשי תמיכה
שינוי התפקידים הקיימים של משתמשי התמיכה
ניהול החיוב הקשור לתמיכה

אפשר לתת את התפקיד הזה רק ברמת הארגון.

צפייה בחשבון תמיכה

בתפקיד 'צפייה בחשבון תמיכה' (roles/cloudsupport.viewer) אפשר לראות את פרטי החשבון בשירות התמיכה. משתמשים בתפקיד הזה לא יכולים לראות ולערוך את בקשות התמיכה. כדי שיוכלו לעשות זאת, הם צריכים את התפקידים 'צפייה בבקשות לתמיכה טכנית' או 'עריכת בקשות לתמיכה טכנית', בהתאמה.

אפשר לתת את התפקיד הזה רק ברמת הארגון.

עריכת בקשות לתמיכה טכנית

בתפקיד 'עריכת בקשות לתמיכה טכנית' (roles/cloudsupport.techSupportEditor) אפשר לנהל את בקשות התמיכה. משתמשים עם התפקיד הזה יוכלו לראות, ליצור ולעדכן את הבקשות, להעביר בקשות לטיפול ברמה גבוהה יותר ולסגור בקשות.

אפשר לתת את התפקיד הזה ברמת הארגון, התיקייה והפרויקט. לדוגמה, אם נותנים את התפקיד 'עריכת בקשות לתמיכה טכנית' לקבוצת Google בפרויקט מסוים, כל חברי הקבוצה יוכלו לנהל את בקשות התמיכה באותו פרויקט.

אפשר גם לתת את התפקיד הזה לרמות שונות בהיררכיית המשאבים, כדי להקצות הרשאות שונות למשאבים שנמצאים מתחת למשאבים אחרים בהיררכיה. לדוגמה, אם אתם בתפקיד 'צפייה בבקשות לתמיכה טכנית' ברמת הארגון, ובתפקיד 'עריכת בקשות לתמיכה טכנית' בפרויקט מסוים, אתם יכולים לראות את בקשות התמיכה של כל הארגון אבל לערוך רק את בקשות התמיכה של אותו פרויקט.

צפייה בבקשות לתמיכה טכנית

בתפקיד 'צפייה בבקשות לתמיכה טכנית' (roles/cloudsupport.techSupportViewer) אפשר לראות את בקשות התמיכה ואת פרטי החשבון.

אפשר לתת את התפקיד הזה ברמת הארגון, הפרויקט והתיקייה. לדוגמה, אתם יכולים לתת את התפקיד 'צפייה בבקשות לתמיכה טכנית' לקבוצת Google בתיקייה ספציפית בתוך פרויקט, כך שחברי הקבוצה יוכלו לראות את בקשות התמיכה באותה התיקייה.

מתן תפקידים ב-IAM

כדי שמשתמשים יוכלו להוסיף ב-IAM משתמשים אחרים לתפקידים עם גישה לשירות הלקוחות, הם צריכים את ההרשאה resourcemanager.organizations.setIamPolicy ברמת הארגון. כדי לתת להם אותה, אפשר לתת למשתמש, לקבוצה או לדומיין את התפקיד 'אדמין ארגוני' (roles/resourcemanager.organizationAdmin).

לדוגמה, אם רוצים שמשתמשים בארגון עם התפקיד 'אדמין של חשבון תמיכה' יוכלו גם להוסיף ב-IAM משתמשים וקבוצות לתפקידים עם גישה לשירות הלקוחות (ולהסיר אותם מתפקידים כאלה), אפשר לתת להם את התפקיד 'אדמין ארגוני' באחת מהדרכים הבאות:

ליצור קבוצת Google למשתמשים (MyCompanySupportAdmins).
להקצות לקבוצת Google‏ (MyCompanySupportAdmins) את התפקיד 'אדמין ארגוני'.
להקצות לקבוצת Google‏ (MyCompanySupportAdmins) את התפקיד 'אדמין של חשבון תמיכה'.

בדוגמה זו, החברים בקבוצת Google‏ (MyCompanySupportAdmins) יכולים לתת למשתמשים ולקבוצות בארגון תפקידים ב-IAM, כי לקבוצה ניתנה ההרשאה setIamPolicy כשהוקצה לה התפקיד 'אדמין ארגוני'. כשיצטרפו לחשבון התמיכה של הארגון אדמינים חדשים, תוכלו להוסיף אותם לאותה קבוצת Google‏ (MyCompanySupportAdmins) כדי שהם יקבלו את התפקידים הרצויים.

כך נותנים ב-IAM תפקידים למשתמשים, לקבוצות או לדומיינים:

נכנסים לדף IAM במסוף Google Cloud .
כניסה לדף IAM
לוחצים על Add בתפריט העליון.
מציינים משתמש, קבוצת Google או דומיין.
בוחרים תפקיד תמיכה בקטע Support. מומלץ לתת לחשבון המשתמש רק את הרשאות הגישה שהוא באמת צריך, כדי לשמור על עקרון האבטחה של הרשאות מינימליות.
לוחצים על Save.

המאמרים הבאים

איך מנהלים את בקשות התמיכה במסוףGoogle Cloud ?