בקרת גישה באמצעות IAM

קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

כאן מוסבר איך מגדירים את בקרת הגישה בחבילות שירות התמיכה של Cloud Customer Care.

לפני שמתחילים

הסבר על ניהול הזהויות והרשאות הגישה (IAM)

‏Google Cloud כולל את הממשק לניהול הזהויות והרשאות הגישה (IAM), שבאמצעותו תוכלו לתת גישה פרטנית יותר למשאבים ספציפיים ב-Google Cloud ולמנוע גישה לא רצויה למשאבים אחרים. בעזרת IAM תוכלו לשמור על עקרון האבטחה של הרשאות מינימליות, וכך לתת רק למי שצריך את רמת הגישה שצריך למשאבים השונים.

באמצעות כללי המדיניות ב-IAM תוכלו לקבוע למי (זהות) יש הרשאת גישה (תפקיד) למשאב מסוים. או במילים אחרות: כללי המדיניות שתקבעו ב-IAM נותנים לחשבונות המשתמשים תפקידים ספציפיים, שיש להם הרשאות ספציפיות. לדוגמה, תוכלו לתת לחשבון Google מסוים את התפקיד 'צפייה בבקשות לתמיכה טכנית' (roles/cloudsupport.techSupportViewer) בפרויקט ספציפי. כך, המשתמש באותו חשבון יוכל לראות את בקשות התמיכה בפרויקט אבל לא לנהל אותן.

שיקולים במתן הרשאות גישה

אם עברתם מתמיכה ברמות Silver,‏ Gold או Platinum: לא תהיה לכם יותר גישה לבקשות תמיכה דרך Google Cloud Support Center‏ (GCSC). אחרי שתפעילו את תמיכת Standard,‏ Enhanced או Premium תוכלו לתת למשתמשים, לקבוצות ולדומיינים תפקידים ב-IAM כדי לנהל את הרשאות הגישה לבקשות תמיכה ברמת התמיכה שאליה עברתם.

בתמיכה מבוססת תפקיד מודל הגישה הוא לפי תפקיד. במאמר תמיכה מבוססת תפקיד ותמיכת Enterprise מוסבר איך נותנים למשתמשים גישה לפי תפקידים.

תפקידים ב-IAM וגישה לשירות הלקוחות

כדי שמשתמשי התמיכה יוכלו לראות ולנהל את בקשות התמיכה והמשתמשים, הם צריכים את ההרשאות המתאימות ב-IAM. הם יקבלו את ההרשאות האלו אם תוסיפו אותם לתפקיד ספציפי ב-IAM, לקבוצה ששייכת לתפקיד כזה או לדומיין שמוקצה לתפקיד כזה.

בטבלה הבאה מפורטים התפקידים הזמינים ב-IAM למשתמשי Cloud Customer Care, ההרשאות שמשויכות לכל משאב והרמה הנמוכה ביותר בהיררכיית המשאבים שבה אפשר לתת את התפקיד.

Role Permissions

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

Contains 4 owner permissions

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

במאמר הענקת תפקידי IAM מוסבר איך מוסיפים לתפקידים משתמשים, קבוצות או דומיינים.

אדמין של חשבון תמיכה

משתמשים בתפקיד 'אדמין של חשבון תמיכה' (roles/cloudsupport.admin) יכולים לנהל את חבילת שירות התמיכה שנרכשה ואת החיוב הקשור אליה.

האדמין של חשבון התמיכה אחראי על ניהול המדיניות בחשבון התמיכה של הארגון, כולל:

  • מתן תפקידים חדשים למשתמשי תמיכה
  • שינוי התפקידים הקיימים של משתמשי התמיכה
  • ניהול החיוב הקשור לתמיכה

אפשר לתת את התפקיד הזה רק ברמת הארגון.

צפייה בחשבון תמיכה

בתפקיד 'צפייה בחשבון תמיכה' (roles/cloudsupport.viewer) אפשר לראות את פרטי החשבון בשירות התמיכה. משתמשים בתפקיד הזה לא יכולים לראות או לערוך את בקשות התמיכה. כדי שיוכלו לעשות זאת, הם צריכים את התפקידים 'צפייה בבקשות לתמיכה טכנית' או 'עריכת בקשות לתמיכה טכנית', בהתאמה.

אפשר לתת את התפקיד הזה רק ברמת הארגון.

עריכת בקשות לתמיכה טכנית

בתפקיד 'עריכת בקשות לתמיכה טכנית' (roles/cloudsupport.techSupportEditor) אפשר לנהל את בקשות התמיכה. משתמשים עם התפקיד הזה יוכלו לראות, ליצור ולעדכן את הבקשות, להעביר בקשות לטיפול ברמה גבוהה יותר ולסגור בקשות.

אפשר לתת את התפקיד הזה ברמת הארגון, התיקייה והפרויקט. לדוגמה, אם נותנים את התפקיד 'עריכת בקשות לתמיכה טכנית' לקבוצת Google בפרויקט מסוים, כל חברי הקבוצה יוכלו לנהל את בקשות התמיכה באותו פרויקט.

אפשר גם לתת את התפקיד הזה לרמות שונות בהיררכיית המשאבים, כדי להקצות הרשאות שונות למשאבים שנמצאים מתחת למשאבים אחרים בהיררכיה. לדוגמה, אם אתם בתפקיד 'צפייה בבקשות לתמיכה טכנית' ברמת הארגון, ובתפקיד 'עריכת בקשות לתמיכה טכנית' בפרויקט מסוים, אתם יכולים לראות את בקשות התמיכה של כל הארגון אבל לערוך רק את בקשות התמיכה של אותו פרויקט.

צפייה בבקשות לתמיכה טכנית

בתפקיד 'צפייה בבקשות לתמיכה טכנית' (roles/cloudsupport.techSupportViewer) אפשר לראות את בקשות התמיכה ואת פרטי החשבון.

אפשר לתת את התפקיד הזה ברמת הארגון, הפרויקט והתיקייה. לדוגמה, אתם יכולים לתת את התפקיד 'צפייה בבקשות לתמיכה טכנית' לקבוצת Google בתיקייה ספציפית בתוך פרויקט, כך שחברי הקבוצה יוכלו לראות את בקשות התמיכה באותה התיקייה.

מתן תפקידים ב-IAM

כדי שמשתמשים יוכלו להוסיף ב-IAM משתמשים אחרים לתפקידים עם גישה לשירות הלקוחות, הם צריכים את ההרשאה resourcemanager.organizations.setIamPolicy ברמת הארגון. כדי לתת להם אותה, אפשר לתת למשתמש, לקבוצה או לדומיין את התפקיד 'אדמין ארגוני' (roles/resourcemanager.organizationAdmin).

לדוגמה, אם רוצים שמשתמשים בארגון עם התפקיד 'אדמין של חשבון תמיכה' יוכלו גם להוסיף ב-IAM משתמשים וקבוצות לתפקידים עם גישה לשירות הלקוחות (ולהסיר אותם מתפקידים כאלה), אפשר לתת להם את התפקיד 'אדמין ארגוני' באחת מהדרכים הבאות:

  • ליצור קבוצת Google למשתמשים (MyCompanySupportAdmins).
  • להקצות לקבוצת Google‏ (MyCompanySupportAdmins) את התפקיד 'אדמין ארגוני'.
  • להקצות לקבוצת Google‏ (MyCompanySupportAdmins) את התפקיד 'אדמין של חשבון תמיכה'.

בדוגמה זו, החברים בקבוצת Google‏ (MyCompanySupportAdmins) יכולים לתת למשתמשים ולקבוצות בארגון תפקידים ב-IAM, כי לקבוצה ניתנה ההרשאה setIamPolicy כשהוקצה לה התפקיד 'אדמין ארגוני'. כשיצטרפו לחשבון התמיכה של הארגון אדמינים חדשים, תוכלו להוסיף אותם לאותה קבוצת Google‏ (MyCompanySupportAdmins) כדי שהם יקבלו את התפקידים הרצויים.

כך נותנים ב-IAM תפקידים למשתמשים, לקבוצות או לדומיינים:

  1. נכנסים לדף IAM במסוףGoogle Cloud.
    כניסה לדף IAM

  2. לוחצים על Add בתפריט העליון.

  3. מציינים משתמש, קבוצת Google או דומיין.

  4. בוחרים תפקיד תמיכה בקטע Support. מומלץ לתת לחשבון המשתמש רק את הרשאות הגישה שהוא באמת צריך, כדי לשמור על עקרון האבטחה של הרשאות מינימליות.

  5. לוחצים על Save.

המאמרים הבאים

איך מנהלים את בקשות התמיכה במסוף Google Cloud?