Controllo dell'accesso con IAM

Questa pagina spiega come configurare controllo dell'accesso'accesso per i servizi di assistenza clienti Google Cloud.

Prima di iniziare

Che cos'è Identity and Access Management (IAM)

Google Cloud offre IAM, che consente di concedere un accesso più granulare a specifiche risorse Google Cloud e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo l'accesso necessario alle tue risorse.

IAM consente di controllare chi (identità) ha quale accesso (ruoli) a quale risorsa impostando i criteri IAM. I criteri IAM concedono ruoli specifici a un'entità, concedendo all'entità determinate autorizzazioni. Ad esempio, per una determinata risorsa, come un progetto, puoi assegnare il ruolo Visualizzatore assistenza tecnica (roles/cloudsupport.techSupportViewer) a un Account Google e quell'account può visualizzare le richieste di assistenza nel progetto, ma non può gestire le richieste di assistenza.

Considerazioni sull'accesso

Se hai eseguito la transizione dall'assistenza Silver, Gold o Platinum, tieni presente che le richieste di assistenza non sono più accessibili tramite il Google Cloud Support Center (GCSC). Dopo aver abilitato l'Assistenza Standard, Avanzata o Premium, puoi gestire l'accesso alle richieste di transizione concedendo i ruoli IAM a utenti, gruppi o domini.

Richieste a livello di organizzazione

Le richieste di assistenza clienti possono essere create all'interno di organizzazioni o progetti.

Per gestire le richieste a livello di organizzazione, l'utente deve disporre dell'autorizzazione resourcemanager.organizations.get a livello di organizzazione, altrimenti non potrà selezionare l'organizzazione nella console Google Cloud.

Il modo più semplice per concedere questa autorizzazione è quello di concedere all'utente il ruolo roles/resourcemanager.organizationViewer nell'organizzazione. Questo ruolo concede solo l'autorizzazione resourcemanager.organizations.get.

NOTA: concedere a un utente il ruolo Organization Viewer non equivale a concedergli il ruolo Viewer a livello di organizzazione. Questo è un punto di confusione comune. Il ruolo Organization Viewer non concede all'utente l'accesso per visualizzare le risorse all'interno dell'organizzazione, ma permette solo all'utente di vedere che l'organizzazione esiste.

Inoltre, l'utente deve disporre delle autorizzazioni IAM pertinenti per l'assistenza tecnica, descritte nelle sezioni seguenti.

Ruoli IAM dell'assistenza clienti

Con IAM, ogni utente dell'assistenza deve disporre delle autorizzazioni appropriate per visualizzare e gestire le richieste e gli utenti. Gli utenti ricevono queste autorizzazioni quando le aggiungi a un ruolo IAM, a un gruppo che appartiene a un ruolo o a un dominio assegnato a un ruolo.

La tabella seguente elenca i ruoli IAM disponibili per gli utenti dell'assistenza clienti Google Cloud, le autorizzazioni associate a quali risorse e il livello di risorsa più basso a cui puoi applicare le autorizzazioni.

Role Permissions

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

Per aggiungere un utente, un gruppo o un dominio a un ruolo, consulta Concessione dei ruoli IAM.

Amministratore account di assistenza

Gli utenti con il ruolo Amministratore account di assistenza (roles/cloudsupport.admin) possono gestire il servizio di assistenza acquistato e le relative modalità di fatturazione.

L'amministratore dell'account di assistenza è responsabile della gestione dei criteri per l'account di assistenza dell'organizzazione, tra cui:

  • Assegnazione di nuovi utenti dell'assistenza
  • Modifica dei ruoli per gli utenti dell'assistenza esistenti
  • Gestione della fatturazione per l'assistenza

Questo ruolo può essere concesso solo a livello di organizzazione.

Visualizzatore account di assistenza

Il ruolo Visualizzatore account di assistenza (roles/cloudsupport.viewer) può visualizzare le informazioni sull'account per il servizio. Non possono visualizzare o modificare le richieste di assistenza; a tale scopo, devono essere assegnati un ruolo Visualizzatore assistenza tecnica o Editor assistenza tecnica.

Questo ruolo può essere concesso solo a livello di organizzazione.

Editor assistenza tecnica

Il ruolo Editor assistenza tecnica (roles/cloudsupport.techSupportEditor) può gestire le richieste di assistenza, incluse visualizzazione, creazione, aggiornamento, riassegnazione e chiusura delle richieste.

Puoi concedere questo ruolo a livello di organizzazione, cartella e progetto. Ad esempio, se concedi il ruolo Editor assistenza tecnica a un gruppo Google per un progetto specifico, tutti i membri del gruppo possono gestire le richieste di assistenza per quel progetto.

Puoi anche concedere questo ruolo a più livelli della gerarchia delle risorse per stabilire autorizzazioni diverse per le risorse nidificate. Ad esempio, se disponi del ruolo Visualizzatore assistenza tecnica per l'organizzazione ed Editor assistenza tecnica in un progetto, puoi visualizzare le richieste di assistenza in tutta l'organizzazione, ma modificare solo le richieste per il progetto.

Visualizzatore assistenza tecnica

Il ruolo Visualizzatore assistenza tecnica (roles/cloudsupport.techSupportViewer) può visualizzare le richieste di assistenza e i dati degli account.

Questo ruolo può essere impostato a livello di organizzazione, progetto e cartella. Ad esempio, puoi concedere il ruolo Visualizzatore assistenza tecnica a un gruppo Google su una cartella specifica all'interno di un progetto, in modo che i membri del gruppo possano visualizzare le richieste di assistenza nella cartella.

Concessione dei ruoli IAM

Gli utenti, i gruppi Google o i domini devono disporre dell'autorizzazione resourcemanager.organizations.setIamPolicy per l'organizzazione per aggiungere utenti ai ruoli IAM dell'assistenza clienti. Puoi assegnare questa autorizzazione a un utente o a un gruppo concedendo loro il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin).

Ad esempio, se la tua organizzazione vuole che gli utenti a cui è stato concesso il ruolo Amministratori account di assistenza siano anche in grado di aggiungere e rimuovere utenti e gruppi dagli altri ruoli IAM dell'assistenza clienti, un amministratore dell'organizzazione può procedere come segue:

  • Crea un gruppo Google per gli utenti (MyCompanySupportAdmins).
  • Assegna al gruppo Google (MyCompanySupportAdmins) il ruolo Amministratore dell'organizzazione.
  • Assegna al gruppo Google (MyCompanySupportAdmins) il ruolo Amministratore account di assistenza.

Nell'esempio, i membri del gruppo Google (MyCompanySupportAdmins) possono assegnare utenti e gruppi ai ruoli IAM dell'organizzazione perché al gruppo è stata concessa l'autorizzazione setIamPolicy, quando è stato concesso il ruolo Amministratore organizzazione. Quando nuovi amministratori dell'account di assistenza entrano a far parte dell'organizzazione, aggiungili al gruppo Google (MyCompanySupportAdmins) per concedere loro i ruoli desiderati.

Per concedere un ruolo IAM a un utente, un gruppo o un dominio:

  1. Nella console Google Cloud, vai alla pagina IAM.
    Vai alla pagina IAM

  2. Nel menu in alto, fai clic su Aggiungi.

  3. Specifica un utente, un gruppo Google o un dominio.

  4. Seleziona un ruolo di Assistenza. Per le best practice di sicurezza, consigliamo vivamente di concedere all'entità il livello minimo di privilegi necessari.

  5. Fai clic su Salva.

Passaggi successivi

Scopri come gestire le richieste di assistenza nella console Google Cloud.