IAM によるアクセス制御

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

このページでは、Cloud カスタマーケアのサポート サービスへのアクセス制御を構成する方法について説明します。

始める前に

Identity and Access Management(IAM)とは

Google Cloud には IAM 機能があります。これにより、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不正なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみ付与できます。

IAM は、IAM ポリシーを設定することで、(ID)がどのようなアクセス権(ロール)をどのリソースに対して持つのかを制御できるようにします。IAM ポリシーは、特定のロールをプリンシパルに付与することで、そのプリンシパルに特定の権限を付与します。たとえば、プロジェクトなどのリソースの場合、テクニカル サポート閲覧者のロール(roles/cloudsupport.techSupportViewer)を割り当てられた Google アカウントの使用者は、プロジェクトでサポートケースを表示できますが、サポートケースの管理はできません。

アクセスに関する考慮事項

シルバー、ゴールド、プラチナの各サポートから移行した場合は、Google Cloud サポート センター(GCSC)からはサポートケースにアクセスできなくなっていることにご注意ください。スタンダード サポート、エンハンスト サポートまたはプレミアム サポートを有効にしたら、ユーザー、グループまたはドメインに IAM のロールを付与することで、移行されたケースへのアクセスを管理できます。

カスタマーケア IAM ロール

IAM では、すべてのサポート ユーザーにケースとユーザーの表示および管理に関連する適切な権限を付与する必要があります。IAM のロール、ロールに属するグループ、またはロールに割り当てられたドメインにユーザーを追加すると、これらの権限がユーザーに付与されます。

Cloud カスタマーケア ユーザーが使用できる IAM のロール、各リソースに関連付けられている権限、権限を適用できる最小限のリソースレベルを次の表に示します。

ロール 権限

roles/cloudsupport.admin

サポートケースへのアクセス権を付与しなくても、サポート アカウントを管理できます。詳細については、Cloud サポートのドキュメントをご覧ください。

このロールを付与できる最下位レベルのリソース:

  • 組織

4 つのオーナー権限を含む

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

roles/cloudsupport.techSupportEditor

テクニカル サポート ケースに対する完全な読み取り / 書き込みアクセス権(GCP カスタマーケアおよびマップサポートに適用)。詳細については、Cloud サポートのドキュメントをご覧ください。

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

roles/cloudsupport.techSupportViewer

テクニカル サポート ケースに対する読み取り専用アクセス権(GCP カスタマーケアおよびマップのサポートに適用)。詳細については、Cloud サポートのドキュメントをご覧ください。

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

roles/cloudsupport.viewer

サポート アカウントの詳細に対する読み取り専用アクセス権。ケースは閲覧できません。詳細については、Cloud サポートのドキュメントをご覧ください。

このロールを付与できる最下位レベルのリソース:

  • 組織

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

ユーザー、グループ、ドメインをロールに追加するには、IAM ロールを付与するをご覧ください。

サポート アカウント管理者

サポート アカウント管理者のロールを持つユーザー(roles/cloudsupport.admin)は、購入したサポート サービスとお支払い方法を管理できます。

サポート アカウント管理者は、以下に示すような、組織のサポート アカウントに関するポリシーを管理します。

  • 新しいサポート ユーザーの割り当て
  • 既存のサポート ユーザーの役割の変更
  • サポート請求の管理

このロールは、組織レベルでのみ付与できます。

サポート アカウント閲覧者

サポート アカウント閲覧者のロール(roles/cloudsupport.viewer)は、そのサービスのアカウント情報を表示できます。サポートケースを表示または編集するには、テクニカル サポート閲覧者またはテクニカル サポート編集者のロールを割り当てます。

このロールは、組織レベルでのみ付与できます。

テクニカル サポート編集者

テクニカル サポート編集者のロール(roles/cloudsupport.techSupportEditor)では、サポートケースの表示、作成、更新、エスカレーション、終了など、サポートケースを管理できます。

このロールは、組織レベル、フォルダレベル、プロジェクト レベルで付与できます。たとえば、特定のプロジェクトの Google グループにテクニカル サポート編集者のロールを付与すると、そのグループのすべてのメンバーが、そのプロジェクトのサポートケースを管理できます。

リソース階層の複数のレベルでこのロールを付与して、ネストされたリソースに対して異なる権限を設定することもできます。たとえば、組織のテクニカル サポート閲覧者のロールとプロジェクトのテクニカル サポート編集者のロールを持っているユーザーは、組織全体のサポートケースを表示できますが、編集できるのはプロジェクトのケースのみです。

テクニカル サポート閲覧者

テクニカル サポート閲覧者のロール(roles/cloudsupport.techSupportViewer)を持つユーザーはサポートケースとアカウント情報を表示できます。

このロールは組織レベル、プロジェクト レベル、フォルダレベルで設定できます。たとえば、プロジェクト内の特定フォルダの Google グループにテクニカル サポート閲覧者のロールを付与すると、そのグループのメンバーはフォルダ内のサポートケースを表示できるようになります。

IAM ロールの付与

カスタマーケア IAM のロールにユーザーを追加するには、ユーザー、Google グループ、またはドメインに組織の resourcemanager.organizations.setIamPolicy 権限が付与されている必要があります。この権限を付与するには、ユーザーまたはグループに組織管理者のロールを付与します(roles/resourcemanager.organizationAdmin)。

たとえば、サポート アカウント管理者ロールを持つユーザーが他のカスタマーケア IAM のロールに対してもユーザーおよびグループの追加と削除を行えるようにする必要がある場合、組織管理者は次のことを行えます。

  • Google グループ(MyCompanySupportAdmins)を作成して該当するユーザーを追加します。
  • この Google グループ(MyCompanySupportAdmins)に組織管理者ロールを割り当てます。
  • この Google グループ(MyCompanySupportAdmins)にサポート アカウント管理者ロールを割り当てます。

この例では、Google グループ(MyCompanySupportAdmins)に組織管理者ロールが付与されたときに setIamPolicy 権限が付与されているため、このグループのメンバーは組織の IAM のロールにユーザーとグループを割り当てることができます。新しいサポート アカウント管理者が組織に加わったときは、この Google グループ(MyCompanySupportAdmins)に追加して必要なロールを付与します。

ユーザー、グループ、またはドメインに IAM のロールを付与するには:

  1. Google Cloud コンソールの [IAM] ページに移動します。
    [IAM] ページに移動

  2. 上部のメニューで、[追加] をクリックします。

  3. ユーザー、Google グループ、またはドメインを指定します。

  4. サポートロールを選択します。最善のセキュリティを得るため、必要最小限の権限をプリンシパルに付与することを強くおすすめします。

  5. [保存] をクリックします。

次のステップ

Google Cloud コンソールでサポートケースを管理する方法を確認する。