このページでは、Cloud カスタマーケアのサポート サービスへのアクセス制御を構成する方法について説明します。
始める前に
- 優先サポートサービスまたはプレミアム サポート サービスを利用している必要があります。
- Google Cloud 組織の組織管理者のロールが割り当てられている必要があります(
roles/resourcemanager.organizationAdmin)。
Identity and Access Management(IAM)とは
Google Cloud には IAM 機能があります。これにより、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不正なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみ付与できます。
IAM は、IAM ポリシーを設定することで、誰(ID)がどのようなアクセス権(ロール)をどのリソースに対して持つのかを制御できるようにします。IAM ポリシーは、特定の役割をプロジェクト メンバーに付与することで、その ID に特定の権限を付与します。たとえば、プロジェクトなどのリソースの場合、テクニカル サポート閲覧者のロール(roles/cloudsupport.techSupportViewer)を割り当てられた Google アカウントの使用者は、プロジェクトでサポートケースを表示できますが、サポートケースの管理はできません。
アクセスに関する考慮事項
シルバー、ゴールド、プラチナの各サポートから移行した場合は、Google Cloud サポート センター(GCSC)からはサポートケースにアクセスできなくなっていることにご注意ください。優先サポートまたはプレミアム サポートを有効にしたら、ユーザー、グループ、またはドメインに IAM のロールを付与することで、移行されたケースへのアクセスを管理できます。
カスタマーケア IAM ロール
IAM では、すべてのサポート ユーザーに、ケースとユーザーを表示して管理するための適切な権限が必要です。IAM の役割、役割に属するグループ、または役割に割り当てられたドメインにユーザーを追加すると、これらの権限がユーザーに付与されます。
Cloud カスタマーケア ユーザーが使用できる IAM のロール、各リソースに関連付けられている権限、権限を適用できる最小限のリソースレベルを次の表に示します。
| ロール | 役職 | 説明 | 権限 | 最下位のリソース |
|---|---|---|---|---|
roles/ |
サポート アカウント管理者 | サポートケースへのアクセス権を付与しなくても、サポート アカウントを管理できます。詳細については、Cloud サポートのドキュメントをご覧ください。 |
|
組織 |
roles/ |
テクニカル サポート編集者 | テクニカル サポート ケースに対する完全な読み取り / 書き込みアクセス権(GCP カスタマーケアおよびマップサポートに適用)。 |
|
|
roles/ |
テクニカル サポート閲覧者 | テクニカル サポート ケースに対する読み取り専用アクセス権(GCP カスタマーケアおよびマップのサポートに適用)。 |
|
|
roles/ |
サポート アカウント閲覧者 | サポート アカウントの詳細に対して読み取り専用アクセスを許可します。ケースは閲覧できません。 |
|
組織 |
ユーザー、グループ、ドメインをロールに追加するには、IAM ロールを付与するをご覧ください。
サポート アカウント管理者
サポート アカウント管理者のロールを持つユーザー(roles/cloudsupport.admin)は、購入したサポート サービスとお支払い方法を管理できます。
この役割は、組織レベルでのみ付与できます。
サポート アカウント閲覧者
サポート アカウント閲覧者のロール(roles/cloudsupport.viewer)は、そのサービスのアカウント情報を表示できます。サポートケースを表示または編集するには、テクニカル サポート閲覧者またはテクニカル サポート編集者のロールを割り当てます。
この役割は、組織レベルでのみ付与できます。
テクニカル サポート編集者
テクニカル サポート編集者のロール(roles/cloudsupport.techSupportEditor)では、サポートケースの表示、作成、更新、エスカレーション、終了など、サポートケースを管理できます。
このロールは、組織レベル、フォルダレベル、プロジェクト レベルで付与できます。たとえば、特定のプロジェクトの Google グループにテクニカル サポート編集者のロールを付与すると、そのグループのすべてのメンバーが、そのプロジェクトのサポートケースを管理できます。
リソース階層の複数のレベルでこのロールを付与して、ネストされたリソースに対して異なる権限を設定することもできます。たとえば、組織のテクニカル サポート閲覧者のロールとプロジェクトのテクニカル サポート編集者のロールを持っているユーザーは、組織全体のサポートケースを表示できますが、編集できるのはプロジェクトのケースのみです。
テクニカル サポート閲覧者
テクニカル サポート閲覧者のロール(roles/cloudsupport.techSupportViewer)を持つユーザーはサポートケースとアカウント情報を表示できます。
このロールは組織レベル、プロジェクト レベル、フォルダレベルで設定できます。たとえば、プロジェクト内の特定フォルダの Google グループにテクニカル サポート閲覧者のロールを付与すると、そのグループのメンバーはフォルダ内のサポートケースを表示できるようになります。
IAM ロールの付与
カスタマーケア IAM のロールにユーザーを追加するには、ユーザー、Google グループ、またはドメインに組織の resourcemanager.organizations.setIamPolicy 権限が付与されている必要があります。この権限を付与するには、ユーザーまたはグループに組織管理者のロールを付与します(roles/resourcemanager.organizationAdmin)。
たとえば、サポート アカウント管理者ロールを持つユーザーが他のカスタマーケア IAM のロールに対してもユーザーおよびグループの追加と削除を行えるようにする必要がある場合、組織管理者は次のことを行えます。
- Google グループ(MyCompanySupportAdmins)を作成して該当するユーザーを追加します。
- この Google グループ(MyCompanySupportAdmins)に組織管理者ロールを割り当てます。
- この Google グループ(MyCompanySupportAdmins)にサポート アカウント管理者ロールを割り当てます。
この例では、Google グループ(MyCompanySupportAdmins)に組織管理者ロールが付与されたときに setIamPolicy 権限が付与されているため、このグループのメンバーは組織の IAM のロールにユーザーとグループを割り当てることができます。新しいサポート アカウント管理者が組織に加わったときは、この Google グループ(MyCompanySupportAdmins)に追加して必要なロールを付与します。
ユーザー、グループ、またはドメインに IAM のロールを付与するには:
Google Cloud Console の [IAM] ページに移動します。
[IAM] ページに移動上部のメニューで [追加] をクリックします。
ユーザー、Google グループ、またはドメインを指定します。
[サポート] ロールを選択します。最善のセキュリティを得るため、必要最小限の権限をメンバーに付与することを強くおすすめします。
[保存] をクリックします。
次のステップ
Google Cloud Console でサポートケースを管理する方法を確認してください。