アクセス制御

Identity and Access Management(IAM)を利用している組織では、プレミアム サポートを通じて Cloud サポートへのアクセス制御を構成できます。

プレミアム サポートのお申込みは Google Cloud の営業担当者に問い合わせるか、こちらからリクエストしてください。

要件

  • プレミアム サポート プランの登録が必要です。
  • Google Cloud 組織がすでにあり、その組織へのアクセス権を持っている必要があります。
  • Google Cloud 組織の組織管理者のロールが割り当てられている必要があります(roles/resourcemanager.organizationAdmin)。

IAM とは

Google Cloud には IAM 機能があります。これにより、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不正なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみ付与できます。

IAM は、IAM ポリシーを設定することで、(ID)がどのようなアクセス権(ロール)をどのリソースに対して持つのかを制御できるようにします。IAM ポリシーは、特定の役割をプロジェクト メンバーに付与することで、その ID に特定の権限を付与します。たとえば、プロジェクトなどのリソースの場合、テクニカル サポート閲覧者のロール(roles/cloudsupport.techSupportViewer)を割り当てられた Google アカウントの使用者は、プロジェクトでサポートケースを表示できますが、サポートケースの管理はできません。

アクセスに関する考慮事項

ユーザーに役割を付与する際には、アクセスに関する次の点に注意してください。

サポート センターへのアクセス

シルバー、ゴールド、プラチナ サポートプランからプレミアム サポートに移行したお客様は、Google Cloud サポート センター(GCSC)からサポートケースにアクセスできなくなります。プレミアム サポートが有効になった後、移行されたケースには Google Cloud Console の [サポート] ページでのみアクセスできます。

Support IAM のロール

IAM では、すべてのプレミアム サポートプランのユーザーにケースとユーザーを表示および管理するための適切な権限を付与する必要があります。IAM の役割、役割に属するグループ、または役割に割り当てられたドメインにユーザーを追加すると、これらの権限がユーザーに付与されます。

Cloud サポート ユーザーが使用できる Cloud IAM のロール、各リソースに関連付けられている権限、権限を適用できる最小限のリソースレベルを次の表に示します。

ロール 役職 説明 権限 最下位のリソース
roles/cloudsupport.admin サポート アカウント管理者 サポートケースへのアクセス権を付与しなくても、サポート アカウントを管理できます。 詳細については、Cloud サポートのドキュメントをご覧ください。
  • cloudsupport.accounts.*
  • cloudsupport.operations.*
  • cloudsupport.properties.*
  • resourcemanager.organizations.get
組織
roles/cloudsupport.techSupportEditor テクニカル サポート編集者 テクニカル サポート ケースに対する完全な読み取り / 書き込みアクセス権(GCP カスタマーケアおよびマップサポートに適用)。
  • cloudsupport.properties.*
  • cloudsupport.techCases.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudsupport.techSupportViewer テクニカル サポート閲覧者 テクニカル サポート ケースに対する読み取り専用アクセス権(GCP カスタマーケアおよびマップのサポートに適用)。
  • cloudsupport.properties.*
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudsupport.viewer サポート アカウント閲覧者 サポート アカウントの詳細に対して読み取り専用アクセスを許可します。ケースは閲覧できません。
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.properties.*
組織

ユーザー、グループ、ドメインを役割に追加するには、Cloud Support IAM のロールにユーザーを追加するをご覧ください。

サポート アカウント管理者

サポート アカウント管理者ロールを持つユーザー(roles/cloudsupport.admin)は、購入したサポートプランとお支払い方法を管理できます。

この役割は、組織レベルでのみ付与できます。

サポート アカウント閲覧者

サポート アカウント閲覧者のロール(roles/cloudsupport.viewer)では、サポート アカウント情報を表示できます。サポートケースを表示または編集するには、テクニカル サポート閲覧者または編集者のロールを割り当てます。

この役割は、組織レベルでのみ付与できます。

テクニカル サポート編集者

テクニカル サポート編集者のロール(roles/cloudsupport.techSupportEditor)では、サポートケースの表示、作成、更新、エスカレーション、終了など、サポートケースを管理できます。

このロールは、組織レベル、フォルダレベル、プロジェクト レベルで付与できます。たとえば、特定のプロジェクトの Google グループにテクニカル サポート編集者のロールを付与すると、そのグループのすべてのメンバーが、そのプロジェクトのサポートケースを管理できます。

リソース階層の複数のレベルでこのロールを付与して、ネストされたリソースに対して異なる権限を設定することもできます。たとえば、組織のテクニカル サポート閲覧者のロールとプロジェクトのテクニカル サポート編集者のロールを持っているユーザーは、組織全体のサポートケースを表示できますが、編集できるのはプロジェクトのケースのみです。

テクニカル サポート閲覧者

テクニカル サポート閲覧者のロール(roles/cloudsupport.techSupportViewer)を持つユーザーはサポートケースとアカウント情報を表示できます。

このロールは組織レベル、プロジェクト レベル、フォルダレベルで設定できます。たとえば、プロジェクト内の特定フォルダの Google グループにテクニカル サポート閲覧者のロールを付与すると、そのグループのメンバーはフォルダ内のサポートケースを表示できるようになります。

Support IAM のロールにユーザーを追加する

Support IAM の役割にユーザーを追加するには、ユーザー、Google グループ、またはドメインに組織の resourcemanager.organizations.setIamPolicy 権限が付与されている必要があります。この権限を付与するには、ユーザーまたはグループに組織管理者のロールを付与します(roles/resourcemanager.organizationAdmin)。

たとえば、サポート アカウント管理者ロールを持つユーザーが他の Support IAM のロールに対してもユーザーおよびグループの追加と削除を行えるようにする必要がある場合、組織管理者は次のことを行えます。

  • Google グループ(MyCompanySupportAdmins)を作成して該当するユーザーを追加します。
  • この Google グループ(MyCompanySupportAdmins)に組織管理者ロールを割り当てます。
  • この Google グループ(MyCompanySupportAdmins)にサポート アカウント管理者ロールを割り当てます。

この例では、Google グループ(MyCompanySupportAdmins)に組織管理者ロールが付与されたときに setIamPolicy 権限が付与されているため、このグループのメンバーは組織の IAM のロールにユーザーとグループを割り当てることができます。新しいサポート アカウント管理者が組織に加わったときは、この Google グループ(MyCompanySupportAdmins)に追加して必要なロールを付与します。

ユーザー、グループ、またはドメインを Support IAM のロールに追加する手順は次のとおりです。

  1. Google Cloud Console の [IAM と管理] ページに組織管理者としてログインします。
    Cloud Console の [IAM と管理] ページに移動します。

  2. サイドメニューから [サポート] を選択します。

  3. 割り当てる役割を以下から選択します。

    • サポート アカウント管理者
    • サポート アカウント閲覧者
    • テクニカル サポート編集者
    • テクニカル サポート閲覧者
  4. 追加するユーザー、グループ、またはドメインを指定します。

次のステップ

Google Cloud Console でサポートケースを管理する方法を確認してください。