アクセス制御

このページでは、Cloud カスタマーケアのサポート サービスへのアクセス制御を構成する方法について説明します。

始める前に

  • 優先サポートサービスまたはプレミアム サポート サービスを利用している必要があります。
  • Google Cloud 組織の組織管理者のロールが割り当てられている必要があります(roles/resourcemanager.organizationAdmin)。

Identity and Access Management(IAM)とは

Google Cloud には IAM 機能があります。これにより、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不正なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみ付与できます。

IAM は、IAM ポリシーを設定することで、(ID)がどのようなアクセス権(ロール)をどのリソースに対して持つのかを制御できるようにします。IAM ポリシーは、特定の役割をプロジェクト メンバーに付与することで、その ID に特定の権限を付与します。たとえば、プロジェクトなどのリソースの場合、テクニカル サポート閲覧者のロール(roles/cloudsupport.techSupportViewer)を割り当てられた Google アカウントの使用者は、プロジェクトでサポートケースを表示できますが、サポートケースの管理はできません。

アクセスに関する考慮事項

シルバー、ゴールド、プラチナの各サポートから移行した場合は、Google Cloud サポート センター(GCSC)からはサポートケースにアクセスできなくなっていることにご注意ください。優先サポートまたはプレミアム サポートを有効にしたら、ユーザー、グループ、またはドメインに IAM のロールを付与することで、移行されたケースへのアクセスを管理できます。

カスタマーケア IAM ロール

IAM では、すべてのサポート ユーザーに、ケースとユーザーを表示して管理するための適切な権限が必要です。IAM の役割、役割に属するグループ、または役割に割り当てられたドメインにユーザーを追加すると、これらの権限がユーザーに付与されます。

Cloud カスタマーケア ユーザーが使用できる IAM のロール、各リソースに関連付けられている権限、権限を適用できる最小限のリソースレベルを次の表に示します。

ロール 役職 説明 権限 最下位のリソース
roles/cloudsupport.admin サポート アカウント管理者 サポートケースへのアクセス権を付与しなくても、サポート アカウントを管理できます。詳細については、Cloud サポートのドキュメントをご覧ください。
  • cloudsupport.accounts.*
  • cloudsupport.operations.*
  • cloudsupport.properties.*
  • resourcemanager.organizations.get
組織
roles/cloudsupport.techSupportEditor テクニカル サポート編集者 テクニカル サポート ケースに対する完全な読み取り / 書き込みアクセス権(GCP カスタマーケアおよびマップサポートに適用)。
  • cloudsupport.properties.*
  • cloudsupport.techCases.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudsupport.techSupportViewer テクニカル サポート閲覧者 テクニカル サポート ケースに対する読み取り専用アクセス権(GCP カスタマーケアおよびマップのサポートに適用)。
  • cloudsupport.properties.*
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudsupport.viewer サポート アカウント閲覧者 サポート アカウントの詳細に対して読み取り専用アクセスを許可します。ケースは閲覧できません。
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.properties.*
組織

ユーザー、グループ、ドメインをロールに追加するには、IAM ロールを付与するをご覧ください。

サポート アカウント管理者

サポート アカウント管理者のロールを持つユーザー(roles/cloudsupport.admin)は、購入したサポート サービスとお支払い方法を管理できます。

この役割は、組織レベルでのみ付与できます。

サポート アカウント閲覧者

サポート アカウント閲覧者のロール(roles/cloudsupport.viewer)は、そのサービスのアカウント情報を表示できます。サポートケースを表示または編集するには、テクニカル サポート閲覧者またはテクニカル サポート編集者のロールを割り当てます。

この役割は、組織レベルでのみ付与できます。

テクニカル サポート編集者

テクニカル サポート編集者のロール(roles/cloudsupport.techSupportEditor)では、サポートケースの表示、作成、更新、エスカレーション、終了など、サポートケースを管理できます。

このロールは、組織レベル、フォルダレベル、プロジェクト レベルで付与できます。たとえば、特定のプロジェクトの Google グループにテクニカル サポート編集者のロールを付与すると、そのグループのすべてのメンバーが、そのプロジェクトのサポートケースを管理できます。

リソース階層の複数のレベルでこのロールを付与して、ネストされたリソースに対して異なる権限を設定することもできます。たとえば、組織のテクニカル サポート閲覧者のロールとプロジェクトのテクニカル サポート編集者のロールを持っているユーザーは、組織全体のサポートケースを表示できますが、編集できるのはプロジェクトのケースのみです。

テクニカル サポート閲覧者

テクニカル サポート閲覧者のロール(roles/cloudsupport.techSupportViewer)を持つユーザーはサポートケースとアカウント情報を表示できます。

このロールは組織レベル、プロジェクト レベル、フォルダレベルで設定できます。たとえば、プロジェクト内の特定フォルダの Google グループにテクニカル サポート閲覧者のロールを付与すると、そのグループのメンバーはフォルダ内のサポートケースを表示できるようになります。

IAM ロールの付与

カスタマーケア IAM のロールにユーザーを追加するには、ユーザー、Google グループ、またはドメインに組織の resourcemanager.organizations.setIamPolicy 権限が付与されている必要があります。この権限を付与するには、ユーザーまたはグループに組織管理者のロールを付与します(roles/resourcemanager.organizationAdmin)。

たとえば、サポート アカウント管理者ロールを持つユーザーが他のカスタマーケア IAM のロールに対してもユーザーおよびグループの追加と削除を行えるようにする必要がある場合、組織管理者は次のことを行えます。

  • Google グループ(MyCompanySupportAdmins)を作成して該当するユーザーを追加します。
  • この Google グループ(MyCompanySupportAdmins)に組織管理者ロールを割り当てます。
  • この Google グループ(MyCompanySupportAdmins)にサポート アカウント管理者ロールを割り当てます。

この例では、Google グループ(MyCompanySupportAdmins)に組織管理者ロールが付与されたときに setIamPolicy 権限が付与されているため、このグループのメンバーは組織の IAM のロールにユーザーとグループを割り当てることができます。新しいサポート アカウント管理者が組織に加わったときは、この Google グループ(MyCompanySupportAdmins)に追加して必要なロールを付与します。

ユーザー、グループ、またはドメインに IAM のロールを付与するには:

  1. Google Cloud Console の [IAM] ページに移動します。
    [IAM] ページに移動

  2. 上部のメニューで [追加] をクリックします。

  3. ユーザー、Google グループ、またはドメインを指定します。

  4. [サポート] ロールを選択します。最善のセキュリティを得るため、必要最小限の権限をメンバーに付与することを強くおすすめします。

  5. [保存] をクリックします。

次のステップ

Google Cloud Console でサポートケースを管理する方法を確認してください。