Controle de acesso com o IAM

Nesta página, explicamos como configurar o controle de acesso para ofertas de suporte do Cloud Customer Care.

Antes de começar

O que é o gerenciamento de identidade e acesso (IAM)

O Google Cloud oferece IAM, que permite conceder acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de segurança do menor privilégio (em inglês) para conceder apenas o acesso necessário aos recursos.

Por meio da definição de políticas do IAM, você pode controlar quem (identidade) tem qual acesso (papéis) a qual recurso. As políticas do IAM concedem papéis específicos a um principal, dando ao principal as permissões específicas. Por exemplo, para um determinado recurso, como um projeto, é possível atribuir o papel de visualizador de suporte técnico (roles/cloudsupport.techSupportViewer) a uma Conta do Google. Com essa conta, é possível visualizar casos de suporte no projeto, mas gerenciar casos de suporte não é.

Considerações sobre o acesso

Se você fez a transição do suporte Silver, Gold ou Platinum, lembre-se de que as consultas ao suporte não poderão mais ser acessadas pela Central de suporte do Google Cloud (GCSC). Depois de ativar o suporte Standard, Enhanced ou Premium, você pode gerenciar o acesso a casos transferidos concedendo papéis do IAM a usuários, grupos ou domínios.

O suporte com base no papel atribuído usa um modelo de acesso baseado em papéis. Para saber como conceder acesso a usuários com base em papéis, acesse Suporte com base em papéis e corporativos.

Papéis de IAM do Customer Care

Com o IAM, cada usuário de suporte precisa ter as permissões apropriadas para visualizar e gerenciar casos e usuários. Os usuários recebem essas permissões quando você as adiciona a um papel do IAM, a um grupo que pertence a um papel ou a um domínio atribuído a um papel.

A tabela a seguir lista os papéis do IAM disponíveis para os usuários do Cloud Customer Care, as permissões associadas a quais recursos e o nível de recurso mais baixo em que as permissões podem ser aplicadas.

Papel Permissões

Administrador de conta de suporte
(roles/cloudsupport.admin)

Permite o gerenciamento de uma conta de suporte sem conceder acesso ao Histórico de consultas. Para mais informações, consulte a documentação de suporte do Cloud.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Organização
  • cloudsupport.accounts.*
  • cloudsupport.operations.*
  • cloudsupport.properties.*
  • resourcemanager.organizations.get

Editor de suporte técnico
(roles/cloudsupport.techSupportEditor)

Acesso completo de leitura/gravação aos históricos de consultas técnicas (aplicável para o Atendimento ao cliente do GCP e suporte do Maps).

  • cloudsupport.properties.*
  • cloudsupport.techCases.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Leitor de suporte técnico
(roles/cloudsupport.techSupportViewer)

Acesso somente leitura a históricos de consulta técnica (aplicável ao Atendimento ao cliente do GCP e suporte do Maps).

  • cloudsupport.properties.*
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Leitor de conta de suporte
(roles/cloudsupport.viewer)

Acesso somente leitura aos detalhes de uma conta de suporte. Não permite ver casos.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Organização
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.properties.*

Para adicionar um usuário, grupo ou domínio a um papel, consulte Como conceder papéis do IAM.

Administrador da conta de suporte

Os usuários com o papel de administrador da conta de suporte (roles/cloudsupport.admin) gerenciam a oferta de suporte comprada e como ela é faturada.

Essa pessoa é responsável pela administração de políticas para a conta de suporte da organização, incluindo as seguintes atividades:

  • atribuição de novos usuários de suporte
  • modificação de papéis para usuários de suporte existentes
  • gerenciamento do suporte de faturamento

Esse papel só pode ser atribuído no nível da organização.

Leitor da conta de suporte

O papel de Visualizador de conta de suporte (roles/cloudsupport.viewer) pode visualizar informações da conta para a oferta. Não é possível visualizar ou editar casos de suporte. Para isso, é necessário atribuir um papel de visualizador ou de editor de suporte técnico.

Esse papel só pode ser atribuído no nível da organização.

Editor de suporte técnico

O papel de editor de suporte técnico (roles/cloudsupport.techSupportEditor) pode gerenciar casos de suporte, incluindo visualização, criação, atualização, encaminhamento e encerramento de casos.

É possível conceder esse papel nos níveis de organização, pasta e projeto. Por exemplo, se você conceder o papel Editor de suporte técnico a um grupo do Google em um projeto específico, todos os membros do grupo poderão gerenciar casos de suporte para esse projeto.

Também é possível conceder esse papel em vários níveis da hierarquia de recursos para estabelecer permissões diferentes para recursos aninhados. Por exemplo, se você tiver o papel de visualizador de suporte técnico para a organização e de editor de suporte técnico em um projeto, poderá visualizar os casos de suporte na organização, mas editar apenas os casos para o projeto.

Leitor de suporte técnico

O papel de visualizador de suporte técnico (roles/cloudsupport.techSupportViewer) permite visualizar casos de suporte e informações da conta.

É possível definir esse papel nos níveis de organização, projeto e pasta. Por exemplo, é possível conceder o papel de visualizador de suporte técnico a um grupo do Google em uma pasta específica de um projeto, o que permite que os membros visualizem os casos de suporte na pasta.

Como conceder papéis do IAM

É necessário que os usuários, Grupos do Google ou domínios tenham a permissão resourcemanager.organizations.setIamPolicy na organização para adicionarem usuários aos papéis do IAM do Customer Care. É possível dar essa permissão a usuários ou grupos concedendo a eles o papel de administrador da organização (roles/resourcemanager.organizationAdmin).

Por exemplo, se sua organização quiser que os usuários que receberam o papel de administrador de conta de suporte também possam adicionar e remover usuários e grupos de outros papéis do IAM do Customer Care, o administrador de uma organização poderá fazer o seguinte:

  • Criar um Grupo do Google para os usuários (MyCompanySupportAdmins).
  • Atribuir ao Grupo do Google (MyCompanySupportAdmins) o papel de administrador da organização.
  • Atribuir ao Grupo do Google (MyCompanySupportAdmins) o papel de administrador de conta de suporte.

No exemplo, os membros do Grupo do Google (MyCompanySupportAdmins) podem atribuir papéis do IAM a usuários e grupos na organização, porque o grupo recebeu a permissão setIamPolicy quando o papel de administrador da organização foi concedido. À medida que os novos administradores de conta de suporte entrarem na organização, adicione-os ao Grupo do Google (MyCompanySupportAdmins) para conceder a eles os papéis desejados.

Para conceder um papel do IAM a um usuário, um grupo ou um domínio:

  1. No Console do Google Cloud, abra a página IAM.
    Acessar a página "IAM"

  2. No menu superior, clique em Adicionar.

  3. Especifique um usuário, um Grupo do Google ou um domínio.

  4. Selecione um papel de suporte. Como prática recomendada de segurança, conceda ao principal o mínimo de privilégio necessário.

  5. Clique em Save.

A seguir

Entenda como gerenciar casos de suporte no Console do Google Cloud.