Controle de acesso

Nesta página, explicamos como configurar o controle de acesso para ofertas de suporte do Cloud Customer Care.

Antes de começar

O que é gerenciamento de identidade e acesso (IAM)

O Google Cloud oferece IAM, que permite conceder acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de segurança do menor privilégio (em inglês) para conceder apenas o acesso necessário aos recursos.

Por meio da definição de políticas do IAM, você pode controlar quem (identidade) tem qual acesso (papéis) a qual recurso. As políticas do IAM concedem papéis específicos a um principal, dando ao principal algumas permissões. Por exemplo, para um determinado recurso, como um projeto, é possível atribuir o papel de visualizador de suporte técnico (roles/cloudsupport.techSupportViewer) a uma Conta do Google. Com essa conta, é possível visualizar casos de suporte no projeto, mas gerenciar casos de suporte não é.

Considerações sobre o acesso

Se você fez a transição do suporte Silver, Gold ou Platinum, lembre-se de que as consultas ao suporte não poderão mais ser acessadas pela Central de suporte do Google Cloud (GCSC). Depois de ativar o suporte Standard, Enhanced ou Premium, você pode gerenciar o acesso a casos transferidos concedendo papéis do IAM a usuários, grupos ou domínios.

O suporte com base no papel atribuído usa um modelo de acesso baseado em papéis. Para saber como conceder acesso a usuários com base em papéis, acesse Suporte com base em papéis e corporativos.

Papéis de IAM do Customer Care

Com o IAM, cada usuário de suporte precisa ter as permissões apropriadas para visualizar e gerenciar casos e usuários. Os usuários recebem essas permissões quando você as adiciona a um papel do IAM, a um grupo que pertence a um papel ou a um domínio atribuído a um papel.

A tabela a seguir lista os papéis do IAM disponíveis para os usuários do Cloud Customer Care, as permissões associadas a quais recursos e o nível de recurso mais baixo em que as permissões podem ser aplicadas.

Papel Nome Descrição Permissões Menor recurso
roles/cloudsupport.admin Administrador de conta de suporte Permite o gerenciamento de uma conta de suporte sem conceder acesso ao Histórico de consultas. Para mais informações, consulte a documentação de suporte do Cloud.
  • cloudsupport.accounts.*
  • cloudsupport.operations.*
  • cloudsupport.properties.*
  • resourcemanager.organizations.get
Organização
roles/cloudsupport.techSupportEditor Editor de suporte técnico Acesso completo de leitura/gravação aos históricos de consultas técnicas (aplicável para o Atendimento ao cliente do GCP e suporte do Maps).
  • cloudsupport.properties.*
  • cloudsupport.techCases.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudsupport.techSupportViewer Leitor de suporte técnico Acesso somente leitura a históricos de consulta técnica (aplicável ao Atendimento ao cliente do GCP e suporte do Maps).
  • cloudsupport.properties.*
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudsupport.viewer Leitor de conta de suporte Acesso somente leitura aos detalhes de uma conta de suporte. Não permite ver casos.
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.properties.*
Organização

Para adicionar um usuário, grupo ou domínio a um papel, consulte Como conceder papéis do IAM.

Administrador da conta de suporte

Os usuários com o papel Administrador de contas de suporte (roles/cloudsupport.admin) podem gerenciar a oferta de suporte comprada e a forma de cobrança.

O administrador da conta de suporte é responsável por administrar as políticas da conta de suporte da organização, incluindo:

  • atribuição de novos usuários de suporte
  • modificação de papéis para usuários de suporte existentes
  • gerenciamento do suporte de faturamento

Esse papel só pode ser atribuído no nível da organização.

Leitor da conta de suporte

O papel de Visualizador de conta de suporte (roles/cloudsupport.viewer) pode visualizar informações da conta para a oferta. Eles não podem ver nem editar as consultas ao suporte. para isso, eles precisam ter um papel de visualizador de suporte técnico ou editor de suporte técnico.

Esse papel só pode ser atribuído no nível da organização.

Editor de suporte técnico

O papel de editor de suporte técnico (roles/cloudsupport.techSupportEditor) pode gerenciar casos de suporte, incluindo visualização, criação, atualização, encaminhamento e encerramento de casos.

É possível conceder esse papel nos níveis de organização, pasta e projeto. Por exemplo, se você conceder o papel Editor de suporte técnico a um grupo do Google em um projeto específico, todos os membros do grupo poderão gerenciar casos de suporte para esse projeto.

Também é possível conceder esse papel em vários níveis da hierarquia de recursos para estabelecer permissões diferentes para recursos aninhados. Por exemplo, se você tiver o papel de visualizador de suporte técnico para a organização e de editor de suporte técnico em um projeto, poderá visualizar os casos de suporte na organização, mas editar apenas os casos para o projeto.

Leitor de suporte técnico

O papel de visualizador de suporte técnico (roles/cloudsupport.techSupportViewer) permite visualizar casos de suporte e informações da conta.

É possível definir esse papel nos níveis de organização, projeto e pasta. Por exemplo, é possível conceder o papel de visualizador de suporte técnico a um grupo do Google em uma pasta específica de um projeto, o que permite que os membros visualizem os casos de suporte na pasta.

Como conceder papéis do IAM

Usuários, Grupos do Google ou domínios precisam ter a permissão resourcemanager.organizations.setIamPolicy na organização para adicionar usuários aos papéis do IAM de atendimento ao cliente. É possível dar essa permissão a usuários ou grupos concedendo a eles o papel de administrador da organização (roles/resourcemanager.organizationAdmin).

Por exemplo, se sua organização quiser que os usuários que tenham o papel de administrador da conta de suporte também possam adicionar e remover usuários e grupos dos outros papéis do IAM de atendimento ao cliente, uma organização O administrador pode fazer o seguinte:

  • Criar um Grupo do Google para os usuários (MyCompanySupportAdmins).
  • Atribuir ao Grupo do Google (MyCompanySupportAdmins) o papel de administrador da organização.
  • Atribuir ao Grupo do Google (MyCompanySupportAdmins) o papel de administrador de conta de suporte.

No exemplo, os membros do Grupo do Google (MyCompanySupportAdmins) podem atribuir papéis do IAM a usuários e grupos na organização, porque o grupo recebeu a permissão setIamPolicy quando o papel de administrador da organização foi concedido. À medida que os novos administradores de conta de suporte entrarem na organização, adicione-os ao Grupo do Google (MyCompanySupportAdmins) para conceder a eles os papéis desejados.

Para conceder um papel do IAM a um usuário, um grupo ou um domínio:

  1. No Console do Google Cloud, abra a página IAM.
    Acessar a página "IAM"

  2. No menu superior, clique em Adicionar.

  3. Especifique um usuário, um Grupo do Google ou um domínio.

  4. Selecione um papel de suporte. Como prática recomendada de segurança, recomendamos conceder ao principal o mínimo de privilégio necessário.

  5. Clique em Save.

A seguir

Entenda como gerenciar casos de suporte no Console do Google Cloud.